Prise en charge des réseaux virtuels par Azure Firewall Manager

Publié le 18 février, 2020

Senior Program Manager

Ce billet de blog a été coédité par Yair Tor, Principal Program Manager, Azure Networking.

En novembre dernier, nous avons introduit la préversion de Microsoft Azure Firewall Manager pour la stratégie de Pare-feu Azure et la gestion des itinéraires dans des hubs virtuels sécurisés. Cela incluait également l’intégration avec des partenaires dans le domaine de la sécurité en tant que service : Zscaler, iboss et bientôt Check Point. Ces partenaires prennent en charge les scénarios de trafic de branche vers Internet et de réseau virtuel vers Internet.

Aujourd’hui, nous enrichissons la préversion d’Azure Firewall Manager qui inclut à présent le déploiement automatique et la gestion centralisée des stratégies de sécurité pour le Pare-feu Azure dans les réseaux virtuels de hubs.

Azure Firewall Manager (en préversion) est un service de gestion de la sécurité du réseau qui fournit une gestion centralisée des stratégie de sécurité et des itinéraires pour les périmètres de sécurité basés sur le cloud. Cela permet aux équipes informatiques des entreprise de définir de manière centralisée des règles au niveau du réseau et des applications pour le filtrage du trafic sur plusieurs instances de Pare-feu Azure qui s’étendent sur plusieurs régions Azure et abonnements dans des architectures hub-and-spoke pour la protection et la gouvernance du trafic. De plus, il offre à DevOps une meilleure agilité avec des stratégies de sécurité de pare-feu local dérivées qui sont implémentées dans l’ensemble des organisations.

Pour plus d’informations, consultez la documentation sur Azure Firewall Manager.

Page de prise en main d’Azure Firewall Manager

Figure 1 – Page de prise en main d’Azure Firewall Manager

 

Réseaux virtuels de hub et hubs virtuels sécurisés

Azure Firewall Manager peut assurer la gestion de la sécurité pour deux types d’architecture réseau :

  •  Hub virtuel sécurisé : un hub Azure Virtual WAN est une ressource managée par Microsoft qui vous permet de créer facilement des architectures « Hub-and-Spoke ». Lorsque des stratégies de sécurité et de routage sont associées à un tel hub, on parle de hub virtuel sécurisé.
  •  Réseau virtuel de hub : il s’agit d’un réseau virtuel Azure standard que vous créez et gérez vous-même. Lorsque des stratégies de sécurité sont associées à un tel hub, on parle de réseau virtuel de hub. Pour l’instant, seule la stratégie de Pare-feu Azure est prise en charge. Vous pouvez homologuer des réseaux virtuels de type spoke qui contiennent vos serveurs et services de charge de travail. Il est également possible de gérer des pare-feu dans des réseaux virtuels autonomes qui ne sont appairés à aucun spoke.

L’utilisation d’un réseau virtuel de hub ou d’un hub virtuel sécurisé dépend de votre scénario :

  •  Réseau virtuel de hub : les réseaux virtuels de hub sont probablement le bon choix si votre architecture réseau est basée uniquement sur des réseaux virtuels, nécessite plusieurs hubs par région ou n’utilise pas du tout l’approche Hub-and-spoke.
  •  Hubs virtuels sécurisés : les hubs virtuels sécurisés peuvent mieux répondre à vos besoins si vous avez besoin de gérer les stratégies de routage et de sécurité sur de nombreux hubs sécurisés distribués à l’échelle mondiale. Les hubs virtuels sécurisés proposent une connectivité VPN à grande échelle, une prise en charge SDWAN et une intégration à des partenaires proposant des solutions de sécurité en tant que service. Vous pouvez utiliser Azure pour sécuriser votre périphérie Internet pour les ressources locales et cloud.

Le tableau de comparaison suivant de la figure 2 peut vous aider à prendre une décision éclairée :

 

  Réseau virtuel Hub Hub virtuel sécurisé
Ressource sous-jacente Réseau virtuel Hub Virtual WAN
Hub-and-Spoke Utilisation de l’appairage de réseaux virtuels Automatisation à l’aide d’une connexion à un réseau virtuel de hub
Connectivité locale

Passerelle VPN jusqu’à 10 Gbits/s et 30 connexions S2S ; ExpressRoute

Passerelle VPN plus scalable jusqu’à 20 Gbits/s et 1 000 connexions S2S ; ExpressRoute

Connectivité de branche automatisée à l’aide de SDWAN Non prise en charge Prise en charge
Hubs par région Plusieurs réseaux virtuels par région

Un seul hub virtuel par région. Plusieurs hubs possibles avec plusieurs WAN virtuels

Pare-feu Azure – Plusieurs adresses IP publiques Fourni par le client Généré automatiquement (les détails seront disponibles lors de la mise à disponibilité générale)
Zones de disponibilité du Pare-feu Azure Prise en charge Non disponible en préversion. Disponible lors de la mise à la disponibilité générale

Sécurité Internet avancée avec des partenaires dans le domaine de la sécurité en tant que service

Connectivité VPN établie et gérée par le client au service partenaire choisi

Automatisé via le flux de partenaire de sécurité de confiance et l’expérience de gestion des partenaires

Gestion centralisée des itinéraires pour attirer le trafic vers le hub

Itinéraires définis par l’utilisateur ; feuille de route : Automatisation d’itinéraires par défaut via le routage défini par l’utilisateur pour les spokes

Pris en charge avec BGP
Pare-feu d’applications web sur Application Gateway Pris en charge dans un réseau virtuel Feuille de route : peut être utilisé dans un spoke
Appliance virtuelle réseau Pris en charge dans un réseau virtuel Feuille de route : peut être utilisé dans un spoke

Figure 2 - Réseaux virtuels de hub et hubs virtuels sécurisés

Stratégie de pare-feu

La stratégie de pare-feu est une ressource Azure qui contient des collections de règles de traduction d’adresses réseau (NAT), de réseau et d’application, ainsi que des paramètres Threat Intelligence. Il s’agit d’une ressource globale qui peut être utilisée sur plusieurs instances du Pare-feu Azure dans des hubs virtuels sécurisés et des réseaux virtuels de hubs. De nouvelles stratégies peuvent être créées à partir de zéro ou héritées de stratégies existantes. L’héritage permet à DevOps de créer des stratégies de pare-feu locales en plus de la stratégie de base de l’organisation. Les stratégies fonctionnent dans l’ensemble des régions et des abonnements.

Azure Firewall Manager orchestre la création et l’association de stratégies de pare-feu. Toutefois, une stratégie peut également être créée et gérée par le biais de l’API REST, de modèles, d’Azure PowerShell et de l’interface CLI.

Une fois qu’une stratégie est créée, elle peut être associée à un pare-feu dans un hub WAN virtuel (également appelé hub virtuel sécurisé) ou à un pare-feu dans un réseau virtuel (également appelé réseau virtuel de hub).

Les stratégies de pare-feu sont facturées en fonction des associations de pare-feu. Une stratégie avec zéro ou une association de pare-feu est gratuite. Une stratégie avec plusieurs associations de pare-feu est facturée à un taux fixe.

Pour plus d’informations, consultez la tarification Azure Firewall Manager.

Le tableau suivant compare les nouvelles stratégies de pare-feu avec les règles de pare-feu existantes :

 

Stratégie

Règles

Contient

Règles de traduction d’adresses réseau (NAT), de réseau et d’application, ainsi que paramètres Threat Intelligence

Règles de traduction d’adresses réseau (NAT), de réseau et d’application

Protège

Hubs virtuels et réseaux virtuels

Réseaux virtuels uniquement

Utilisation du portail

Gestion centralisée à l’aide de Firewall Manager

Expérience de pare-feu autonome

Prise en charge de plusieurs pare-feu

La stratégie de pare-feu est une ressource distincte qui peut être utilisée sur différents pare-feu

Exporter et importer manuellement des règles ou utiliser des solutions de gestion tierces

Tarification

Facturation en fonction des associations de pare-feu. Voir la tarification

Gratuit

Mécanismes de déploiement pris en charge

Portail, API REST, modèles, PowerShell et CLI

Portail, API REST, modèles, PowerShell et CLI

État de disponibilité

Aperçu

Disponibilité générale

Figure 3 - Stratégie de pare-feu et règles de pare-feu

Prochaines étapes

Pour plus d’informations sur les sujets abordés ici, consultez les billets de blog, la documentation et les vidéos ci-dessous :

Partenaires pour la gestion centralisée du Pare-feu Azure :