Annonce de la préversion du service Azure Private Link

Publié le 17 septembre, 2019

Corporate Vice President, Azure Networking

Nos clients apprécient l’évolutivité d’Azure, qui leur permet de développer leur activité dans le monde entier tout en bénéficiant d’un haut niveau de disponibilité. Alors que l’adoption d’Azure progresse rapidement, les clients expriment des attentes de plus en plus fortes en faveur d’un accès privé et sécurisé aux données et services à partir de leurs réseaux. Soucieux de les satisfaire, nous annonçons une préversion du service Azure Private Link.

Le service Azure Private Link permet aux clients de tirer parti, de manière évolutive et sécurisée, de services Azure tels que Stockage Azure ou Azure SQL, mais aussi de services de partenaires Microsoft et de leurs propres services en toute confidentialité à partir de leur réseau virtuel Azure. Cette technologie s’appuie sur un modèle fournisseur-consommateur, les deux parties étant hébergées dans Azure. Une fois la connexion établie par le biais d’un flux d’appel soumis à consentement, toutes les données qui transitent entre le fournisseur et le consommateur du service sont isolées du réseau Internet et confinées sur le réseau Microsoft. La communication avec le service ne nécessite ni passerelle, ni périphérique de traduction d’adresses réseau (NAT), ni adresse IP publique.

Avec Azure Private Link, les services Azure sont accessibles directement sur le réseau virtuel privé du client. Pour accéder aux ressources du service, il suffit d’utiliser l’adresse IP privée de celles-ci, comme pour n’importe quelle autre ressource disponible sur le réseau virtuel. La configuration réseau est ainsi considérablement simplifiée, dans la mesure où les règles d’accès restent privées.

Diagramme illustrant la topologie du service Private Link. Les services sont associés à Private Link, puis liés et mis à disposition sur le réseau virtuel du client par le biais d’un point de terminaison privé.

Dans ce billet, nous souhaiterions vous faire découvrir quelques cas d’utilisation inédits, rendus possibles par le lancement du service Azure Private Link :

Connectivité privée aux services Azure PaaS

Les services partagés mutualisés, notamment Stockage Azure et Azure SQL Database, sont situés à l’extérieur de votre réseau virtuel et ne sont accessibles que par le biais d’une interface publique. Actuellement, vous pouvez sécuriser cette connexion à l’aide de points de terminaison de service de réseau virtuel. Ces derniers maintiennent le trafic au sein du réseau central Microsoft, ce qui permet de limiter l’accès aux ressources PaaS à votre seul réseau virtuel. Toutefois, dans la mesure où le point de terminaison PaaS est provisionné par une adresse IP publique, il n’est pas possible d’y accéder à partir de l’environnement local en utilisant un peering privé Azure ExpressRoute ou une passerelle VPN. Désormais, grâce au service Azure Private Link, il vous suffit de créer un point de terminaison privé dans votre réseau virtuel et de l’associer à une ressource PaaS (objet blob de votre compte Stockage Azure ou serveur Azure SQL Database) pour que ces ressources soient accessibles à partir d’une adresse IP privée sur votre réseau virtuel. Vous bénéficiez ainsi d’une connectivité à partir de l’environnement local, via un peering privé Azure ExpressRoute et/ou une passerelle VPN, sans compliquer la configuration réseau, dans la mesure où vous ne l’ouvrez pas à des adresses IP publiques.

Connectivité privée à vos propres services

Loin de se limiter aux services Azure PaaS, cette nouvelle offre s’étend également à vos propres services. Actuellement, en tant que fournisseur de services dans Azure, vous devez proposer vos services par le biais d’une interface publique (adresse IP) pour permettre aux consommateurs présents dans Azure d’y accéder. Bien sûr, vous pouvez utiliser un peering de réseaux virtuels et vous connecter au réseau virtuel du consommateur pour le rendre privé, mais cette solution présente un inconvénient majeur : elle n’offre aucune évolutivité et se soldera rapidement par des conflits d’adresses IP. Grâce à la préversion lancée aujourd’hui, vous pouvez proposer votre service de manière totalement privée sur votre propre réseau virtuel derrière un équilibreur de charge Azure Standard Load Balancer, activer le service Azure Private Link et autoriser l’accès aux consommateurs exécutant un autre réseau virtuel, un autre abonnement ou un autre locataire Azure Active Directory – le tout en quelques clics en utilisant un flux d’appel d’approbation. Le consommateur de services, quant à lui, doit simplement créer un point de terminaison privé sur son réseau virtuel et utiliser le service Azure Private Link de manière totalement privée, sans ouvrir ses listes de contrôle d’accès (ACL) à un espace d’adressage IP public.

Diagramme avant/après, présentant d’une part des services généralement exposés par des adresses IP publiques et, d’autre part, ces mêmes services exposés de manière privée sur le réseau virtuel par le biais de Private Link.

Connectivité privée aux services SaaS

Les nombreux partenaires de Microsoft proposent déjà un large éventail de solutions SaaS (Software as a Service) aux clients Azure. Celles-ci sont disponibles à partir de points de terminaison publics. En d’autres termes, pour tirer parti de ces solutions, les clients Azure doivent ouvrir leurs réseaux privés à l’Internet public. Ce point a été soulevé fréquemment par nos clients, soucieux de pouvoir utiliser les solutions SaaS de façon privée, comme si elles étaient directement déployées dans leur réseau privé. Leurs demandes ont été entendues : le service Azure Private Link étend l’expérience de connectivité privée aux partenaires Microsoft. Il s’agit d’un moyen particulièrement efficace pour les partenaires Microsoft de toucher les clients Azure. Nous sommes certains qu’à l’avenir, de nombreuses offres de la Place de marché Azure s’appuieront sur le service Azure Private Link. 

Principales caractéristiques du service Azure Private Link

  • Accès privé depuis l’environnement local : dans la mesure où les ressources PaaS sont mappées sur des adresses IP privées sur le réseau virtuel du client, il est possible d’y accéder par le biais d’un peering privé Azure ExpressRoute. Concrètement, cela signifie que les données empruntent un trajet totalement privé entre l’environnement local et Azure. La configuration des tables de routage et des pare-feu d’entreprise peut être simplifiée afin d’autoriser uniquement l’accès aux adresses IP privées.
  • Protection contre l’exfiltration de données : le service Azure Private Link est unique dans le sens où il permet de mapper une ressource PaaS spécifique sur une adresse IP privée, là où les autres fournisseurs de cloud proposent de mapper l’ensemble du service. Ainsi, toute tentative malveillante d’exfiltrer les données vers un compte différent en utilisant le même point de terminaison privé se soldera par un échec. En d’autres termes, Private Link offre une protection intégrée contre l’exfiltration de données.
  • Configuration simplifiée : AzurePrivate Link est facile à paramétrer et ne nécessite qu’un effort minimal en termes de configuration réseau. La connectivité s’appuie sur un flux d’appel d’approbation et, une fois qu’une ressource PaaS est mappée sur un point de terminaison privé, la connectivité est assurée directement sans configuration supplémentaire par le biais de tables de routage ou de groupes de sécurité réseau Azure.

  • Chevauchement des espaces d’adressage : généralement, les clients utilisent le peering de réseaux virtuels pour connecter plusieurs réseaux virtuels. Cette approche suppose toutefois qu’il n’existe aucun chevauchement des espaces d’adressage des différents réseaux virtuels. Lors d’une utilisation en entreprise, il n’est pas rare que des réseaux présentent un chevauchement des espaces d’adressage IP. Le service Azure Private Link propose une autre façon d’envisager une connexion privée d’applications situées sur des réseaux virtuels différents, dont les espaces d’adressage IP se chevauchent.

Diagramme simplifié illustrant des services exécutés sur des machines virtuelles dans un réseau virtuel et proposés à des utilisateurs dans un autre réseau virtuel par le biais d’un espace d’adressage IP privé avec le service Azure Private Link.

Feuille de route

Nous annonçons aujourd’hui le lancement d’une préversion du service Azure Private Link dans un nombre limité de régions. D’autres régions viendront bientôt compléter cette liste. Dans les prochains mois, nous ajouterons également d’autres services Azure PaaS à Azure Private Link, parmi lesquels Azure Cosmos DB, Azure MySQL, Azure PostgreSQL, Azure MariaDB, Azure Application Service et Azure Key Vault, ainsi que différents services de partenaires.

Nous vous encourageons à tester la préversion d’Azure Private Link. Nous sommes impatients de recevoir vos commentaires et d’intégrer votre retour d’expérience. Pour plus d’informations, reportez-vous à la documentation correspondante.