Ce billet de blog a été coédité par Yair Tor, Principal Program Manager, Azure Networking.
En novembre dernier, nous avons introduit la préversion de Microsoft Azure Firewall Manager pour la stratégie de Pare-feu Azure et la gestion des itinéraires dans des hubs virtuels sécurisés. Cela incluait également l’intégration avec des partenaires dans le domaine de la sécurité en tant que service : Zscaler, iboss et bientôt Check Point. Ces partenaires prennent en charge les scénarios de trafic de branche vers Internet et de réseau virtuel vers Internet.
Aujourd’hui, nous enrichissons la préversion d’Azure Firewall Manager qui inclut à présent le déploiement automatique et la gestion centralisée des stratégies de sécurité pour le Pare-feu Azure dans les réseaux virtuels de hubs.
Azure Firewall Manager (en préversion) est un service de gestion de la sécurité du réseau qui fournit une gestion centralisée des stratégie de sécurité et des itinéraires pour les périmètres de sécurité basés sur le cloud. Cela permet aux équipes informatiques des entreprise de définir de manière centralisée des règles au niveau du réseau et des applications pour le filtrage du trafic sur plusieurs instances de Pare-feu Azure qui s’étendent sur plusieurs régions Azure et abonnements dans des architectures hub-and-spoke pour la protection et la gouvernance du trafic. De plus, il offre à DevOps une meilleure agilité avec des stratégies de sécurité de pare-feu local dérivées qui sont implémentées dans l’ensemble des organisations.
Pour plus d’informations, consultez la documentation sur Azure Firewall Manager.
Figure 1 – Page de prise en main d’Azure Firewall Manager
Réseaux virtuels de hub et hubs virtuels sécurisés
Azure Firewall Manager peut assurer la gestion de la sécurité pour deux types d’architecture réseau :
- Hub virtuel sécurisé : un hub Azure Virtual WAN est une ressource managée par Microsoft qui vous permet de créer facilement des architectures « Hub-and-Spoke ». Lorsque des stratégies de sécurité et de routage sont associées à un tel hub, on parle de hub virtuel sécurisé.
- Réseau virtuel de hub : il s’agit d’un réseau virtuel Azure standard que vous créez et gérez vous-même. Lorsque des stratégies de sécurité sont associées à un tel hub, on parle de réseau virtuel de hub. Pour l’instant, seule la stratégie de Pare-feu Azure est prise en charge. Vous pouvez homologuer des réseaux virtuels de type spoke qui contiennent vos serveurs et services de charge de travail. Il est également possible de gérer des pare-feu dans des réseaux virtuels autonomes qui ne sont appairés à aucun spoke.
L’utilisation d’un réseau virtuel de hub ou d’un hub virtuel sécurisé dépend de votre scénario :
- Réseau virtuel de hub : les réseaux virtuels de hub sont probablement le bon choix si votre architecture réseau est basée uniquement sur des réseaux virtuels, nécessite plusieurs hubs par région ou n’utilise pas du tout l’approche Hub-and-spoke.
- Hubs virtuels sécurisés : les hubs virtuels sécurisés peuvent mieux répondre à vos besoins si vous avez besoin de gérer les stratégies de routage et de sécurité sur de nombreux hubs sécurisés distribués à l’échelle mondiale. Les hubs virtuels sécurisés proposent une connectivité VPN à grande échelle, une prise en charge SDWAN et une intégration à des partenaires proposant des solutions de sécurité en tant que service. Vous pouvez utiliser Azure pour sécuriser votre périphérie Internet pour les ressources locales et cloud.
Le tableau de comparaison suivant de la figure 2 peut vous aider à prendre une décision éclairée :
Réseau virtuel Hub | Hub virtuel sécurisé | |
Ressource sous-jacente | Réseau virtuel | Hub Virtual WAN |
Hub-and-Spoke | Utilisation de l’appairage de réseaux virtuels | Automatisation à l’aide d’une connexion à un réseau virtuel de hub |
Connectivité locale |
Passerelle VPN jusqu’à 10 Gbits/s et 30 connexions S2S ; ExpressRoute |
Passerelle VPN plus scalable jusqu’à 20 Gbits/s et 1 000 connexions S2S ; ExpressRoute |
Connectivité de branche automatisée à l’aide de SDWAN | Non prise en charge | Prise en charge |
Hubs par région | Plusieurs réseaux virtuels par région |
Un seul hub virtuel par région. Plusieurs hubs possibles avec plusieurs WAN virtuels |
Pare-feu Azure – Plusieurs adresses IP publiques | Fourni par le client | Généré automatiquement (les détails seront disponibles lors de la mise à disponibilité générale) |
Zones de disponibilité du Pare-feu Azure | Prise en charge | Non disponible en préversion (les détails seront disponibles lors de la mise à disponibilité générale) |
Sécurité Internet avancée avec des partenaires dans le domaine de la sécurité en tant que service |
Connectivité VPN établie et gérée par le client au service partenaire choisi |
Automatisé via le flux de partenaire de sécurité de confiance et l’expérience de gestion des partenaires |
Gestion centralisée des itinéraires pour attirer le trafic vers le hub |
Itinéraires définis par l’utilisateur ; feuille de route : Automatisation d’itinéraires par défaut via le routage défini par l’utilisateur pour les spokes |
Pris en charge avec BGP |
Pare-feu d’applications web sur Application Gateway | Pris en charge dans un réseau virtuel | Feuille de route : peut être utilisé dans un spoke |
Appliance virtuelle réseau | Pris en charge dans un réseau virtuel | Feuille de route : peut être utilisé dans un spoke |
Figure 2 - Réseaux virtuels de hub et hubs virtuels sécurisés
Stratégie de pare-feu
La stratégie de pare-feu est une ressource Azure qui contient des collections de règles de traduction d’adresses réseau (NAT), de réseau et d’application, ainsi que des paramètres Threat Intelligence. Il s’agit d’une ressource globale qui peut être utilisée sur plusieurs instances du Pare-feu Azure dans des hubs virtuels sécurisés et des réseaux virtuels de hubs. De nouvelles stratégies peuvent être créées à partir de zéro ou héritées de stratégies existantes. L’héritage permet à DevOps de créer des stratégies de pare-feu locales en plus de la stratégie de base de l’organisation. Les stratégies fonctionnent dans l’ensemble des régions et des abonnements.
Azure Firewall Manager orchestre la création et l’association de stratégies de pare-feu. Toutefois, une stratégie peut également être créée et gérée par le biais de l’API REST, de modèles, d’Azure PowerShell et de l’interface CLI.
Une fois qu’une stratégie est créée, elle peut être associée à un pare-feu dans un hub WAN virtuel (également appelé hub virtuel sécurisé) ou à un pare-feu dans un réseau virtuel (également appelé réseau virtuel de hub).
Les stratégies de pare-feu sont facturées en fonction des associations de pare-feu. Une stratégie avec zéro ou une association de pare-feu est gratuite. Une stratégie avec plusieurs associations de pare-feu est facturée à un taux fixe.
Pour plus d’informations, consultez la tarification Azure Firewall Manager.
Le tableau suivant compare les nouvelles stratégies de pare-feu avec les règles de pare-feu existantes :
Stratégie |
Règles |
|
Contient |
Règles de traduction d’adresses réseau (NAT), de réseau et d’application, ainsi que paramètres Threat Intelligence |
Règles de traduction d’adresses réseau (NAT), de réseau et d’application |
Protège |
Hubs virtuels et réseaux virtuels |
Réseaux virtuels uniquement |
Utilisation du portail |
Gestion centralisée à l’aide de Firewall Manager |
Expérience de pare-feu autonome |
Prise en charge de plusieurs pare-feu |
La stratégie de pare-feu est une ressource distincte qui peut être utilisée sur différents pare-feu |
Exporter et importer manuellement des règles ou utiliser des solutions de gestion tierces |
Tarification |
Facturation en fonction des associations de pare-feu. Voir la tarification |
Gratuit |
Mécanismes de déploiement pris en charge |
Portail, API REST, modèles, PowerShell et CLI |
Portail, API REST, modèles, PowerShell et CLI |
État de disponibilité |
Aperçu |
Disponibilité générale |
Figure 3 - Stratégie de pare-feu et règles de pare-feu
Prochaines étapes
Pour plus d’informations sur les sujets abordés ici, consultez les billets de blog, la documentation et les vidéos ci-dessous :
Partenaires pour la gestion centralisée du Pare-feu Azure :
- AlgoSec CloudFlow
- Barracuda Cloud Security Guardian, maintenant mis à la disposition générale dans la Place de marché Azure
- Tufin SecureCloud