• 4 min read

Azure Firewall Manager est désormais mis à la disposition générale

By Gopikrishna Kannan, Principal Program Manager, Azure Networking
Azure Firewall Manager est désormais mis à la disposition générale et comprend la stratégie de pare-feu Azure, le pare-feu Azure dans un Hub Virtual WAN (hub virtuel sécurisé) et le réseau virtuel du hub.

Azure Firewall Manager est désormais mis à la disposition générale et comprend la stratégie de pare-feu Azure, le pare-feu Azure dans un Hub Virtual WAN (hub virtuel sécurisé) et le réseau virtuel du hub. En outre, nous introduisons plusieurs nouvelles fonctionnalités dans Firewall Manager et la stratégie de pare-feu pour les aligner avec les fonctionnalités de configuration autonomes du pare-feu Azure.

Fonctionnalités clés de cette version :

  • La liste verte de filtrage basé sur les renseignements sur les menaces dans la stratégie de pare-feu est désormais en disponibilité générale.
  • La prise en charge de plusieurs adresses IP publiques pour le pare-feu Azure dans un hub virtuel sécurisé est désormais en disponibilité générale.
  • La prise en charge du tunneling forcé pour le réseau virtuel du hub est désormais en disponibilité générale.
  • Configuration de hubs virtuels sécurisés avec le pare-feu Azure pour le trafic est-ouest (privé) et un partenaire SECaaS (security as a service) tiers de votre choix pour le trafic nord-sud (liaison Internet).
  • L’intégration de partenaires SECaaS tiers est désormais mise à la disposition générale dans toutes les régions du cloud public Azure.
  • L’intégration Zscaler sera mise à la disposition générale le 3 juillet 2020. Check Point est un partenaire SECaaS pris en charge et sera en version préliminaire le 3 juillet 2020. L’intégration de iboss sera mise à la disposition générale le 31 juillet 2020.
  • La prise en charge du proxy DNS (Domain Name System), du DNS personnalisé et du filtrage de nom de domaine complet (FQDN) dans les règles de réseau à l’aide de la stratégie de pare-feu est désormais en version préliminaire.

 

Zscaler, Check Point et iboss, partenaires d’Azure Firewall Manager.

La stratégie de pare-feu est désormais mise à la disposition générale

La stratégie de pare-feu est une ressource Azure qui contient des collections de règles de traduction d’adresses réseau (NAT), de réseau et d’application, ainsi que des paramètres DNS et de renseignements sur les menaces. Il s’agit d’une ressource globale qui peut être utilisée sur plusieurs instances du pare-feu Azure dans des hubs virtuels sécurisés et des réseaux virtuels de hubs. Les stratégies de pare-feu fonctionnent dans l’ensemble des régions et des abonnements.

Vous n’avez pas besoin de Firewall Manager pour créer une stratégie de pare-feu. Il existe de nombreuses façons de créer et de gérer une stratégie de pare-feu, notamment par l’utilisation d’API REST, de PowerShell ou d’une interface de ligne de commande (CLI).

Après avoir créé une stratégie de pare-feu, vous pouvez associer la stratégie à un ou plusieurs pare-feu à l’aide de Firewall Manager ou à l’aide d'une API REST, de PowerShell ou d’une CLI.  Pour une comparaison plus détaillée des règles et des stratégies, reportez-vous au document Vue d’ensemble de la stratégie.

Migration de règles de pare-feu autonomes vers la stratégie de pare-feu

Vous pouvez également créer une stratégie de pare-feu en migrant des règles à partir d’un pare-feu Azure existant. Vous pouvez utiliser un script pour migrer les règles de pare-feu vers la stratégie de pare-feu ou vous pouvez utiliser Firewall Manager dans le Portail Azure.

Exemple d’importation de règles à partir d’un pare-feu Azure existant.

Importation des règles à partir d’un pare-feu Azure existant.

Tarification de la stratégie de pare-feu

Si vous créez simplement une ressource de stratégie de pare-feu, cela n’entraîne aucuns frais. En outre, une stratégie de pare-feu n’est pas facturée si elle est associée à un seul pare-feu Azure. Il n'existe aucune restriction quant au nombre de stratégies que vous pouvez créer.

La tarification de la stratégie de pare-feu est fixée par stratégie et par région. Dans une même région, le prix de la stratégie de pare-feu reste le même, qu’elle gère 5 ou 50 pare-feu. L’exemple suivant utilise 4 stratégies de pare-feu pour gérer 10 pare-feu Azure distincts :

  • Stratégie 1 : cac2020region1policy—Associée à 6 pare-feu dans 4 régions. La facturation est effectuée par région et non par pare-feu.
  • Stratégie 2 : cac2020region2policy—Associée à 3 pare-feu dans 3 régions et est facturée pour 3 régions, quel que soit le nombre de pare-feu par région.
  • Stratégie 3 : cac2020region3policy—Non facturé,car la stratégie n’est pas associée à plusieurs pare-feu.
  • Stratégie 4 : cacbasepolicy—Une stratégie centrale héritée par les trois stratégies. Cette stratégie est facturée pour 5 régions. Là encore, la tarification est plus faible par rapport au mode de facturation par pare-feu.

Exemple de facturation de stratégie de pare-feu.

Exemple de facturation de stratégie de pare-feu.

Configurer une liste verte de renseignements sur les menaces, un proxy DNS et un DNS personnalisé

Avec cette mise à jour, la stratégie de pare-feu prend en charge des configurations supplémentaires, notamment des paramètres de proxy DNS et DNS personnalisés (version préliminaire) et une liste verte de renseignements sur les menaces. La configuration de plages d’adresses IP privées SNAT n’est pas encore prise en charge, mais figure dans notre feuille de route.

Alors que la stratégie de pare-feu peut généralement être partagée entre plusieurs pare-feu, les règles NAT sont spécifiques au pare-feu et ne peuvent pas être partagées. Vous pouvez toujours créer une stratégie parente sans règles NAT à partager entre plusieurs pare-feu et une stratégie dérivée locale sur des pare-feu spécifiques pour ajouter les règles NAT requises. En savoir plus sur la stratégie de pare-feu.

La stratégie de pare-feu prend désormais en charge les groupes IP

Les groupes IP sont une nouvelle ressource Azure de niveau supérieur qui vous permet de regrouper et de gérer des adresses IP dans les règles de Pare-feu Azure. La prise en charge des groupes IP est traitée plus en détail sur notre blog récent à propos du pare-feu Azure.

Configurer des hubs virtuels sécurisés avec le pare-feu Azure et un partenaire SECaaS tiers

Vous pouvez maintenant configurer des hubs virtuels avec le pare-feu Azure pour le filtrage du trafic privé (réseau virtuel vers réseau virtuel/branche vers réseau virtuel) et un partenaire de sécurité de votre choix pour le filtrage du trafic Internet (réseau virtuel vers Internet/branche vers Internet).

Un fournisseur partenaire de sécurité dans Firewall Manager vous permet d’utiliser les meilleures offres SECaaS tierces et familières afin de protéger l’accès à Internet pour vos utilisateurs. Au moyen d’une configuration rapide, vous pouvez sécuriser un hub avec un partenaire de sécurité pris en charge, acheminer et filtrer le trafic Internet à partir de vos réseaux virtuels ou emplacements de branches au sein d’une région. Cette opération s’effectue à l’aide de la gestion automatisée des itinéraires, sans configuration ni gestion des itinéraires définis par l’utilisateur.

Vous pouvez créer un hub virtuel sécurisé à l’aide du workflow Créer un hub virtuel sécurisé de Firewall Manager. La capture d’écran suivante montre un nouveau hub virtuel sécurisé configuré avec deux fournisseurs de sécurité.

Nouveau hub virtuel sécurisé configuré avec deux fournisseurs de sécurité.

Création d’un nouveau hub virtuel sécurisé configuré avec deux fournisseurs de sécurité.

Sécurisation de la connectivité

Une fois que vous avez créé un hub sécurisé, vous devez mettre à jour la configuration de sécurité du hub et configurer explicitement la manière dont vous voulez que le trafic Internet et le trafic privé dans le hub soient acheminés. Pour le trafic privé, vous ne devez pas spécifier de préfixes s’ils se trouvent dans la plage RFC1918. Si votre organisation utilise des adresses IP publiques dans des réseaux virtuels et des branches, vous devez ajouter ces préfixes IP explicitement.

Pour simplifier cette expérience, vous pouvez désormais spécifier des préfixes d’agrégat au lieu de spécifier des sous-réseaux individuels. En outre, pour la sécurité Internet par le biais d’un fournisseur de sécurité tiers, vous devez effectuer la configuration à l’aide du portail du partenaire. Pour plus d’informations, consultez la page des fournisseurs partenaires de sécurité

Exemple de la procédure de sélection d’un partenaire SECaaS tiers pour le filtrage du trafic Internet.

Sélection d’un partenaire SECaaS tiers pour le filtrage du trafic Internet.

Tarification du hub virtuel sécurisé

Un hub virtuel sécurisé est un hub Azure Virtual WAN avec des stratégies de sécurité et de routage associées, configurées par Firewall Manager. La tarification des hubs virtuels sécurisés dépend des fournisseurs de sécurité configurés.

Options de tarification pour le hub virtuel sécurisé.

Pour plus d’informations, consultez la page de tarification de Firewall Manager.

Prochaines étapes

Pour plus d'informations sur ces annonces, reportez-vous aux ressources suivantes :

Azure Firewall Manager est désormais mis à la disposition générale et comprend la stratégie de pare-feu Azure, le pare-feu Azure dans un Hub Virtual WAN (hub virtuel sécurisé) et le réseau virtuel du hub. En outre, nous introduisons plusieurs nouvelles fonctionnalités dans Firewall Manager et la stratégie de pare-feu pour les aligner avec les fonctionnalités de configuration autonomes du pare-feu Azure.

Fonctionnalités clés de cette version :

 

Zscaler, Check Point et iboss, partenaires d’Azure Firewall Manager.

La stratégie de pare-feu est désormais mise à la disposition générale

La stratégie de pare-feu est une ressource Azure qui contient des collections de règles de traduction d’adresses réseau (NAT), de réseau et d’application, ainsi que des paramètres DNS et de renseignements sur les menaces. Il s’agit d’une ressource globale qui peut être utilisée sur plusieurs instances du pare-feu Azure dans des hubs virtuels sécurisés et des réseaux virtuels de hubs. Les stratégies de pare-feu fonctionnent dans l’ensemble des régions et des abonnements.

Vous n’avez pas besoin de Firewall Manager pour créer une stratégie de pare-feu. Il existe de nombreuses façons de créer et de gérer une stratégie de pare-feu, notamment par l’utilisation d’API REST, de PowerShell ou d’une interface de ligne de commande (CLI).

Après avoir créé une stratégie de pare-feu, vous pouvez associer la stratégie à un ou plusieurs pare-feu à l’aide de Firewall Manager ou à l’aide d'une API REST, de PowerShell ou d’une CLI.  Pour une comparaison plus détaillée des règles et des stratégies, reportez-vous au document Vue d’ensemble de la stratégie.

Migration de règles de pare-feu autonomes vers la stratégie de pare-feu

Vous pouvez également créer une stratégie de pare-feu en migrant des règles à partir d’un pare-feu Azure existant. Vous pouvez utiliser un script pour migrer les règles de pare-feu vers la stratégie de pare-feu ou vous pouvez utiliser Firewall Manager dans le Portail Azure.

Exemple d’importation de règles à partir d’un pare-feu Azure existant.

Importation des règles à partir d’un pare-feu Azure existant.

Tarification de la stratégie de pare-feu

Si vous créez simplement une ressource de stratégie de pare-feu, cela n’entraîne aucuns frais. En outre, une stratégie de pare-feu n’est pas facturée si elle est associée à un seul pare-feu Azure. Il n'existe aucune restriction quant au nombre de stratégies que vous pouvez créer.

La tarification de la stratégie de pare-feu est fixée par stratégie et par région. Dans une même région, le prix de la stratégie de pare-feu reste le même, qu’elle gère 5 ou 50 pare-feu. L’exemple suivant utilise 4 stratégies de pare-feu pour gérer 10 pare-feu Azure distincts :

Exemple de facturation de stratégie de pare-feu.

Exemple de facturation de stratégie de pare-feu.

Configurer une liste verte de renseignements sur les menaces, un proxy DNS et un DNS personnalisé

Avec cette mise à jour, la stratégie de pare-feu prend en charge des configurations supplémentaires, notamment des paramètres de proxy DNS et DNS personnalisés (version préliminaire) et une liste verte de renseignements sur les menaces. La configuration de plages d’adresses IP privées SNAT n’est pas encore prise en charge, mais figure dans notre feuille de route.

Alors que la stratégie de pare-feu peut généralement être partagée entre plusieurs pare-feu, les règles NAT sont spécifiques au pare-feu et ne peuvent pas être partagées. Vous pouvez toujours créer une stratégie parente sans règles NAT à partager entre plusieurs pare-feu et une stratégie dérivée locale sur des pare-feu spécifiques pour ajouter les règles NAT requises. En savoir plus sur la stratégie de pare-feu.

La stratégie de pare-feu prend désormais en charge les groupes IP

Les groupes IP sont une nouvelle ressource Azure de niveau supérieur qui vous permet de regrouper et de gérer des adresses IP dans les règles de Pare-feu Azure. La prise en charge des groupes IP est traitée plus en détail sur notre blog récent à propos du pare-feu Azure.

Configurer des hubs virtuels sécurisés avec le pare-feu Azure et un partenaire SECaaS tiers

Vous pouvez maintenant configurer des hubs virtuels avec le pare-feu Azure pour le filtrage du trafic privé (réseau virtuel vers réseau virtuel/branche vers réseau virtuel) et un partenaire de sécurité de votre choix pour le filtrage du trafic Internet (réseau virtuel vers Internet/branche vers Internet).

Un fournisseur partenaire de sécurité dans Firewall Manager vous permet d’utiliser les meilleures offres SECaaS tierces et familières afin de protéger l’accès à Internet pour vos utilisateurs. Au moyen d’une configuration rapide, vous pouvez sécuriser un hub avec un partenaire de sécurité pris en charge, acheminer et filtrer le trafic Internet à partir de vos réseaux virtuels ou emplacements de branches au sein d’une région. Cette opération s’effectue à l’aide de la gestion automatisée des itinéraires, sans configuration ni gestion des itinéraires définis par l’utilisateur.

Vous pouvez créer un hub virtuel sécurisé à l’aide du workflow Créer un hub virtuel sécurisé de Firewall Manager. La capture d’écran suivante montre un nouveau hub virtuel sécurisé configuré avec deux fournisseurs de sécurité.

Nouveau hub virtuel sécurisé configuré avec deux fournisseurs de sécurité.

Création d’un nouveau hub virtuel sécurisé configuré avec deux fournisseurs de sécurité.

Sécurisation de la connectivité

Une fois que vous avez créé un hub sécurisé, vous devez mettre à jour la configuration de sécurité du hub et configurer explicitement la manière dont vous voulez que le trafic Internet et le trafic privé dans le hub soient acheminés. Pour le trafic privé, vous ne devez pas spécifier de préfixes s’ils se trouvent dans la plage RFC1918. Si votre organisation utilise des adresses IP publiques dans des réseaux virtuels et des branches, vous devez ajouter ces préfixes IP explicitement.

Pour simplifier cette expérience, vous pouvez désormais spécifier des préfixes d’agrégat au lieu de spécifier des sous-réseaux individuels. En outre, pour la sécurité Internet par le biais d’un fournisseur de sécurité tiers, vous devez effectuer la configuration à l’aide du portail du partenaire. Pour plus d’informations, consultez la page des fournisseurs partenaires de sécurité

Exemple de la procédure de sélection d’un partenaire SECaaS tiers pour le filtrage du trafic Internet.

Sélection d’un partenaire SECaaS tiers pour le filtrage du trafic Internet.

Tarification du hub virtuel sécurisé

Un hub virtuel sécurisé est un hub Azure Virtual WAN avec des stratégies de sécurité et de routage associées, configurées par Firewall Manager. La tarification des hubs virtuels sécurisés dépend des fournisseurs de sécurité configurés.

Options de tarification pour le hub virtuel sécurisé.

Pour plus d’informations, consultez la page de tarification de Firewall Manager.

Prochaines étapes

Pour plus d'informations sur ces annonces, reportez-vous aux ressources suivantes :