Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Le Pare-feu Azure Premium offre une protection avancée contre les menaces adaptée aux environnements hautement sensibles et réglementés, tels que les secteurs du paiement et de la santé.
Ce guide fournit des informations détaillées sur l’implémentation des fonctionnalités Premium du Pare-feu Azure. Pour une comparaison générale de toutes les fonctionnalités du Pare-feu Azure sur les références SKU, consultez les fonctionnalités du Pare-feu Azure par référence SKU.
Les organisations peuvent tirer parti des fonctionnalités de référence SKU Premium telles que l’inspection IDPS et TLS pour empêcher la propagation de programmes malveillants et de virus sur plusieurs réseaux. Pour répondre aux exigences de performances accrues de ces fonctionnalités, Le Pare-feu Azure Premium utilise une référence SKU de machine virtuelle plus puissante. Comme pour la référence SKU Standard, la référence SKU Premium peut évoluer jusqu’à 100 Gbits/s et s’intégrer aux zones de disponibilité pour prendre en charge un contrat SLA de 99,99%. La référence SKU Premium est conforme aux exigences pci DSS (Payment Card Industry Data Security Standard).
Le Pare-feu Azure Premium inclut les fonctionnalités avancées suivantes :
- Inspection TLS : déchiffre le trafic sortant, le traite, puis le chiffre à nouveau et l’envoie à la destination.
- IDPS : surveille les activités réseau pour les activités malveillantes, enregistre les informations, les signale et le bloque éventuellement.
- Filtrage d’URL : étend le filtrage de nom de domaine complet pour prendre en compte l’URL entière, y compris tout chemin d’accès supplémentaire.
- Catégories web : autorise ou refuse à l’utilisateur l’accès à des catégories de sites web telles que les jeux de hasard ou les réseaux sociaux.
Pour obtenir une comparaison complète des fonctionnalités sur toutes les références SKU du Pare-feu Azure, consultez les fonctionnalités du Pare-feu Azure par référence SKU.
Inspection TLS
Le protocole TLS (Transport Layer Security) fournit un chiffrement pour la confidentialité, l’intégrité et l’authenticité à l’aide de certificats entre les applications de communication. Il chiffre le trafic HTTP, qui peut masquer l’activité d’utilisateur illégale et le trafic malveillant.
Sans inspection TLS, le Pare-feu Azure ne peut pas voir les données dans le tunnel TLS chiffré, limitant ses fonctionnalités de protection. Pare-feu Azure Premium, toutefois, arrête et inspecte les connexions TLS pour détecter, alerter et atténuer les activités malveillantes dans HTTPS. Il crée deux connexions TLS : une avec le serveur web et une autre avec le client. À l’aide d’un certificat d’autorité de certification fourni par le client, il génère un certificat à la volée pour remplacer le certificat de serveur web et le partage avec le client pour établir la connexion TLS.
Pare-feu Azure sans inspection TLS :
Pare-feu Azure avec inspection TLS :
Les cas d’usage suivants sont pris en charge avec le Pare-feu Azure :
- Inspection TLS sortante : protège contre le trafic malveillant envoyé à partir d’un client interne hébergé dans Azure vers Internet.
- East-West inspection TLS : protège les charges de travail Azure contre le trafic malveillant potentiel envoyé dans Azure, y compris le trafic vers/depuis un réseau local.
Le cas d’usage suivant est pris en charge par Azure Web Application Firewall sur Azure Application Gateway :
- Inspection TLS entrante : protège les serveurs internes ou les applications hébergés dans Azure contre les requêtes malveillantes arrivant d’Internet ou d’un réseau externe. Application Gateway fournit un chiffrement de bout en bout.
Pour plus d’informations, consultez :
Conseil
Les versions 1.0 et 1.1 de TSL sont déconseillées et non prises en charge. Ces versions ont été jugées vulnérables. Bien qu’ils fonctionnent toujours pour la compatibilité descendante, ils ne sont pas recommandés. Migrez vers TLS 1.2 dès que possible.
Pour en savoir plus sur les conditions requises pour les certificats d’autorité de certification intermédiaires du Pare-feu Azure Premium, consultez Certificats du Pare-feu Azure Premium.
Pour en savoir plus sur l’inspection TLS, consultez Création d’une preuve de concept pour l’inspection TLS dans le Pare-feu Azure.
IDPS
Un système de détection et de prévention des intrusions réseau surveille votre réseau pour détecter les activités malveillantes, journalise les informations, les signale et le bloque éventuellement.
Le Pare-feu Azure Premium offre un FOURNISSEUR d’identité basé sur des signatures pour détecter rapidement les attaques en identifiant des modèles spécifiques, tels que des séquences d’octets dans le trafic réseau ou des séquences d’instructions malveillantes connues utilisées par des programmes malveillants. Ces signatures IDPS s’appliquent au trafic au niveau de l’application et au niveau du réseau (couches 3-7). Elles sont entièrement gérées et mises à jour en continu. L’IDPS peut être appliqué au trafic entrant, spoke-to-spoke (East-West) et au trafic sortant, y compris le trafic vers/depuis un réseau local. Vous pouvez configurer vos plages d’adresses IP privées IDPS à l’aide de la fonctionnalité Plages d’adresses IP privées. Pour plus d’informations, consultez Plages d’adresses IP privées IDPS.
Les signatures/ensembles de règles du Pare-feu Azure incluent les éléments suivants :
- Concentrez-vous sur l’identification des programmes malveillants, des commandes et des contrôles réels, des kits d’exploitation et des activités malveillantes manquées par les méthodes traditionnelles.
- Plus de 67 000 règles dans plus de 50 catégories, notamment la commande et le contrôle des programmes malveillants, le hameçonnage, les troie, les botnets, les événements d’information, les exploits, les vulnérabilités, les protocoles réseau SCADA et l’activité du kit d’exploitation.
- 20 à 40 nouvelles règles publiées quotidiennement.
- Faible taux de faux positifs à l’aide de techniques avancées de détection de programmes malveillants, telles que la boucle de rétroaction du réseau de capteur global.
IDPS détecte les attaques sur tous les ports et protocoles pour le trafic non chiffré. Pour l’inspection du trafic HTTPS, le Pare-feu Azure peut utiliser sa fonctionnalité d’inspection TLS pour déchiffrer le trafic et mieux détecter les activités malveillantes.
Note
Pour obtenir des conseils sur la substitution des modes de signature et des limitations importantes pour éviter les suppressions silencieuses, consultez Le comportement et les limitations de remplacement.
La liste de contournement IDPS vous permet d’exclure des adresses IP, des plages et des sous-réseaux spécifiques du filtrage. Notez que la liste de contournement n’est pas destinée à améliorer les performances du débit, car les performances du pare-feu sont toujours soumises à votre cas d’usage. Pour plus d’informations, consultez Performances du Pare-feu Azure.
Plages d'adresses IP privées IDPS
Dans le pare-feu Azure Premium IDPS, les plages d’adresses IP privées sont utilisées pour déterminer si le trafic est entrant, sortant ou interne (East-West). Chaque signature est appliquée à des directions de trafic spécifiques, comme indiqué dans la table de règles de signature. Par défaut, seules les plages définies par la RFC IANA 1918 sont considérées comme des adresses IP privées. Le trafic entre les plages d’adresses IP privées est considéré comme interne. Vous pouvez facilement modifier, supprimer ou ajouter des plages d’adresses IP privées si nécessaire.
Règles de signature IDPS
Les règles de signature IDPS vous permettent d’effectuer les opérations suivantes :
- Personnalisez les signatures en modifiant leur mode en mode Désactivé, Alerte ou Alerte et Refus. Vous pouvez personnaliser jusqu’à 10 000 règles IDPS.
- Par exemple, si une demande légitime est bloquée en raison d’une signature défectueuse, vous pouvez désactiver cette signature à l’aide de son ID des journaux des règles réseau pour résoudre le faux problème positif.
- Ajustez les signatures qui génèrent des alertes de faible priorité excessives afin d’améliorer la visibilité des alertes à priorité élevée.
- Affichez toutes les 67 000 signatures+ .
- Utilisez la recherche intelligente pour rechercher des signatures par attributs, tels que CVE-ID.
Les règles de signature IDPS présentent les propriétés suivantes :
| Colonne | Description |
|---|---|
| ID de signature | ID interne pour chaque signature, également affiché dans les journaux des règles de réseau de pare-feu Azure. |
| Mode | Indique si la signature est active et si le pare-feu supprime ou signale le trafic correspondant. Modes: - Désactivé : la signature n’est pas activée. - Alerte : alertes sur le trafic suspect. - Alerte et refus : Alertes et blocages du trafic suspect. Certaines signatures sont « Alerte uniquement » par défaut, mais peuvent être personnalisées sur « Alerte et refus ». Le mode signature est déterminé par : 1. Mode de stratégie : dérivé du mode IDPS de la stratégie. 2. Stratégie parente : dérivée du mode IDPS de la stratégie parente. 3. Substitué : personnalisé par l’utilisateur. 4. Système : défini sur « Alerte uniquement » par le système en raison de sa catégorie, mais peut être remplacé. Les alertes IDPS sont disponibles dans le portail via la requête du journal des règles réseau. |
| Gravité | Indique la probabilité que la signature soit une attaque réelle : - Faible (priorité 3) : faible probabilité, événements d’information. - Moyen (priorité 2) : suspect, nécessite une investigation. - Haut (priorité 1) : Attaque grave, probabilité élevée. |
| Direction | Direction du trafic pour laquelle la signature est appliquée : - Entrant : d’Internet à votre plage d’adresses IP privées. - Sortant : De votre plage d’adresses IP privées à Internet. - Interne : dans votre plage d’adresses IP privées. - Interne/entrant : de votre plage d’adresses IP privées ou d’Internet à votre plage d’adresses IP privées. - Interne/sortant : de votre plage d’adresses IP privées à votre plage d’adresses IP privées ou à Internet. - Tout : appliqué à n’importe quel sens du trafic. |
| Groupe | Nom du groupe auquel appartient la signature. |
| Description | Comprend: - Nom de la catégorie : catégorie de la signature. - Description générale. - CVE-ID (facultatif) : CVE associé. |
| Protocol | Protocole associé à la signature. |
| Ports source/destination | Ports associés à la signature. |
| Dernière mise à jour | Date à laquelle la signature a été introduite ou modifiée pour la dernière fois. |
Pour plus d’informations sur IDPS, consultez Prise de Pare-feu Azure IDPS sur une version d’évaluation.
Un filtrage des URL
Le filtrage d’URL étend la fonctionnalité de filtrage FQDN du Pare-feu Azure pour prendre en compte l’URL entière, comme www.contoso.com/a/c au lieu de juste www.contoso.com.
Le filtrage d’URL peut être appliqué au trafic HTTP et HTTPS. Lors de l’inspection du trafic HTTPS, Le Pare-feu Azure Premium utilise sa fonctionnalité d’inspection TLS pour déchiffrer le trafic, extraire l’URL cible et vérifier si l’accès est autorisé. L’inspection TLS doit être activée au niveau de la règle d’application. Une fois activées, les URL peuvent être utilisées pour filtrer le trafic HTTPS.
Catégories web
Les catégories web permettent aux administrateurs d’autoriser ou de refuser l’accès des utilisateurs à des catégories spécifiques de sites web, telles que les jeux de hasard ou les réseaux sociaux. Bien que cette fonctionnalité soit disponible à la fois dans le Pare-feu Azure Standard et Premium, la référence SKU Premium offre un contrôle plus précis en fonction des catégories correspondantes en fonction de l’URL entière du trafic HTTP et HTTPS.
Les catégories Web Premium du Pare-feu Azure sont disponibles uniquement dans les stratégies de pare-feu. Vérifiez que votre référence SKU de stratégie correspond à la référence SKU de votre instance de pare-feu. Par exemple, une instance Pare-feu Premium nécessite une stratégie Pare-feu Premium.
Par exemple, si le Pare-feu Azure intercepte une requête HTTPS pour www.google.com/news:
- Pare-feu Standard examine uniquement le nom de domaine complet, catégorisant
www.google.comcomme moteur de recherche. - Pare-feu Premium examine l’URL complète, catégorisant
www.google.com/newsen tant qu’actualités.
Les catégories sont organisées par gravité sous Responsabilité, Bande passante élevée, Utilisation professionnelle, Perte de productivité, Surf général et Non catégorisé. Pour obtenir des descriptions détaillées, consultez les catégories web du Pare-feu Azure.
Journalisation des catégories web
Le trafic filtré par catégories web est journalisé dans les journaux d’activité de l’application. Le champ Catégories web s’affiche uniquement s’il est configuré explicitement dans les règles d’application de votre stratégie de pare-feu. Par exemple, si aucune règle ne refuse explicitement les moteurs de recherche et les demandes www.bing.comd’utilisateur, seul un message de refus par défaut est affiché.
Exceptions de catégorie
Vous pouvez créer des exceptions aux règles de catégorie web en configurant des regroupements de règles d’autorisation ou de refus distincts avec une priorité plus élevée. Par exemple, autorisez www.linkedin.com la priorité 100 et refusez le réseau social avec la priorité 200 pour créer une exception pour la catégorie de réseaux sociaux .
Recherche de catégorie web
Identifiez la catégorie d’un nom de domaine complet ou d’une URL à l’aide de la fonctionnalité Vérification des catégories web sous Paramètres de stratégie de pare-feu. Cela permet de définir des règles d’application pour le trafic de destination.
Important
Pour utiliser la fonctionnalité Vérification des catégories web , l’utilisateur doit disposer d’un accès Microsoft.Network/azureWebCategories/* au niveau de l’abonnement.
Changement de catégorie
Sous l’onglet Catégories web dans Paramètres de stratégie de pare-feu, vous pouvez demander une modification de catégorie si vous pensez qu’un nom de domaine complet ou une URL doit se trouver dans une autre catégorie ou avoir une suggestion pour un nom de domaine complet ou une URL non catégorisé. Après avoir envoyé un rapport de modification de catégorie, vous recevez un jeton pour suivre l’état de la demande.
Catégories web qui ne prennent pas en charge la terminaison TLS
Certains trafics web, tels que les données d’intégrité des employés, ne peuvent pas être déchiffrés à l’aide d’un arrêt TLS en raison de la confidentialité et de la conformité. Les catégories web suivantes ne prennent pas en charge l’arrêt TLS :
- Education
- Finance
- Administration
- Santé et médecine
Pour prendre en charge l’arrêt TLS pour des URL spécifiques, ajoutez-les manuellement aux règles d’application. Par exemple, ajoutez www.princeton.edu pour autoriser ce site web.
Régions prises en charge
Pour obtenir la liste des régions où le Pare-feu Azure est disponible, consultez les produits Azure disponibles par région.