Diagnostiquer les règles de sécurité du réseau

Dans cet article, vous allez apprendre à utiliser les diagnostics de groupe de sécurité réseau (NSG) d’Azure Network Watcher pour vérifier et résoudre les problèmes liés aux règles de sécurité appliquées à votre trafic Azure via les groupes de sécurité réseau et Azure Virtual Network Manager. Les diagnostics NSG vérifient si le trafic est autorisé ou refusé par les règles de sécurité appliquées.

L’exemple de cet article vous montre comment un groupe de sécurité réseau mal configuré peut vous empêcher d’utiliser Azure Bastion pour vous connecter à une machine virtuelle.

Prérequis

Créer un réseau virtuel et un hôte bastion

Dans cette section, vous créez un réseau virtuel avec deux sous-réseaux et un hôte Azure Bastion. Le premier sous-réseau est utilisé pour la machine virtuelle, le second pour l’hôte Bastion. Vous créez également un groupe de sécurité réseau et l’appliquez au premier sous-réseau.

  1. Dans la zone de recherche située en haut du portail, entrez réseaux virtuels. Sélectionnez Réseaux virtuels dans les résultats de la recherche.

    Capture d’écran montrant comment rechercher des réseaux virtuels dans le portail Azure.

  2. Sélectionnez + Créer. Dans l’option Créer un réseau virtuel, entrez ou sélectionnez les valeurs suivantes sous l’onglet Informations de base :

    Paramètre Valeur
    Détails du projet
    Abonnement Sélectionnez votre abonnement Azure.
    Groupe de ressources Sélectionnez Créer nouveau.
    Entrez myResourceGroup dans le champ Nom.
    Sélectionnez OK.
    Détails de l’instance
    Nom du réseau virtuel Entrez myVNet.
    Région Sélectionnez (États-Unis) USA Est.
  3. Sélectionnez l’onglet Sécurité ou le bouton Suivant situé au bas de la page.

  4. Sous Azure Bastion, sélectionnez Activer Azure Bastion, puis acceptez les valeurs par défaut :

    Paramètre Valeur
    Nom d’hôte Azure Bastion myVNet-Bastion.
    Adresse IP publique Azure Bastion (Nouveau) myVNet-bastion-publicIpAddress.
  5. Sélectionnez l’onglet Adresses IP ou le bouton Suivant au bas de la page.

  6. Acceptez l’espace d’adressage IP par défaut 10.0.0.0/16 et modifiez le sous-réseau par défaut en sélectionnant l’icône de crayon. Sur la page Modifier le sous-réseau, entrez les valeurs suivantes :

    Paramètre Valeur
    Détails du sous-réseau
    Nom Entrez mySubnet.
    Sécurité
    Un groupe de sécurité réseau Sélectionnez Créer nouveau.
    Entrez mySubnet-nsg dans le champ Nom.
    Sélectionnez OK.
  7. Sélectionnez Vérifier + créer.

  8. Passez en revue les paramètres, puis sélectionnez Créer.

Important

La tarification horaire commence à partir du moment où l’hôte Bastion est déployé, quelle que soit l’utilisation des données sortantes. Pour plus d’informations, voir la tarification. Nous vous recommandons de supprimer cette ressource quand vous n’en avez plus besoin.

Création d'une machine virtuelle

Dans cette section, vous créez une machine virtuelle et un groupe de sécurité réseau appliqué à son interface réseau.

  1. Dans la zone de recherche située en haut du portail, entrez machines virtuelles. Sélectionnez Machines virtuelles dans les résultats de la recherche.

  2. Sélectionnez + Créer, puis Machine virtuelle Azure.

  3. Dans Créer une machine virtuelle, entrez ou sélectionnez les valeurs suivantes sous l’onglet Fonctions base :

    Paramètre Valeur
    Détails du projet
    Abonnement Sélectionnez votre abonnement Azure.
    Groupe de ressources Sélectionnez myResourceGroup.
    Détails de l’instance
    Nom de la machine virtuelle Entrez myVM.
    Région Sélectionnez (États-Unis) USA Est.
    Options de disponibilité Sélectionnez Aucune redondance d’infrastructure requise.
    Type de sécurité Sélectionnez Standard.
    Image Sélectionnez Centre de données Windows Server 2022 : Édition Azure - x64 Gen2.
    Taille Choisissez une taille ou conservez le paramètre par défaut.
    Compte administrateur
    Nom d’utilisateur Entrez un nom d’utilisateur.
    Mot de passe Entrez un mot de passe.
    Confirmer le mot de passe Retapez le mot de passe.
  4. Sélectionnez l'onglet Mise en réseau ou choisissez Suivant : Disques, puis Suivant : Mise en réseau.

  5. Sous l’onglet Mise en réseau, sélectionnez les valeurs suivantes :

    Paramètre Valeur
    Interface réseau
    Réseau virtuel Sélectionnez myVNet.
    Subnet Sélectionnez la valeur par défaut.
    Adresse IP publique Sélectionnez Aucun.
    Groupe de sécurité réseau de la carte réseau Sélectionnez De base.
    Aucun port d’entrée public Sélectionnez Aucun.
  6. Sélectionnez Revoir + créer.

  7. Passez en revue les paramètres, puis sélectionnez Créer.

Ajouter une règle de sécurité au groupe de sécurité réseau

Dans cette section, vous ajoutez une règle de sécurité au groupe de sécurité réseau associé à l’interface réseau de myVM. La règle refuse tout trafic entrant en provenance du réseau virtuel.

  1. Dans la zone de recherche située en haut du portail, entrez groupes de sécurité réseau. Dans les résultats de la recherche, sélectionnez Groupes de sécurité réseau.

  2. Dans la liste des groupes de sécurité réseau, sélectionnez myVM-nsg.

  3. Sous Paramètres, sélectionnez Règles de sécurité de trafic entrant.

  4. Sélectionnez Ajouter. Sous l’onglet Mise en réseau, entrez ou sélectionnez les valeurs suivantes :

    Paramètre Valeur
    Source Sélectionnez Balise du service.
    Balise du service source Sélectionnez VirtualNetwork.
    Source port ranges Entrez *.
    Destination sélectionnez N'importe laquelle.
    Service Sélectionnez Personnalisé.
    Plages de ports de destination Entrez *.
    Protocol sélectionnez N'importe laquelle.
    Action Sélectionner Rejeter.
    Priorité Entrez 1000.
    Nom Entrez DenyVnetInBound.
  5. Sélectionnez Ajouter.

    Capture d’écran montrant comment ajouter une règle de sécurité de trafic entrant au groupe de sécurité réseau dans le Portail Azure.

Notes

L’étiquette de service VirtualNetwork représente l’espace d’adressage du réseau virtuel, tous les espaces d’adressage locaux connectés, les réseaux virtuels appairés ou connectés à une passerelle de réseau virtuel, l’adresse IP virtuelle de l’hôte et les préfixes d’adresse utilisés sur les itinéraires définies par l’utilisateur. Pour plus d'informations, consultez l’article relatif aux étiquettes de service.

Vérifier les règles de sécurité appliquées au trafic d’une machine virtuelle

Utilisez les diagnostics NSG pour vérifier les règles de sécurité appliquées au trafic provenant du sous-réseau Bastion vers la machine virtuelle.

  1. Dans la zone de recherche en haut du portail, recherchez et sélectionnez Network Watcher.

  2. Sous Outils de diagnostic réseau, sélectionnez Diagnostics NSG.

  3. Sur la page Diagnostics NSG, entrez ou sélectionnez les valeurs suivantes :

    Paramètre Valeur
    Ressource cible
    Type de ressource cible Sélectionnez Machine virtuelle.
    Machine virtuelle Sélectionnez la machine virtuelle myVM.
    Détails du trafic
    Protocol Sélectionnez TCP. Les autres options disponibles sont les suivantes : N’importe lequel, UDP et ICMP.
    Sens Sélectionnez Entrant. L’autre option disponible est la suivante : Sortant.
    Type de source Sélectionnez Adresse IPv4/CIDR. L’autre option disponible est la suivante : Étiquette de service.
    Adresse IPv4/CIDR Entrez 10.0.1.0/26, qui correspond à la plage d’adresses IP du sous-réseau Bastion. Les valeurs acceptables sont les suivantes : adresse IP unique, adresses IP multiples, préfixe IP unique, préfixes IP multiples.
    Adresse IP de destination Conservez la valeur par défaut 10.0.0.4, qui correspond à l’adresse IP de myVM.
    Port de destination Entrez * pour inclure tous les ports.

    Capture d’écran montrant les valeurs requises pour les diagnostics NSG afin de tester les connexions entrantes vers une machine virtuelle dans le portail Azure.

  4. Sélectionnez Exécuter les diagnostics de groupe de sécurité réseau pour lancer le test. Une fois que les diagnostics NSG ont terminé de vérifier toutes les règles de sécurité, ils affichent le résultat.

    Capture d’écran montrant le résultat des connexions entrantes vers la machine virtuelle avec l’état Refusé.

    Le résultat montre que trois règles de sécurité ont été évaluées pour la connexion entrante à partir du sous-réseau Bastion :

    • GlobalRules : cette règle d’administration de la sécurité est appliquée au niveau du réseau virtuel à l’aide d’Azure Virtual Network Manager. La règle autorise le trafic TCP entrant du sous-réseau Bastion vers la machine virtuelle.
    • mySubnet-nsg : ce groupe de sécurité réseau est appliqué au niveau du sous-réseau (sous-réseau de la machine virtuelle). La règle autorise le trafic TCP entrant du sous-réseau Bastion vers la machine virtuelle.
    • myVM-nsg : ce groupe de sécurité réseau est appliqué au niveau de l’interface réseau (NIC). La règle refuse le trafic TCP entrant du sous-réseau Bastion vers la machine virtuelle.
  5. Sélectionnez l’option Afficher les détails en regard de myVM-nsg pour afficher les détails des règles de sécurité de ce groupe de sécurité réseau et identifier la règle qui refuse le trafic.

    Capture d’écran montrant les détails du groupe de sécurité réseau qui a refusé le trafic vers la machine virtuelle.

    Dans le groupe de sécurité réseau myVM-nsg, la règle de sécurité DenyVnetInBound refuse tout trafic provenant de l’espace d’adressage de l’étiquette de service VirtualNetwork vers la machine virtuelle. L’hôte Bastion utilise des adresses IP de la plage d’adresses 10.0.1.0/26, incluse dans l’étiquette de service VirtualNetwork, pour se connecter à la machine virtuelle. Par conséquent, la connexion à partir de l’hôte Bastion est refusée par la règle de sécurité DenyVnetInBound.

Ajouter une règle de sécurité pour autoriser le trafic provenant du sous-réseau Bastion

Pour la connexion à myVM à l’aide d’Azure Bastion, le trafic provenant du sous-réseau Bastion doit être autorisé par le groupe de sécurité réseau. Pour autoriser le trafic provenant de la plage d’adresses 10.0.1.0/26, ajoutez une règle de sécurité avec une priorité plus élevée (numéro de priorité inférieur) que la règle DenyVnetInBound ou modifiez cette dernière pour autoriser le trafic provenant du sous-réseau Bastion.

Vous pouvez ajouter la règle de sécurité au groupe de sécurité réseau à partir de la page Network Watcher qui affichait les détails de la règle de sécurité refusant le trafic vers la machine virtuelle.

  1. Pour ajouter la règle de sécurité à partir de Network Watcher, sélectionnez + Ajouter une règle de sécurité, puis entrez ou sélectionnez les valeurs suivantes :

    Paramètre Valeur
    Source Sélectionnez Adresses IP.
    Plages d’adresses IP/CIDR sources Entrez 10.0.1.0/26, qui correspond à la plage d’adresses IP du sous-réseau Bastion.
    Source port ranges Entrez *.
    Destination sélectionnez N'importe laquelle.
    Service Sélectionnez Personnalisé.
    Plages de ports de destination Entrez *.
    Protocol sélectionnez N'importe laquelle.
    Action Sélectionnez Autoriser.
    Priorité Entrez 900, qui donne une priorité plus élevée que 1000, qui est utilisée pour la règle DenyVnetInBound.
    Nom Entrez AllowBastionConnections.

    Capture d’écran montrant comment ajouter une nouvelle règle de sécurité au groupe de sécurité réseau pour autoriser le trafic vers la machine virtuelle à partir du sous-réseau Bastion.

  2. Sélectionnez Revérifier pour réexécuter la session de diagnostics. La session de diagnostics devrait à présent indiquer que le trafic provenant du sous-réseau Bastion est autorisé.

    Capture d’écran montrant les détails du groupe de sécurité réseau après l’ajout d’une règle de sécurité qui autorise le trafic vers la machine virtuelle à partir du sous-réseau Bastion.

    La règle de sécurité AllowBastionConnections autorise le trafic vers la machine virtuelle à partir de n’importe quelle adresse IP dans 10.0.1.0/26. Étant donné que l’hôte Bastion utilise des adresses IP de 10.0.1.0/26, sa connexion à la machine virtuelle est autorisée par la règle de sécurité AllowBastionConnections.

Nettoyer les ressources

Quand vous n’avez plus besoin du groupe de ressources, supprimez-le, ainsi que toutes les ressources qu’il contient :

  1. Dans la zone de recherche située en haut du portail, entrez myResourceGroup. Sélectionnez myResourceGroup dans les résultats de la recherche.

  2. Sélectionnez Supprimer le groupe de ressources.

  3. Dans Supprimer un groupe de ressources, entrez myResourceGroup, puis sélectionnez Supprimer.

  4. Sélectionnez Supprimer pour confirmer la suppression du groupe de ressources et de toutes ses ressources.