Appliquer les principes de Confiance Zéro pour obtenir une visibilité sur le trafic réseau
Cet article fournit de l’aide sur l’application des principes de Confiance Zéro pour segmenter des réseaux dans des environnements Azure. Voici les principes de Confiance Zéro.
| Principe de Confiance Zéro | Définition |
|---|---|
| Vérifier explicitement | Toujours s'authentifier et autoriser en fonction de tous les points de données disponibles. |
| Utiliser le droit d'accès minimal | Limitez l'accès utilisateur avec l'accès juste-à-temps et juste suffisant (JIT/JEA), des stratégies adaptatives basées sur les risques et une protection des données. |
| Supposer une violation | Réduisez le rayon d'explosion et segmentez l'accès. Vérifiez le chiffrement de bout en bout et utilisez l'analytique pour obtenir de la visibilité, détecter les menaces et améliorer les défenses. Ce principe est respecté en utilisant des analyses pour obtenir une visibilité sur le trafic réseau dans votre infrastructure Azure. |
Cet article fait partie d’une série d’articles qui expliquent comment appliquer les principes de la Confiance Zéro au réseau Azure.
Les types de trafic réseau abordés dans cet article sont les suivants :
- Centralisé
- Trafic est-ouest, qui correspond aux flux de trafic entre vos réseaux virtuels Azure et vos services Azure et votre réseau local
- Nord-sud, qui correspond aux flux de trafic entre votre environnement Azure et Internet
Architecture de référence
Le diagramme suivant montre l’architecture de référence pour cette aide Confiance Zéro pour l’inspection du trafic entre le réseau local et les réseaux virtuels Azure, entre les réseaux virtuels Azure et les services Azure, et entre votre environnement Azure et Internet.
Cette architecture de référence inclut :
- Des charges de travail Azure IaaS exécutées sur des machines virtuelles Azure.
- Services Azure.
- Un réseau virtuel de périphérie Internet qui contient Azure DDoS Protection, un Pare-feu Azure et Azure Web Application Firewall (WAF).
- Des flèches montrant les flux de trafic est-ouest et nord-sud.
Que contient cet article ?
Les principes de Confiance Zéro sont appliqués dans l’architecture de référence. Le tableau ci-dessous décrit les recommandations pour garantir la visibilité du trafic réseau dans cette architecture pour le principe de Confiance Zéro Supposer une violation.
| Step | Task |
|---|---|
| 1 | Implémenter un point d’inspection centralisée du trafic. |
| 2 | Implémenter l’inspection du trafic est-ouest. |
| 3 | Implémenter l’inspection du trafic nord-sud. |
Étape 1 : Implémenter un point d’inspection centralisée du trafic
L’inspection centralisée du trafic vous permet de contrôler et de visualiser le trafic entrant et sortant de votre réseau. Les réseaux virtuels en étoile et Azure Virtual WAN sont les deux topologies réseau les plus courantes dans Azure. Leurs fonctionnalités diffèrent en ce qui concerne la façon dont elles connectent des réseaux. Dans les deux conceptions, le réseau virtuel hub est le réseau central et sert à fractionner les charges de travail en applications et les charges de travail du réseau virtuel hub vers les réseaux virtuels spoke. L’inspection centralisée comprend le trafic qui transite entre le nord et le sud, entre l’est et l’ouest ou les deux.
Topologie hub-and-spoke
L’une des caractéristiques d’un modèle de réseau en étoile est que les réseaux virtuels sont tous gérés par vous. Un réseau virtuel managé par le hub client sert de réseau virtuel partagé auquel d’autres réseaux virtuels spoke se connectent. Ce réseau virtuel centralisé est généralement utilisé :
- Pour établir une connectivité hybride aux réseaux locaux.
- Pour l’inspection et la segmentation du trafic à l’aide du Pare-feu Azure ou d’appliances virtuelles réseau tierces.
- Pour centraliser l’inspection du service de remise d’applications, par exemple Azure Application Gateway avec WAF.
Dans cette topologie, vous placez un Pare-feu Azure ou une appliance virtuelle réseau dans le réseau virtuel hub et configurez des itinéraires définis par l’utilisateur (UDR) pour diriger le trafic à partir de réseaux virtuels spoke et de votre réseau local vers le réseau virtuel hub. Le Pare-feu Azure ou l’appliance virtuelle réseau peuvent également servir de moteur de routage pour acheminer le trafic entre les réseaux virtuels spoke. L’une des fonctionnalités les plus importantes d’un modèle de réseau virtuel en étoile managé par le client est le contrôle granulaire du trafic à l’aide d’UDR et la possibilité de modifier manuellement le routage, la segmentation et la propagation de ces itinéraires.
Azure Virtual WAN
Azure Virtual WAN est un réseau virtuel hub managé par Azure qui contient des instances de service Route qui supervisent la propagation des itinéraires depuis et vers toutes les branches et tous les spokes. Il permet une connectivité Any-To-Any.
L’une des principales différences avec un réseau virtuel managé (appelé hub virtuel managé) est que la granularité du contrôle de routage est prise en charge pour les utilisateurs. Voici les principaux avantages :
- Gestion simplifiée des itinéraires à l’aide d’une connectivité Any-To-Any native. Si vous avez besoin d’une isolation du trafic, vous pouvez configurer manuellement des tables de routage personnalisées ou des itinéraires statiques dans la table de routage par défaut.
- Seules les passerelles de réseau virtuel, le Pare-feu Azure et les appliances virtuelles réseau approuvées ou les appareils SD-WAN (réseau étendu à définition logicielle) peuvent être déployés dans le hub. Les services centralisés tels que DNS et les passerelles d’application doivent se trouver sur des réseaux virtuels spoke standard. Les réseaux spokes doivent être attachés aux hubs virtuels à l’aide de la fonctionnalité VNET Peering.
Les réseaux virtuels managés sont idéaux pour les situations suivantes :
- Déploiements à grande échelle entre des régions qui ont besoin d’une connectivité de transit fournissant une inspection du trafic vers et depuis n’importe quel emplacement.
- Plus de 30 sites de branches ou plus de 100 tunnels IPsec (sécurité du protocole Internet).
Certaines des meilleures fonctionnalités de Virtual WAN sont la scalabilité de l’infrastructure de routage et l’interconnexion. Un débit de 50 Gbits/s par hub et de 1 000 sites de branche sont des exemples de scalabilité. Pour augmenter la mise à l’échelle, plusieurs hubs virtuels peuvent être interconnectés pour créer un plus grand réseau de maillage Virtual WAN. Un autre avantage de Virtual WAN est la possibilité de simplifier le routage pour l’inspection du trafic en injectant des préfixes d’un simple clic de bouton.
Chaque conception a ses propres avantages et inconvénients. La solution appropriée doit être déterminée en fonction des exigences de croissance et de gestion prévues.
Étape 2 : Implémenter l’inspection du trafic est-ouest
Les flux de trafic est-ouest incluent les flux Réseau virtuel vers réseau virtuel et Réseau virtuel vers réseau local. Pour inspecter le trafic entre l’est et l’ouest, vous pouvez déployer un Pare-feu Azure ou une appliance virtuelle réseau dans le réseau virtuel hub. Pour cela, les UDR doivent diriger le trafic privé vers le Pare-feu Azure ou l’appliance virtuelle réseau à des fins d’inspection. Dans le même réseau virtuel, vous pouvez utiliser des groupes de sécurité réseau pour le contrôle d’accès. Toutefois, si vous avez besoin d’un contrôle plus approfondi avec inspection, vous pouvez utiliser un pare-feu local ou un pare-feu centralisé dans le réseau virtuel hub à l’aide d’UDR.
Avec Azure Virtual WAN, vous pouvez disposer du Pare-feu Azure ou d’une appliance virtuelle réseau à l’intérieur du hub virtuel pour le routage centralisé. Vous pouvez utiliser Azure Firewall Manager ou l’intention de routage pour inspecter l’ensemble du trafic privé. Si vous souhaitez personnaliser l’inspection, vous pouvez disposer du Pare-feu Azure ou de l’appliance virtuelle réseau dans le hub virtuel pour inspecter le trafic souhaité. Le moyen le plus simple de diriger le trafic dans un environnement Virtual WAN consiste à activer l’intention de routage pour le trafic privé. Cette fonctionnalité envoie (push) des préfixes d’adresses privées (RFC 1918) à tous les spokes connectés au hub. Le trafic destiné à une adresse IP privée est dirigé vers le hub virtuel pour inspection.
Chaque méthode a ses propres avantages et inconvénients. L’avantage de l’utilisation de l’intention de routage est la simplification de la gestion des UDR. Il est toutefois impossible de personnaliser l’inspection par connexion. Si vous n’utilisez pas l’intention de routage ou Firewall Manager, vous pouvez personnaliser l’inspection. L’inconvénient est que vous ne pouvez pas effectuer d’inspection du trafic interrégion.
Le diagramme suivant montre le trafic est-ouest dans l’environnement Azure.
Pour une visibilité sur votre trafic réseau au sein d’Azure, Microsoft recommande d’implémenter un Pare-feu Azure ou une appliance virtuelle réseau dans votre réseau virtuel. Le Pare-feu Azure peut inspecter le trafic de la couche réseau et de la couche d’application. En outre, le Pare-feu Azure fournit des fonctionnalités supplémentaires telles que le système de détection et de prévention des intrusions (IDPS), l’inspection TLS (Transport Layer Security), le filtrage des URL et le filtrage des catégories web.
L’inclusion du Pare-feu Azure ou d’une appliance virtuelle réseau dans votre réseau Azure est essentielle pour respecter le principe de Confiance Zéro Supposer une violation pour la mise en réseau. Étant donné que des violations peuvent se produire chaque fois que des données transitent par un réseau, il est essentiel de comprendre et de contrôler le trafic autorisé à atteindre sa destination. Le Pare-feu Azure, les UDR et les groupes de sécurité réseau jouent un rôle essentiel dans l’activation d’un modèle de trafic sécurisé en autorisant ou en refusant le trafic entre les charges de travail.
Pour consulter des informations détaillées sur vos flux de trafic de réseau virtuel, vous pouvez activer les journaux de flux de réseau virtuel ou les journaux de flux de groupe de sécurité réseau. Les données du journal de flux sont stockées dans un compte Stockage Azure où vous pouvez y accéder et les exporter vers un outil de visualisation, tel que Azure Traffic Analytics. Grâce à Azure Traffic Analytics, vous pouvez détecter le trafic inconnu ou indésirable, surveiller le niveau de trafic et l’utilisation de la bande passante, ainsi que filtrer du trafic spécifique pour comprendre le comportement de votre application.
Étape 3 : Implémenter l’inspection du trafic nord-sud
Le trafic nord-sud inclut généralement le trafic entre les réseaux privés et Internet. Pour inspecter le trafic nord-sud dans une topologie de réseau en étoile, vous pouvez utiliser des UDR pour diriger le trafic vers une instance Pare-feu Azure ou une appliance virtuelle réseau. Pour l’annonce dynamique, vous pouvez utiliser un serveur de routes Azure avec une appliance virtuelle réseau qui prend en charge BGP pour diriger tout le trafic lié à Internet des réseaux virtuels vers l’appliance virtuelle réseau.
Dans Azure Virtual WAN, pour diriger le trafic nord-sud des réseaux virtuels vers le Pare-feu Azure ou l’appliance virtuelle réseau pris en charge dans le hub virtuel, vous pouvez utiliser ces scénarios courants :
- Utilisez une appliance virtuelle réseau ou un Pare-feu Azure dans le hub virtuel contrôlé avec une intention de routage ou avec Azure Firewall Manager pour diriger le trafic nord-sud.
- Si votre appliance virtuelle réseau n’est pas prise en charge dans le hub virtuel, vous pouvez la déployer dans un réseau virtuel spoke et diriger le trafic avec des UDR à des fins d’inspection. Ce principe s’applique également au Pare-feu Azure. Vous pouvez aussi configurer une appliance virtuelle réseau en tant qu’homologue BGP dans un spoke avec le hub virtuel pour annoncer un itinéraire par défaut (0.0.0.0/0).
Le diagramme suivant montre le trafic nord-sud entre un environnement Azure et Internet.
Azure fournit les services de mise en réseau suivants conçus pour offrir une visibilité du trafic réseau entrant et sortant de votre environnement Azure.
Azure DDoS Protection
Azure DDoS Protection peut être activé sur n’importe quel réseau virtuel disposant de ressources IP publiques pour surveiller et atténuer les éventuelles attaques par déni de service distribué (DDoS). Ce processus d’atténuation implique l’analyse de l’utilisation du trafic par rapport aux seuils prédéfinis dans la stratégie DDoS, suivie de la journalisation de ces informations pour un examen approfondi. Pour assurer une meilleure protection contre les incidents futurs, Azure DDoS Protection offre la possibilité de réaliser des simulations sur vos adresses IP et services publics afin de fournir des informations précieuses sur la résilience et la réponse de votre application lors d’une attaque DDoS.
Pare-feu Azure
Le Pare-feu Azure fournit un ensemble d’outils permettant de surveiller, d’auditer et d’analyser le trafic réseau.
Métriques et journaux d’activité
Le Pare-feu Azure collecte des journaux détaillés en s’intégrant aux espaces de travail Azure Log Analytics. Vous pouvez utiliser des requêtes KQL (langage de requête Kusto) pour extraire des informations supplémentaires sur les principales catégories de règles, telles que les règles d’application et de mise en réseau. Vous pouvez également récupérer des journaux spécifiques aux ressources qui s’étendent sur les schémas et les structures du niveau réseau aux journaux de veille des menaces et IDPS. Pour plus d’informations, consultez l’article Journaux structurés du Pare-feu Azure.
Workbooks
Le Pare-feu Azure fournit des classeurs qui présentent des données collectées à l’aide de graphiques d’activité au fil du temps. Cet outil vous aide également à visualiser plusieurs ressources de Pare-feu Azure en les combinant dans une interface unifiée. Pour plus d’informations, consultez l’article Utilisation de classeurs Pare-feu Azure.
Analytique des stratégies
Azure Firewall Policy Analytics fournit une vue d’ensemble des stratégies que vous avez implémentées. Sur la base des insights de stratégie, d’analyse des règles et d’analyse du flux de trafic, il ajuste et modifie les stratégies implémentées pour s’adapter aux modèles de trafic et aux menaces. Pour plus d’informations, consultez l’article Analyse du pare-feu Azure Policy.
Ces fonctionnalités garantissent que le Pare-feu Azure reste une solution robuste pour sécuriser le trafic réseau en fournissant aux administrateurs les outils nécessaires à une gestion efficace du réseau.
Application Gateway
Application Gateway fournit des fonctionnalités importantes pour surveiller, auditer et analyser le trafic à des fins de sécurité. En activant l’analytique des journaux d’activité et en utilisant des requêtes KQL prédéfinies ou personnalisées, vous pouvez afficher les codes d’erreur HTTP, y compris ceux des plages 4xx et 5xx qui sont essentiels pour identifier les problèmes.
Les journaux d’accès d’Application Gateway fournissent également des insights critiques sur les paramètres de sécurité clés tels que les adresses IP clientes, les URI de requête, la version HTTP et les valeurs de configuration spécifiques à SSL/TLS, comme les protocoles, les suites de chiffrement TLS et l’activation du chiffrement SSL.
Azure Front Door
Azure Front Door utilise Anycast TCP pour acheminer le trafic vers le point de présence (PoP) du centre de données le plus proche. À l’instar d’un équilibreur de charge classique, vous pouvez placer un Pare-feu Azure ou une appliance virtuelle réseau dans le pool principal Azure Front Door, qui correspond également à son origine. La seule exigence est que l’adresse IP de l’origine soit publique.
Une fois que vous avez configuré Azure Front Door pour recevoir des demandes, il génère des rapports de trafic pour montrer le comportement du profil Azure Front Door. Lorsque vous utilisez le niveau Premium Azure Front Door, les rapports de sécurité sont également disponibles pour afficher les correspondances avec les règles WAF, notamment les règles OWASP (Open Worldwide Application Security Project), les règles de protection bot et les règles personnalisées.
Pare-feu d'applications web Azure
Azure WAF est une fonctionnalité de sécurité supplémentaire qui inspecte le trafic de couche 7 et peut être activée pour Application Gateway et Azure Front Door avec certains niveaux. Cela fournit une couche de sécurité supplémentaire pour le trafic qui ne provient pas d’Azure. Vous pouvez configurer WAF en mode de prévention et de détection en utilisant des définitions de règles principales OWASP.
Outils de supervision
Pour une surveillance approfondie des flux de trafic nord-sud, vous pouvez utiliser des outils tels que les journaux de flux NSG, Azure Traffic Analytics et les journaux de flux de réseau virtuel pour améliorer la visibilité du réseau.
Entraînement recommandé
- Configurer et gérer des réseaux virtuels pour les administrateurs Azure
- Présentation du pare-feu d’applications web Azure
- Introduction à Azure Virtual WAN
- Introduction à Azure Front Door
- Introduction à Azure Application Gateway
Étapes suivantes
Pour plus d’informations sur la mise en application de la Confiance Zéro aux réseaux Azure, consultez :
- Chiffrer les communications réseau basées sur Azure
- Segmenter la communication réseau basée sur Azure
- Interrompre les technologies de sécurité réseau héritées
- Sécuriser les réseaux avec la Confiance Zéro
- Réseaux virtuels Spoke dans Azure
- Réseaux virtuels Hub dans Azure
- Réseaux virtuels Spoke avec les services PaaS Azure
- Azure Virtual WAN
Références
Reportez-vous à ces liens pour en savoir plus sur les différents services et technologies mentionnés dans cet article.
- Azure DDoS Protection
- Pare-feu Azure
- Pare-feu d’applications web Azure
- Azure Virtual WAN
- Application Gateway Azure
- Itinéraires définis par l’utilisateur
- Azure Firewall Manager
- Journaux de flux VNet
- Journaux de flux NSG
- Azure Traffic Analytics
- Serveur de routes Azure
- Journaux structurés du Pare-feu Azure
- Utilisation de classeurs Pare-feu Azure
- Analyse du pare-feu Azure Policy
- Azure Front Door