Annonce d’Azure Private Link

Publié le 17 septembre, 2019

Corporate Vice President, Azure Networking

Les clients apprécient l’échelle d’Azure, qui leur permet de s’étendre dans le monde entier tout en restant hautement disponible. En raison de l’augmentation rapide de l’adoption d’Azure, les besoins les clients de pouvoir accéder aux données et aux services de manière privée et sécurisée à partir de leurs réseaux connaissent une croissance exponentielle. C’est pourquoi nous annonçons la préversion d’Azure Private Link.

Azure Private Link est un moyen sécurisé et évolutif pour les clients Azure d’utiliser des services Azure tels que Stockage Azure ou SQL, des services de partenaires Microsoft ou leurs propres services de manière privée à partir de leur réseau virtuel Azure. La technologie est basée sur un modèle de fournisseur et de consommateur dans lequel le fournisseur et le consommateur sont tous deux hébergés dans Azure. Une connexion est établie à l’aide d’un flux d’appels basé sur un consentement et ensuite toutes les données échangées entre le fournisseur du service et le consommateur du service sont isolées d’Internet et restent sur le réseau Microsoft. Il n’est pas nécessaire que les passerelles, les appareils de traduction d’adresses réseau (NAT) ou les adresses IP publiques communiquent avec le service.

Azure Private Link introduit les services Azure dans le réseau virtuel privé du client. Vous pouvez accéder aux ressources d’un service à l’aide de son adresse IP privée, comme pour toute autre ressource du réseau virtuel. Cela simplifie considérablement la configuration du réseau en maintenant les règles d’accès privées.

Diagramme présentant la topologie de liaison privée. Partant des services associés à la liaison privée, puis liée et mise à disposition dans le réseau virtuel du client via un point de terminaison privé.

Aujourd’hui, nous aimerions mettre en évidence quelques cas d’utilisation de clé unique rendus possibles par l’annonce d’Azure Private Link :

Connectivité privée aux services PaaS Azure

Les services partagés mutualisés, tels que Stockage Azure et Azure SQL Database, ne font pas partie de votre réseau virtuel et sont accessibles uniquement via l’interface publique. Aujourd’hui, vous pouvez sécuriser cette connexion à l’aide de points de terminaison de service de réseau virtuel qui maintiennent le trafic à l’intérieur du réseau principal de Microsoft, et permettent que la ressource PaaS soit verrouillée uniquement sur votre réseau virtuel. Toutefois, le point de terminaison PaaS restant desservi via une adresse IP publique, par conséquent, il n’est pas accessible à partir d’un site local via un peering privé Azure ExpressRoute ou une passerelle VPN. Suite à l’annonce d’Azure Private Link aujourd’hui, vous pouvez simplement créer un point de terminaison privé dans votre réseau virtuel et le mapper à votre ressource PaaS (blob de compte de Stockage Azure Storage ou serveur SQL Database). Ces ressources sont ensuite accessibles via une adresse IP privée de votre réseau virtuel, ce qui permet la connectivité à partir du site local via un peering privé Azure ExpressRoute ou une passerelle VPN, et simplifie la configuration du réseau en ne l’ouvrant pas aux adresses IP publiques.

Connectivité privée à votre propre service

Cette nouvelle offre ne se limite pas aux services PaaS Azure. Vous pouvez également en tirer parti pour votre propre service . Aujourd’hui, en tant que fournisseur de services dans Azure, vous devez rendre votre service accessible via une interface publique (adresse IP) afin que d’autres utilisateurs opérant dans Azure puissent y accéder. Vous pouvez utiliser un peering de réseaux virtuels et vous connecter au réseau virtuel de l’utilisateur pour le rendre privé. Toutefois, celui-ci n’étant pas évolutif et la connexion entraîne rapidement des conflits d’adresses IP. Suite à l’annonce d’aujourd’hui, vous pouvez exécuter votre service de façon entièrement privée dans votre propre réseau virtuel derrière un équilibreur de charge standard Azure, l’activer pour Azure Private Link, puis le rendre accessible à des utilisateurs opérant dans un réseau virtuel, un abonnement ou un client Azure Active Directory (AD) différents, utilisant tous de simples clics et un flux d’appel d’approbation. En tant qu’utilisateur de service, il vous suffit de créer un point de terminaison privé dans votre propre réseau virtuel, puis d’utiliser le service Azure Private Link de manière totalement privée sans ouvrir vos listes de contrôle d’accès (ACL) à aucun espace d’adressage IP public.

Diagramme avant et après présentant des services traditionnellement exposés via des adresses IP publiques, puis exposés en privé dans le réseau virtuel via Private Link

Connectivité privée à un service SaaS

Plusieurs partenaires de Microsoft offrent déjà de nombreuses solutions de logiciel en tant que service (SaaS, software-as-a-service) à des clients Azure. Ces solutions sont proposées sur des points de terminaison publics. Pour pouvoir utiliser ces solutions SaaS, les clients Azure doivent ouvrir leurs réseaux privés à l’Internet public. Certains clients souhaitent utiliser ces solutions SaaS au sein de leurs réseaux privés, comme si elles y étaient directement déployées. La possibilité d’utiliser les solutions SaaS en privé au sein du réseau du client est une demande courante. Avec Azure Private Link, nous étendons l’expérience de connectivité privée aux partenaires Microsoft. Il s’agit d’un mécanisme très puissant permettant aux partenaires Microsoft d’atteindre des clients Azure. Nous sommes convaincus que de nombreuses offres futures de la Place de marché Azure seront faites via Azure Private Link. 

Principaux points saillants d’Azure Private Link

  • Accès privé en local : Les ressources PaaS étant mappées à des adresses IP privées dans le réseau virtuel du client, elles sont accessibles via un peering privé Azure ExpressRoute. Cela signifie que les données parcourent un chemin totalement privé, de site local à Azure. La configuration dans les pare-feu d’entreprise et les tables de routage peut être simplifiée en limitant l’accès aux adresses IP privées.
  • Protection contre l’exfiltration de données : Azure Private Link est unique en ce qui concerne le mappage d’une ressource PaaS spécifique vers une adresse IP privée, par opposition au mappage d’un service complet comme le font d’autres fournisseurs de cloud. Cela signifie essentiellement que toute intention malveillante d’exfiltrer les données vers un autre compte en utilisant le même point de terminaison privé échouera, ce qui constitue une protection intégrée contre l’exfiltration des données.
  • Simple à configurer : Azure Private Link est facile à configurer et ne nécessite qu’une configuration réseau minimale. La connectivité fonctionne sur un flux d’appel d’approbation. Une fois qu’une ressource PaaS est mappée à un point de terminaison privé, la connectivité fonctionne immédiatement, sans configuration supplémentaire, sur les tables de routage et les groupes de sécurité réseau (NSG) Azure.

  • Espaces d’adressage se chevauchant : Traditionnellement, les clients utilisent des peerings de réseau virtuel comme mécanisme pour connecter plusieurs réseaux virtuels. Le peering de réseau virtuel nécessite que les réseaux virtuels disposent d’espaces d’adressage ne se chevauchant pas. Dans les cas d’utilisation en entreprise, il est fréquent de trouver des réseaux disposant d’espaces d’adressage IP se chevauchant. Azure Private Link offre un moyen alternatif de connecter en privé des applications de différents réseaux virtuels disposant d’espaces d’adressage IP se chevauchant.

Simple diagramme illustrant des services sur des machines virtuelles dans un réseau virtuel exposé à des utilisateurs dans un autre réseau virtuel au sein d’un espace d’adressage IP privé avec Azure Private Link.

Feuille de route

Nous annonçons aujourd’hui la préversion d’Azure Private Link dans un ensemble limité de régions. Nous allons nous étendre à d’autres régions dans un avenir proche. De plus, nous allons ajouter d’autres services PaaS Azure à Azure Private Link, dont Azure Cosmos DB, Azure MySQL, Azure PostgreSQL, Azure MariaDB, Azure Application Service, Azure Key Vault et des services de partenaires dans les prochains mois.

Nous vous encourageons à essayer la préversion d’Azure Private Link et sommes impatient de recevoir et d’intégrer vos commentaires. Pour plus de détails, veuillez vous reporter à la documentation.