Partager via

Qu’est-ce que la sécurité réseau Azure ?

La sécurité réseau est un aspect essentiel du cloud computing, car elle protège les données et les applications qui s’exécutent sur le cloud contre diverses menaces et attaques. Azure fournit un ensemble complet de solutions de sécurité réseau qui vous permettent de concevoir, déployer et gérer des réseaux sécurisés et résilients dans le cloud.

Capture d’écran montrant les icônes du Pare-feu Azure, d’Azure DDoS Protection et du Pare-feu d’applications web Azure.

L’un des principes fondamentaux de la sécurité réseau Azure est le modèle Confiance Zéro, qui suppose qu’aucun réseau ou appareil n’est intrinsèquement sécurisé ou fiable. Au lieu de cela, chaque demande et connexion doit être vérifiée et validée en fonction des données, de l’identité et du contexte. Le modèle Confiance Zéro vous permet d’empêcher l’accès non autorisé, de limiter le mouvement latéral et de réduire la surface d’attaque de vos réseaux.

Choix d’une solution

Le choix de la solution de sécurité réseau appropriée pour vos charges de travail Azure dépend de vos besoins et exigences spécifiques. Azure fournit un large éventail de services de sécurité réseau qui peuvent être utilisés individuellement ou conjointement pour protéger vos charges de travail. Voici quelques facteurs clés à prendre en compte lors du choix d’une solution de sécurité réseau :

  • Type de charge de travail : différentes charges de travail ont des exigences de sécurité différentes. Par exemple, les applications web peuvent nécessiter une protection contre les attaques web, tandis que les machines virtuelles peuvent nécessiter une protection contre les attaques basées sur le réseau.
  • Modèle de déploiement : Azure fournit différents modèles de déploiement pour les services de sécurité réseau, tels que les appliances virtuelles, les services managés et les solutions intégrées. Choisissez le modèle qui correspond le mieux à vos besoins et exigences.
  • Intégration à d’autres services Azure : de nombreux services de sécurité réseau Azure s’intègrent à d’autres services Azure, tels qu’Azure Monitor, Azure Security Center et Microsoft Sentinel. Choisissez une solution qui peut facilement s’intégrer à vos services Azure existants pour améliorer la sécurité et la surveillance.
  • Coût : différents services de sécurité réseau ont des modèles tarifaires différents. Choisissez une solution qui correspond à votre budget et fournit le niveau de protection dont vous avez besoin.
  • Exigences de conformité : selon votre secteur d’activité et votre emplacement, vous pouvez avoir des exigences de conformité spécifiques que votre solution de sécurité réseau doit respecter. Choisissez une solution qui peut vous aider à répondre à ces exigences.
  • Scalabilité : à mesure que vos charges de travail augmentent, votre solution de sécurité réseau doit être en mesure de les mettre à l’échelle. Choisissez une solution qui peut gérer un trafic et des charges de travail accrus sans compromettre la sécurité.
  • Gestion et surveillance : choisissez une solution qui offre des fonctionnalités de gestion et de surveillance faciles, telles que des tableaux de bord, des alertes et des rapports. Cela vous aidera à identifier et à répondre rapidement aux incidents de sécurité.

Pare-feu Azure

Azure Firewall est un service de pare-feu réseau intelligent natif du cloud qui offre une protection complète avec suivi d'état, avec une haute disponibilité intégrée et une scalabilité cloud illimitée. Il fournit à la fois la sécurité au niveau du réseau et de l’application pour vos charges de travail Azure. En tant que service managé, le Pare-feu Azure peut être déployé dans un réseau virtuel et s’intègre en toute transparence à d’autres services Azure tels qu’Azure Monitor, Azure Security Center et Microsoft Sentinel pour améliorer la sécurité et la surveillance.

Diagramme montrant comment le Pare-feu Azure inspecte le trafic vers et depuis Internet avant de le router vers sa destination.

Selon vos besoins, vous pouvez sélectionner parmi trois références SKU de pare-feu Azure :

  • De base : la SKU de base est une option économique pour les solutions de pare-feu simples dans les charges de travail sur Azure. Il fournit des fonctionnalités essentielles telles que le filtrage réseau et l’application, la traduction d’adresses réseau et la journalisation.
  • Standard : la référence SKU standard est une option plus avancée qui inclut des fonctionnalités supplémentaires telles que le proxy DNS et les catégories web. Il est conçu pour des solutions de pare-feu plus complètes dans les charges de travail Azure.
  • Premium : la référence SKU Premium est l’option la plus avancée qui inclut toutes les fonctionnalités de la référence SKU Standard, ainsi que des fonctionnalités supplémentaires telles que l’inspection TLS, la détection des intrusions et la prévention et le filtrage d’URL. Il est conçu pour le niveau de sécurité et de contrôle le plus élevé dans les charges de travail Azure.

Cas d’utilisation

  • Sécurité réseau : protégez vos charges de travail Azure contre les attaques basées sur le réseau et l’accès non autorisé.
  • Sécurité des applications : Protégez vos charges de travail Azure contre les attaques et les vulnérabilités basées sur les applications.
  • Détection et prévention des intrusions : surveillez votre réseau pour une activité malveillante, consignez les informations sur cette activité, signalez-la et tentez éventuellement de la bloquer.
  • Inspection TLS : inspectez et déchiffrez le trafic TLS pour détecter et bloquer les menaces masquées dans le trafic chiffré.
  • Filtrage d’URL : contrôlez l’accès à des URL ou catégories d’URL spécifiques en fonction des stratégies de votre organisation.

Pour plus d’informations, consultez la vue d’ensemble du Pare-feu Azure.

Protection Azure contre les attaques DDoS

Azure DDoS Protection est un service qui fournit des fonctionnalités d’atténuation DDoS améliorées pour se défendre contre les attaques DDoS. Cette solution s’adapte automatiquement pour protéger vos ressources Azure spécifiques dans un réseau virtuel. La protection est simple à activer sur n’importe quel réseau virtuel ou ressource d’adresse IP publique ou réseau virtuel existant, et elle ne nécessite aucune modification de l’application ou des ressources.

  • Protection IP : Azure DDoS IP Protection fournit une protection pour vos ressources Azure affectées à une adresse IP publique. Il protège contre les attaques de couche volumetrice, de protocole et d’application.

    Diagramme illustrant Azure DDoS Protection appliqué à une ressource avec une adresse IP publique.

  • Protection du réseau : Azure DDoS Network Protection offre une protection pour vos ressources Azure dans un réseau virtuel auquel une adresse IP publique est attribuée. Il dispose de fonctionnalités supplémentaires telles que la prise en charge de DDoS Rapid Response, la protection des coûts et les remises WAF.

    Diagramme illustrant Azure DDoS Protection activé au niveau du réseau virtuel pour une topologie hub-and-spoke.

Cas d’utilisation

  • Protection contre les attaques DDoS : protégez vos ressources Azure contre les attaques DDoS, notamment les attaques de couche Volumetric, Protocole et couche Application.
  • Protection des coûts : protégez vos ressources Azure contre les coûts inattendus en raison d’attaques DDoS.
  • Réponse rapide : obtenez un support de réponse rapide des experts Azure DDoS en cas d’attaque DDoS.

Pour plus d’informations, consultez Vue d’ensemble du service Azure DDoS Protection.

Pare-feu d’applications web Azure

Le pare-feu d’applications web (WAF) Azure est un pare-feu d’applications web qui fournit une protection centralisée à vos applications web contre les attaques et vulnérabilités courantes. WAF utilise des règles pour surveiller les requêtes et réponses HTTP, et elle peut bloquer ou autoriser le trafic en fonction des règles que vous définissez.

Diagramme illustrant le pare-feu d’applications web Azure appliqué à Azure Application Gateway et à Azure Front Door, autorisant les requêtes valides et bloquant les attaques web.

Waf est disponible dans deux options de déploiement :

  • Waf Azure Application Gateway : Azure Application Gateway est un équilibreur de charge de trafic web (OSI layer 7) qui vous permet de gérer le trafic vers vos applications web.
  • Azure Front Door WAF : Azure Front Door est un point d’entrée évolutif et sécurisé pour la livraison rapide de vos applications globales. Il offre le déchargement SSL, l’accélération des applications et la répartition de charge globale avec basculement instantané.

Cas d’utilisation

  • Protection contre les attaques web : protégez vos applications web contre les attaques et vulnérabilités courantes, telles que l’injection SQL et les scripts intersites (XSS).
  • Gestion centralisée : gérez vos règles et stratégies de pare-feu d’application web à partir d’un emplacement unique.
  • Intégration avec les services Azure : intégrez WAF à d’autres services Azure, tels qu’Azure Application Gateway et Azure Front Door, pour améliorer la sécurité et les performances.
  • Règles personnalisées : créez des règles personnalisées pour répondre à vos exigences et stratégies de sécurité spécifiques.
  • Protection des bots : protégez vos applications web contre les bots malveillants et les attaques automatisées.

Pour plus d’informations, consultez la vue d’ensemble du Pare-feu d’applications web Azure.

Utilisation du portail Azure

Le portail Azure offre une expérience unifiée pour la gestion de vos services de sécurité réseau. Vous pouvez facilement créer et gérer vos services de sécurité réseau à partir d’un emplacement unique, et vous pouvez également afficher l’état et l’intégrité de vos services.

Capture d’écran de l’expérience de sélection de sécurité réseau dans le portail Azure.

Scénarios courants de sécurité réseau

Le hub de sécurité réseau prend actuellement en charge les options de déploiement suivantes :

  • Réseau virtuel hub-and-spoke sécurisé : déployez un pare-feu Azure dans un réseau virtuel désigné comme hub. Ce réseau virtuel hub peut se connecter à plusieurs réseaux virtuels spoke à l’aide du peering de réseaux virtuels. Le Pare-feu Azure est associé à une stratégie de pare-feu Azure qui définit les règles et les configurations du pare-feu. Ce modèle de déploiement est idéal pour les organisations qui cherchent à centraliser la sécurité et la gestion du réseau dans un seul emplacement.

  • Protégez les réseaux locaux virtuels à grande échelle : déployez un pare-feu Azure dans un hub sécurisé Azure Virtual WAN. Le Pare-feu Azure est associé à une stratégie de pare-feu Azure, et le hub sécurisé est connecté à plusieurs filiales et utilisateurs distants. Ce modèle de déploiement est idéal pour les organisations utilisant Azure Virtual WAN pour connecter plusieurs filiales et utilisateurs distants aux ressources Azure.

  • Confiance zéro pour les applications web : utilisez Azure Application Gateway avec une stratégie WAF (Web Application Firewall) Azure pour protéger les applications web régionales contre les failles et vulnérabilités courantes. Personnalisez la stratégie WAF pour répondre efficacement aux besoins de sécurité spécifiques de vos applications web.

  • Fournir du contenu cloud en toute sécurité : utilisez Azure Front Door avec une stratégie WAF (Web Application Firewall) Azure pour protéger et optimiser la livraison de vos applications web globales. Ce modèle de déploiement garantit des performances d’application sécurisées et efficaces tout en vous permettant de personnaliser la stratégie WAF pour répondre aux besoins de sécurité spécifiques.

Étapes suivantes

En savoir plus sur les différentes caractéristiques et fonctionnalités de chaque service Azure de sécurité réseau :

Documentation sur la sécurité réseau Azure

  • Last updated on