Appliquer les principes de Confiance Zéro pour abandonner les technologies héritées de sécurité réseau
Cet article fournit de l’aide sur l’application des principes de Confiance Zéro pour abandonner les technologies héritées de sécurité réseau dans les environnements Azure. Voici les principes de Confiance Zéro.
| Principe de Confiance Zéro | Définition |
|---|---|
| Vérifier explicitement | Toujours s'authentifier et autoriser en fonction de tous les points de données disponibles. |
| Utiliser le droit d'accès minimal | Limitez l'accès utilisateur avec l'accès juste-à-temps et juste suffisant (JIT/JEA), des stratégies adaptatives basées sur les risques et une protection des données. |
| Supposer une violation | Réduisez le rayon d'explosion et segmentez l'accès. Vérifiez le chiffrement de bout en bout et utilisez l'analytique pour obtenir de la visibilité, détecter les menaces et améliorer les défenses. Améliorez les défenses de votre environnement Azure en supprimant ou en mettant à niveau vos services réseau hérités vers des niveaux de sécurité plus élevés. |
Cet article fait partie d’une série d’articles qui expliquent comment appliquer les principes de la Confiance Zéro au réseau Azure.
Les zones réseau Azure à examiner pour abandonner l’utilisation des technologies héritées de sécurité réseau sont les suivantes :
- Services de base de mise en réseau
- Services d’équilibrage de charge et de distribution de contenu
- Services de connectivité hybride
Effectuer une transition en abandonnant l’utilisation de technologies héritées de sécurité réseau peut empêcher un attaquant d’accéder à des environnements ou de s’y déplacer pour infliger des dommages étendus (le principe de Confiance zéro Supposer une violation).
Architecture de référence
Le diagramme suivant montre l’architecture de référence de cette aide de Confiance Zéro pour l’abandon de la technologie héritée de sécurité réseau pour les composants de votre environnement Azure.
Cette architecture de référence inclut :
- Des charges de travail Azure IaaS exécutées sur des machines virtuelles Azure.
- Services Azure.
- Un réseau virtuel de sécurité qui contient une passerelle VPN Azure et Azure Application Gateway.
- Un réseau virtuel de périphérie Internet qui contient un équilibreur de charge Azure.
- Azure Front Door en périphérie de l’environnement Azure.
Que contient cet article ?
Vous appliquez les principes de Confiance Zéro dans l’architecture de référence, depuis les utilisateurs et les administrateurs sur Internet ou votre réseau local jusqu’au sein de votre environnement Azure. Le tableau suivant liste les tâches clés pour l’abandon de la technologie héritée de sécurité réseau dans cette architecture pour le principe de Confiance zéro Supposer une violation.
| Step | Task |
|---|---|
| 1 | Passez en revue vos services réseau de base. |
| 2 | Passez en revue vos services de distribution de contenu et d’équilibrage de charge. |
| 3 | Passez en revue vos services de connectivité hybride. |
Étape 1 : Passer en revue vos services réseau de base
Votre examen des services réseau de base inclut :
- Passer de la référence SKU Adresse IP publique De base à la référence SKU Adresse IP publique Standard.
- Vérifier que les adresses IP de machine virtuelle utilisent un accès sortant explicite.
Ce diagramme montre les composants pour la mise à jour des services réseau de base d’Azure dans l’architecture de référence.
Référence SKU Adresse IP De base
Les adresses IP (publiques et privées) font partie des services IP dans Azure qui permettent la communication entre des ressources privées et des ressources publiques. Les adresses IP publiques sont liées à des services tels que des passerelles de réseau virtuel, des passerelles d’application et d’autres qui ont besoin d’une connectivité sortante à Internet. Les adresses IP privées permettent la communication interne entre des ressources Azure.
La référence SKU Adresse IP publique De base est considérée aujourd’hui comme étant héritée et a plus de limitations que la référence SKU Adresse IP publique Standard. Une des principales limitations de la référence SKU Adresse IP publique De base pour Confiance Zéro est que l’utilisation de groupes de sécurité réseau n’est pas obligatoire mais seulement recommandée, tandis qu’elle est obligatoire avec la référence SKU Adresse IP publique Standard.
Une autre fonctionnalité importante pour la référence SKU Adresse IP publique Standard est la possibilité de sélectionner une préférence de routage, comme un routage via le réseau global de Microsoft. Cette fonctionnalité sécurise dans la mesure du possible le trafic au sein du réseau principal de Microsoft, et le trafic sortant sort du réseau aussi près que possible du service ou de l’utilisateur final.
Pour plus d’informations, consultez Services d’adresse IP de réseau virtuel Azure.
Remarque
La référence SKU Adresse IP publique De base sera mise hors service en septembre 2025.
Accès sortant par défaut
Par défaut, Azure fournit un accès sortant à Internet. La connectivité depuis les ressources est accordée par défaut avec les routes système et par les règles de trafic sortant par défaut pour les groupes de sécurité réseau en place. En d’autres termes, si aucune méthode de connectivité sortante explicite n’est configurée, Azure configure une adresse IP d’accès sortant par défaut. Cependant, sans accès sortant explicite, certains risques de sécurité existent.
Microsoft vous recommande de ne pas laisser une adresse IP de machine virtuelle ouverte au trafic Internet. Il n’existe aucun contrôle sur l’accès IP sortant par défaut, et les adresses IP sortantes ainsi que leurs dépendances peuvent changer. Pour les machines virtuelles dotées de plusieurs cartes réseau, il n’est pas recommandé d’autoriser toutes les adresses IP de carte réseau à disposer d’un accès sortant Internet. Au lieu de cela, vous devez restreindre l’accès aux seules cartes réseau nécessaires.
Microsoft vous recommande de configurer l’accès sortant explicite avec une des options suivantes :
-
Pour le plus grand nombre possible de ports de traduction d’adresses réseau sources (SNAT), Microsoft recommande Azure NAT Gateway pour la connectivité sortante.
Référence SKU Standard des équilibreurs de charge Azure
Ceci nécessite une règle d’équilibrage de charge pour programmer SNAT, ce qui peut ne pas être aussi efficace qu’une passerelle Azure NAT Gateway.
Utilisation restreinte des adresses IP publiques
L’affectation d’une adresse IP publique directe à une machine virtuelle doit se faire seulement pour les environnements de test ou de développement, en raison de considérations relatives à la scalabilité et à la sécurité.
Étape 2 : Passer en revue vos services de distribution de contenu et d’équilibrage de charge
Azure dispose de nombreux services de livraison d’applications qui vous aident à envoyer et distribuer le trafic vers vos applications web. Parfois, une nouvelle version ou un nouveau niveau du service améliore l’expérience et fournit les dernières mises à jour. Vous pouvez utiliser l’outil de migration au sein de chacun des services de livraison d’applications pour passer facilement à la version la plus récente du service et tirer parti des fonctionnalités nouvelles et améliorées.
Votre examen des services de distribution de contenu et d’équilibrage de charge inclut :
- Migration de votre niveau d’Azure Front Door du niveau Classique vers les niveaux Premium ou Standard.
- Migration de vos passerelles Azure Application Gateway vers WAF_v2.
- Migration vers la référence SKU d’Azure Load Balancer.
Ce diagramme montre les composants pour la mise à jour des services de distribution de contenu et d’équilibrage de charge Azure.
Azure Front Door
Azure Front Door a trois niveaux : Premium, Standard et Classique. Les niveaux Standard et Premium combinent des fonctionnalités du niveau Classique d’Azure Front Door, d’Azure Content Delivery Network et d’Azure Web Application Firewall (WAF) en un seul service.
Microsoft recommande de migrer vos profils Azure Front Door classiques vers les niveaux Premium ou Standard pour profiter de ces nouvelles fonctionnalités et mises à jour. Le niveau Premium est centré sur des fonctionnalités de sécurité améliorées, comme la connectivité privée à vos services back-ends, les règles WAF managées par Microsoft et la protection contre les bots pour vos applications web.
En plus des fonctionnalités améliorées, Azure Front Door Premium inclut des rapports de sécurité qui sont intégrés au service sans coûts supplémentaires. Ces rapports vous aident à analyser les règles de sécurité WAF et à voir à quel types d’attaques vos applications web pourraient faire face. Le rapport de sécurité vous permet également d’examiner des métriques selon différentes dimensions, ce qui vous aide à comprendre d’où provient le trafic et vous donne une répartition des principaux événements par critères.
Le niveau Premium d’Azure Front Door fournit les mesures de sécurité Internet les plus robustes entre les clients et les applications web.
Application Gateway Azure
Les passerelles Azure Application Gateway ont deux types de référence SKU, v1 et v2, et une version de WAF qui peut être appliquée aux deux références SKU. Microsoft recommande de migrer votre passerelle Azure Application Gateway vers la référence SKU WAF_v2 pour tirer parti des mises à niveau des performances et de nouvelles fonctionnalités, comme la mise à l’échelle automatique, les règles WAF personnalisées et la prise en charge d’Azure Private Link.
Les règles WAF personnalisées vous permettent de spécifier des conditions pour évaluer chaque requête qui passe par Azure Application Gateway. Ces règles ont une priorité plus élevée que les règles des ensembles de règles managées, et elles peuvent être personnalisées pour répondre aux besoins de votre application et à vos exigences de sécurité. Les règles WAF personnalisées peuvent également limiter l’accès à vos applications web par pays ou par régions en mettant en correspondance une adresse IP avec un code de pays.
L’autre avantage de la migration vers WAFv2 est que vous pouvez vous connecter à votre passerelle Azure Application Gateway via le service Azure Private Link lors de l’accès depuis un autre réseau virtuel ou un autre abonnement. Cette fonctionnalité vous permet de bloquer l’accès public à Azure Application Gateway, tout en autorisant l’accès des utilisateurs et des appareils seulement via un point de terminaison privé. Avec la connectivité Azure Private Link, vous devez approuver chaque connexion de point de terminaison privé, ce qui garantit que seule l’entité appropriée peut avoir un accès. Pour plus d’informations sur les différences entre la référence SKU v1 et v2, consultez Azure Application Gateway v2.
Équilibrage de charge Azure
Avec la mise hors service prévue de la référence SKU Adresse IP publique De base en septembre 2025, vous devez mettre à niveau les services qui utilisent des adresses IP de la référence SKU Adresse IP publique De base. Microsoft recommande de migrer vos équilibreurs de charge Azure de la référence SKU De base actuels vers des équilibreurs de charge Azure de la référence SKU Standard pour implémenter des mesures de sécurité qui ne sont pas incluses avec la référence SKU De base.
Avec la référence SKU Standard d’Azure Load Balancer, vous êtes sécurisé par défaut. Tout le trafic Internet entrant vers l’équilibreur de charge public est bloqué, sauf s’il est autorisé par les règles du groupe de sécurité réseau appliqué. Ce comportement par défaut empêche d’autoriser accidentellement le trafic Internet vers vos machines virtuelles ou vos services avant que vous soyez prêt, et garantit que vous contrôlez le trafic qui peut accéder à vos ressources.
La référence SKU Standard d’Azure Load Balancer utilise Azure Private Link pour créer des connexions de point de terminaison privé, ce qui est utile dans les cas où vous voulez autoriser l’accès privé à vos ressources derrière un équilibreur de charge et que les utilisateurs y accèdent depuis leur environnement.
Étape 3 : Passer en revue vos services de connectivité hybride
L’examen de vos services de connectivité hybride inclut l’utilisation de la nouvelle génération de références SKU pour la passerelle VPN Azure.
Ce diagramme montre les composants pour la mise à jour des services de connectivité hybride d’Azure dans l’architecture de référence.
Le moyen le plus efficace de connecter des réseaux hybrides dans Azure est actuellement d’utiliser les références SKU de nouvelle génération pour la passerelle VPN Azure. Vous pouvez continuer à utiliser des passerelles VPN classiques, mais celles-ci sont obsolètes, et moins fiables et efficaces. Les passerelles VPN classiques prennent en charge un maximum de 10 tunnels IPsec (Internet Protocol Security), tandis que les références SKU plus récentes de la passerelle VPN Azure peuvent être mises à l’échelle jusqu’à 100 tunnels.
Les références SKU plus récentes fonctionnent sur un modèle de pilote plus récent et incorporent les dernières mises à jour logicielles de sécurité. Les modèles de pilotes plus anciens étaient basés sur des technologies Microsoft obsolètes qui ne conviennent pas aux charges de travail modernes. Les modèles de pilotes plus récents offrent non seulement des performances et du matériel supérieurs, mais aussi une résilience améliorée. L’ensemble AZ des références SKU de passerelles VPN peuvent être positionnées dans des zones de disponibilité et prendre en charge les connexions actives-actives avec plusieurs adresses IP publiques, ce qui améliore la résilience et offre des options améliorées pour la récupération d’urgence.
En outre, concernant les besoins de routage dynamique, les passerelles VPN classiques ne pouvaient pas exécuter le protocole BGP (Border Gateway Protocol), utilisaient seulement IKEv1 et ne prenaient pas en charge le routage dynamique. En résumé, les passerelles VPN de la référence SKU Classique sont conçues pour des charges de travail plus petites, une bande passante faible et des connexions statiques.
Les passerelles VPN classiques ont également des limitations de la sécurité et des fonctionnalités de leurs tunnels IPsec. Ils prennent en charge seulement le mode basé sur des stratégies avec le protocole IKEv1, et un ensemble limité de chiffrements et d’algorithmes de hachage qui sont plus susceptibles de violations. Microsoft vous recommande de passer aux nouvelles références SKU, qui offrent un large éventail d’options pour les protocoles Phase 1 et Phase 2. Un avantage clé est que les passerelles VPN basées sur les routes peuvent utiliser à la fois le mode principal IKEv1 et IKEv2, offrant une plus grande flexibilité d’implémentation, et des algorithmes de chiffrement et de hachage plus robustes.
Si vous avez besoin d’une sécurité plus élevée que les valeurs de chiffrement par défaut, notez que les passerelles VPN basées sur les routes permettent de personnaliser les paramètres de Phase 1 et de Phase 2 pour sélectionner des chiffrements et des longueurs de clé spécifiques. Les groupes de chiffrement plus forts incluent le groupe 14 (2048 bits), le groupe 24 (groupe MODP 2048 bits) ou ECP (groupes de courbes elliptiques) 256 bits ou 384 bits (le groupe 19 et le groupe 20, respectivement). En outre, vous pouvez spécifier les plages de préfixes autorisées à envoyer du trafic chiffré en utilisant le paramètre Sélecteur de trafic pour protéger davantage la négociation des tunnels contre le trafic non autorisé.
Pour plus d’informations, consultez Chiffrement de la passerelle VPN Azure.
Les références SKU de passerelle VPN Azure facilitent l’utilisation par les connexions VPN point à site (P2S) des protocoles IPsec basés sur les protocoles IKEv2 Standard et VPN basés sur SSL/TLS, comme OpenVPN et SSTP (Secure Socket Tunneling Protocol). Cette prise en charge fournit aux utilisateurs différentes méthodes d’implémentation et leur permet de se connecter à Azure en utilisant différents systèmes d’exploitation d’appareils. Les références SKU de passerelle VPN Azure offrent également de nombreuses options d’authentification de client, notamment l’authentification par certificat, l’authentification Microsoft Entra ID et l’authentification AD DS (Active Directory Domain Services).
Remarque
Les passerelles IPSec classiques seront mises hors service le 31 août 2024.
Entraînement recommandé
- Configurer et gérer des réseaux virtuels pour les administrateurs Azure
- Sécuriser et isoler l’accès aux ressources Azure en utilisant des groupes de sécurité réseau et des points de terminaison de service
- Introduction à Azure Front Door
- Introduction à Azure Application Gateway
- Présentation du pare-feu d’applications web Azure
- Présentation d’Azure Private Link
- Connecter votre réseau local à Azure avec une passerelle VPN
Étapes suivantes
Pour plus d’informations sur la mise en application de la Confiance Zéro aux réseaux Azure, consultez :
- Chiffrer les communications réseau basées sur Azure
- Segmenter la communication réseau basée sur Azure
- Gagner de la visibilité sur votre trafic réseau
- Sécuriser les réseaux avec la Confiance Zéro
- Réseaux virtuels Spoke dans Azure
- Réseaux virtuels Hub dans Azure
- Réseaux virtuels Spoke avec les services PaaS Azure
- Azure Virtual WAN
Références
Reportez-vous à ces liens pour en savoir plus sur les différents services et technologies mentionnés dans cet article.