Groupes de sécurité réseau

Vous pouvez utiliser un groupe de sécurité réseau Azure pour filtrer le trafic réseau entre des ressources Azure dans un réseau virtuel Azure. Un groupe de sécurité réseau contient des règles de sécurité qui autorisent ou rejettent le trafic réseau entrant et sortant vers différents types de ressources Azure. Pour chaque règle, vous pouvez spécifier la source et la destination, le port et le protocole.

Cet article décrit les propriétés d’une règle de groupe de sécurité réseau, les règles de sécurité par défaut appliquées et les propriétés de règle que vous pouvez modifier pour créer une règle de sécurité augmentée.

Règles de sécurité

Un groupe de sécurité réseau contient le nombre de règles souhaité, dans les limites de l’abonnement Azure. Chaque règle spécifie les propriétés suivantes :

Propriété Explication
Nom Nom unique au sein du groupe de sécurité réseau. Le nom peut contenir jusqu’à 80 caractères. Il doit commencer par un caractère alphabétique et se terminer par un caractère alphabétique ou « _ ». Le nom peut contenir des caractères alphabétiques ou « . », « - », « _ ».
Priorité Nombre compris entre 100 et 4096. Les règles sont traitées dans l’ordre croissant, car les nombres les plus faibles sont prioritaires. Une fois que le trafic correspond à une règle, le traitement s’arrête. Par conséquent, les règles avec des priorités plus faibles (des nombres plus élevés) et ayant les mêmes attributs que les règles de priorité supérieure ne sont pas traitées.
Les règles de sécurité par défaut Azure reçoivent le nombre le plus élevé avec la priorité la plus basse pour s’assurer du traitement prioritaire des règles personnalisées.
Source ou destination Une adresse IP, un bloc de routage CIDR (par exemple, 10.0.0.0/24), une balise de service ou un groupe de sécurité d’application. Si vous spécifiez une adresse pour une ressource Azure, spécifiez l’adresse IP privée assignée à la ressource. Les groupes de sécurité réseau sont traités une fois qu’Azure a converti une adresse IP publique en adresse IP privée pour le trafic entrant, et avant qu’Azure ne convertisse une adresse IP privée en une adresse IP publique pour le trafic sortant. Moins de règles de sécurité sont nécessaires lorsque vous spécifiez une plage, une étiquette de service ou un groupe de sécurité d’application. La possibilité de spécifier plusieurs adresses IP individuelles et plages (vous ne pouvez pas spécifier plusieurs balises de service ou groupes d’applications) dans une règle est désignée sous le nom de règles de sécurité augmentée. Les règles de sécurité augmentée peuvent uniquement être créées dans des groupes de sécurité réseau créés par le biais du modèle de déploiement du Gestionnaire de ressources. Vous ne pouvez pas spécifier plusieurs adresses IP et plages d’adresses IP dans les groupes de sécurité réseau créés par le biais du modèle de déploiement classique.
Si la source pointe vers le sous-réseau 10.0.1.0/24 (où se trouve VM1) et la destination vers le sous-réseau 10.0.2.0/24 (où se trouve VM2), cela indique que l’objectif du NSG est de filtrer le trafic réseau pour VM2 et que le NSG est associé à l’interface réseau de VM2.
Protocol TCP, UDP, ICMP, ESP, AH ou n’importe lequel. Les protocoles ESP et AH ne sont pas actuellement disponibles via le portail Azure, mais peuvent être utilisés via des modèles ARM.
Sens Indique si la règle s’applique au trafic entrant ou sortant.
Plage de ports Vous pouvez spécifier un port individuel ou une plage de ports. Par exemple, indiquez 80 ou 10000-10005. La spécification de plages vous permet de créer moins de règles de sécurité. Les règles de sécurité augmentée peuvent uniquement être créées dans des groupes de sécurité réseau créés par le biais du modèle de déploiement du Gestionnaire de ressources. Vous ne pouvez pas spécifier plusieurs ports ou plages de ports dans les groupes de sécurité réseau créés par le biais du modèle de déploiement classique.
Action Autoriser ou refuser

Les règles de sécurité sont évaluées et appliquées en fonction des informations de cinq tuples (source, port source, destination, port de destination et protocole). Vous ne pouvez pas créer deux règles de sécurité avec les mêmes priorité et direction. Un enregistrement de flux est créé pour les connexions existantes. La communication est autorisée ou refusée en fonction de l’état de connexion de l’enregistrement de flux. L’enregistrement de flux permet d’obtenir un groupe de sécurité réseau avec état. Si vous spécifiez une règle de sécurité sortante vers n’importe quelle adresse sur le port 80, par exemple, il n’est pas nécessaire d’indiquer une règle de sécurité entrante pour la réponse au trafic sortant. Vous devez uniquement spécifier une règle de sécurité entrante si la communication est établie en externe. Le contraire est également vrai. Si le trafic entrant est autorisé sur un port, il n’est pas nécessaire de spécifier une règle de sécurité sortante pour répondre au trafic sur ce port.

Les connexions existantes peuvent ne pas être interrompues lorsque vous supprimez une règle de sécurité qui autorisait la connexion. La modification des règles du groupe de sécurité réseau n’affecte que les nouvelles connexions. Quand une règle est créée ou qu’une règle existante est mise à jour dans un groupe de sécurité réseau, elle s’applique uniquement aux nouvelles connexions. Les connexions existantes ne sont pas réévaluées en fonction des nouvelles règles.

Le nombre de règles de sécurité que vous pouvez créer dans un groupe de sécurité réseau est limité. Pour plus d’informations, consultez limites Azure.

Règles de sécurité par défaut

Azure crée les règles par défaut suivantes dans chaque groupe de sécurité réseau que vous créez :

Trafic entrant

AllowVNetInBound
Priority Source Ports source Destination Ports de destination Protocole Accès
65 000 VirtualNetwork 0-65535 VirtualNetwork 0-65535 Quelconque Allow
AllowAzureLoadBalancerInBound
Priority Source Ports source Destination Ports de destination Protocole Accès
65 001 AzureLoadBalancer 0-65535 0.0.0.0/0 0-65535 Quelconque Allow
DenyAllInbound
Priority Source Ports source Destination Ports de destination Protocole Accès
65 500 0.0.0.0/0 0-65535 0.0.0.0/0 0-65535 Quelconque Deny

Règle de trafic sortant

AllowVnetOutBound
Priority Source Ports source Destination Ports de destination Protocole Accès
65 000 VirtualNetwork 0-65535 VirtualNetwork 0-65535 Quelconque Allow
AllowInternetOutBound
Priority Source Ports source Destination Ports de destination Protocole Accès
65 001 0.0.0.0/0 0-65535 Internet 0-65535 Quelconque Allow
DenyAllOutBound
Priority Source Ports source Destination Ports de destination Protocole Accès
65 500 0.0.0.0/0 0-65535 0.0.0.0/0 0-65535 Quelconque Deny

Dans les colonnes Source et Destination, VirtualNetwork, AzureLoadBalancer et Internet sont des balises de service, non des adresses IP. Dans la colonne de protocole, Any (N’importe lequel) englobe TCP, UDP et ICMP. Lorsque vous créez une règle, vous pouvez spécifier TCP, UDP, ICMP ou Any (N’importe lequel). 0.0.0.0/0 dans les colonnes Source et Destination représente toutes les adresses. Les clients comme le portail Azure, Azure CLI ou PowerShell peuvent utiliser « * » ou « any » pour cette expression.

Vous ne pouvez pas supprimer les règles par défaut, mais vous pouvez les remplacer par des règles de priorité plus élevée.

Règles de sécurité augmentée

Les règles de sécurité augmentée simplifient la définition de la sécurité pour les réseaux virtuels, ce qui vous permet de définir des stratégies de sécurité réseau plus vastes et plus complexes, avec moins de règles. Vous pouvez combiner plusieurs ports ainsi que des adresses ou plages d’adresses IP explicites dans une seule règle de sécurité facilement compréhensible. Utiliser des règles de sécurité augmentée dans les champs de la source, de la destination et du port d’une règle. Pour simplifier la maintenance de votre définition de règle de sécurité, combinez des règles de sécurité augmentée avec des balises de service ou des groupes de sécurité d’application. Le nombre d’adresses, les plages et les ports que vous pouvez spécifier dans une règle sont limités. Pour plus d’informations, consultez limites Azure.

Balises de service

Une balise de service représente un groupe de préfixes d’adresses IP d’un service Azure donné. Elle permet de minimiser la complexité des mises à jour fréquentes des règles de sécurité réseau.

Pour plus d’informations, consultez Balises de Service Azure. Pour obtenir un exemple d’utilisation de la balise de service de stockage pour limiter l’accès réseau, consultez Limiter l’accès réseau aux ressources PaaS.

Groupes de sécurité d’application

Les groupes de sécurité d’application permettent de configurer la sécurité réseau comme un prolongement naturel de la structure de l’application, et donc de regrouper les machines virtuelles et définir des stratégies de sécurité réseau basés sur ces groupes. Vous pouvez réutiliser votre stratégie de sécurité à grande échelle sans maintenance manuelle d’adresses IP explicites. Pour en savoir plus, consultez Groupes de sécurité d’application.

Considérations relatives à la plateforme Azure

  • Adresse IP virtuelle du nœud hôte : Des services d’infrastructure de base tels que DHCP, DNS, IMDS et l’analyse de l’intégrité sont fournis par le biais des adresses IP d’hôte virtualisées 168.63.129.16 et 169.254.169.254. Ces adresses IP appartiennent à Microsoft et sont les seules adresses IP virtualisées utilisées à cet effet dans toutes les régions. Par défaut, ces services ne sont pas soumis aux groupes de sécurité réseau configurés, sauf si les étiquettes de service spécifiques à chaque service sont ciblées. Pour remplacer cette communication d’infrastructure de base, vous pouvez créer une règle de sécurité pour refuser le trafic en utilisant les balises de service suivantes sur vos règles de groupe de sécurité réseau : AzurePlatformDNS, AzurePlatformIMDS, AzurePlatformLKM. Découvrez comment diagnostiquer le filtrage de trafic réseau et diagnostiquer le routage réseau.

  • Gestion des licences (Service de gestion des clés) : Les images Windows en cours d’exécution sur les machines virtuelles doivent être acquises sous licence. Pour assurer la gestion des licences, une requête est envoyée aux serveurs hôtes du Service de gestion de clés qui gèrent les requêtes de ce type. La requête est effectuée en sortie par le biais du port 1688. Cette règle de plateforme est désactivée pour les déploiements utilisant la configuration itinéraire par défaut 0.0.0.0/0.

  • Machines virtuelles dans des pools d’équilibrage de charge : Le port source et la plage d’adresses appliquées proviennent de l’ordinateur d’origine, pas de l’équilibreur de charge. La plage de ports et d’adresses de destination sont ceux de l’ordinateur de destination, et non de l’équilibreur de charge.

  • Instances de service Azure : Les instances de plusieurs services Azure, tels que HDInsight, les environnements de service d’application et Virtual Machine Scale Sets, sont déployées dans des sous-réseaux du réseau virtuel. Pour obtenir la liste complète des services que vous pouvez déployer sur des réseaux virtuels, consultez Réseau virtuel pour les services Azure. Avant d’appliquer un groupe de sécurité réseau au sous-réseau, familiarisez-vous avec les exigences de port pour chaque service. Si vous refusez les ports requis par le service, ce dernier ne fonctionnera pas correctement.

  • Envoi d’e-mail sortant : Microsoft vous recommande l’utilisation de services de relais authentifiés SMTP (généralement connectés via le port TCP 587, mais parfois via d’autres ports) pour envoyer un e-mail depuis des machines virtuelles Azure. Les services de relais SMTP se spécialisent dans la réputation des expéditeurs, afin de minimiser les risques de renvoi de messages de la part de fournisseurs de messagerie tiers. Ce type de services de relais SMTP incluent, sans s’y limiter, Exchange Online Protection et SendGrid. L’utilisation de services de relais SMTP n’est en aucun cas limitée dans Azure et ne tient pas compte de votre type d’abonnement.

    Si vous avez créé votre abonnement Azure avant le 15 novembre 2017, vous pouvez, en plus d’utiliser des services de relais SMTP, envoyer des messages électroniques via le port TCP 25 directement. Si vous avez créé votre abonnement après le 15 novembre 2017, vous ne serez peut-être pas en mesure d’envoyer des messages électroniques via le port TCP 25 directement. Le comportement des communications sortantes via le port 25 dépend de votre type d’abonnement :

    • Contrat Entreprise : Pour les machines virtuelles qui sont déployées dans des abonnements Contrat Entreprise standard, les connexions SMTP sortantes sur le port TCP 25 ne sont pas bloquées. Cependant, il n’y a aucune garantie que les domaines externes accepteront les e-mails entrants en provenance des machines virtuelles. Si vos e-mails sont rejetés ou filtrés par les domaines externes, vous devez contacter les fournisseurs de services de messagerie des domaines externes pour résoudre les problèmes. Ces problèmes ne sont pas couverts par le support Azure.

      Pour les abonnements Enterprise Dev/Test, le port 25 est bloqué par défaut. Il est possible de faire sauter ce blocage. Pour demander la suppression du blocage, accédez à la section Impossible d’envoyer un e-mail (SMTP/Port 25) de la page de paramètres Diagnostiquer et résoudre pour la ressource Réseau virtuel Azure sur le portail Azure, puis exécutez le diagnostic. Cela permet d’exempter automatiquement les abonnements qualifiés Enterprise Dev/Test.

      Une fois que l’abonnement est exempté de ce blocage et que les machines virtuelles sont arrêtées et redémarrées, toutes les machines virtuelles de cet abonnement sont exemptées. L’exemption s’applique uniquement à l’abonnement demandé et au trafic de machine virtuelle acheminé directement vers Internet.

    • Paiement à l’utilisation : Les communications sortantes via le port 25 sont bloquées pour toutes les ressources. Aucune demande pour retirer la restriction ne peut être faite. Elles ne sont pas autorisées. Si vous devez envoyer des courriers électroniques depuis votre machine virtuelle, vous devez utiliser un service de relais SMTP.

    • MSDN, Azure Pass, Azure en version Open, Education et Essai gratuit : la communication sur le port de sortie 25 est bloquée pour toutes les ressources. Aucune demande pour retirer la restriction ne peut être faite. Elles ne sont pas autorisées. Si vous devez envoyer des courriers électroniques depuis votre machine virtuelle, vous devez utiliser un service de relais SMTP.

    • Fournisseur de services cloud : Les communications sortantes via le port 25 sont bloquées vers toutes les ressources. Aucune demande pour retirer la restriction ne peut être faite. Elles ne sont pas autorisées. Si vous devez envoyer des courriers électroniques depuis votre machine virtuelle, vous devez utiliser un service de relais SMTP.

Étapes suivantes