Nouvelles fonctionnalités du Pare-feu Azure au 2e trimestre 2020

Publié le 30 juin, 2020

Program Manager

Nous avons le plaisir d’annoncer plusieurs nouvelles fonctionnalités du Pare-feu Azure. Elles offrent à votre organisation un niveau de sécurité accru, davantage de possibilités de personnalisation et une gestion des règles facilitée. Ces nouvelles fonctionnalités ont été ajoutées sur la base de vos principaux commentaires :

  • Prise en charge de DNS personnalisé désormais en préversion.
  • Prise en charge du proxy DNS désormais en préversion.
  • Filtrage des noms de domaine complets dans les règles de réseau désormais en préversion.
  • Groupes IP désormais mis à la disposition générale.
  • Balise de nom de domaine complet AKS désormais à la disposition générale.
  • Le Pare-feu Azure est désormais compatible HIPAA. 

Par ailleurs, début juin 2020, nous avons annoncé la mise à disposition générale du tunneling forcé et du filtrage des noms de domaine complets SQL dans le Pare-feu Azure.

Le Pare-feu Azure est une offre de pare-feu en tant que service (FWaaS) cloud native qui vous permet de gérer et de journaliser de manière centralisée tous vos flux de trafic à l’aide d’une approche DevOps. Le service prend en charge les règles de filtrage au niveau de l’application et du réseau et est intégré au flux Microsoft Threat Intelligence pour filtrer les adresses IP et les domaines malveillants connus. Le Pare-feu Azure est hautement disponible grâce à la mise à l’échelle automatique intégrée.

Prise en charge de DNS personnalisé désormais en préversion

Depuis son lancement en septembre 2018, le Pare-feu Azure a été codé en dur pour utiliser Azure DNS afin de garantir que le service peut résoudre de manière fiable ses dépendances sortantes. Le DNS personnalisé permet de séparer la résolution de noms du client et du service. Cela vous permet de configurer le Pare-feu Azure pour utiliser votre propre serveur DNS et garantit que les dépendances sortantes du pare-feu sont toujours résolues avec Azure DNS. Vous pouvez configurer un serveur DNS unique ou plusieurs serveurs dans les paramètres DNS de la stratégie de pare-feu et du Pare-feu Azure.

Le Pare-feu Azure peut également être utilisé pour la résolution de noms à l’aide d’Azure DNS privé, à condition que votre zone DNS privée soit liée au réseau virtuel de pare-feu.

Proxy DNS désormais en préversion

Si le proxy DNS est activé, les requêtes DNS sortantes sont traitées par le Pare-feu Azure, qui lance une nouvelle requête de résolution DNS sur votre serveur DNS personnalisé ou Azure DNS. Cette opération est essentielle pour disposer d’un filtrage de noms de domaine complets fiable dans les règles de réseau. Vous pouvez configurer le proxy DNS dans les paramètres DNS de la stratégie de pare-feu et du Pare-feu Azure. 

La configuration du proxy DNS nécessite trois étapes :

  1. Activez le proxy DNS dans les paramètres DNS du Pare-feu Azure.
  2. Éventuellement, configurez votre serveur DNS personnalisé ou utilisez la valeur par défaut fournie.
  3. Enfin, vous devez configurer l’adresse IP privée du Pare-feu Azure en tant que serveur DNS personnalisé dans les paramètres du serveur DNS de votre réseau virtuel. Cette opération garantit que le trafic DNS est dirigé vers le Pare-feu Azure.

  Firewall1
Figure 1. Paramètres de proxy DNS et DNS personnalisé sur le Pare-feu Azure.

Filtrage des noms de domaine complets dans les règles de réseau désormais en préversion

Vous pouvez désormais utiliser des noms de domaine complets (FQDN) dans les règles de réseau en fonction de la résolution DNS dans la stratégie de pare-feu et le Pare-feu Azure. Les noms de domaine complets spécifiés dans vos collections de règles sont traduits en adresses IP en fonction des paramètres DNS de votre pare-feu. Cette fonctionnalité vous permet de filtrer le trafic sortant à l’aide de noms de domaine complets avec n’importe quel protocole TCP/UDP (y compris NTP, SSH, RDP, etc.). Étant donné que cette fonctionnalité est basée sur la résolution DNS, il est fortement recommandé d’activer le proxy DNS pour garantir la cohérence de vos machines virtuelles protégées et de la résolution de noms de pare-feu.

Le filtrage de noms de domaine complets dans les règles d’application pour HTTP/S et MSSQL est basé sur un proxy transparent au niveau de l’application. Par conséquent, il peut discerner deux noms de domaine complets qui sont résolus sur la même adresse IP. Ce n’est pas le cas avec le filtrage de noms de domaine complets dans les règles de réseau. Il est donc toujours recommandé d’utiliser les règles d’application lorsque cela est possible.

 firewall2
Figure 2. Filtrage des noms de domaine complets dans les règles de réseau.

Groupes IP désormais mis à la disposition générale

Les groupes IP sont une nouvelle ressource Azure de niveau supérieur qui vous permet de regrouper et de gérer des adresses IP dans les règles de Pare-feu Azure. Vous pouvez attribuer un nom à votre groupe IP et en créer un en entrant des adresses IP ou en téléchargeant un fichier. Les groupes IP facilitent votre expérience de gestion et réduisent le temps consacré à la gestion des adresses IP en les utilisant dans un seul pare-feu ou sur plusieurs pare-feu. Les groupes IP sont désormais mis à la disposition générale et pris en charge dans une configuration de Pare-feu Azure autonome ou dans le cadre d’une stratégie de pare-feu Azure. Pour plus d’informations, consultez la documentation sur les groupes IP dans le Pare-feu Azure.

firewall4

Figure 3. Création d’un groupe IP.

Balise de nom de domaine complet AKS désormais à la disposition générale

Une balise de nom de domaine complet Azure Kubernetes Service (AKS) peut désormais être utilisée dans les règles d’application du Pare-feu Azure pour simplifier la configuration de votre pare-feu pour la protection d’AKS. AKS offre un cluster Kubernetes managé sur Azure qui permet de réduire la complexité et la surcharge opérationnelle de la gestion d’un cluster Kubernetes en déléguant une grande partie de cette responsabilité à Azure.

Pour la gestion et à des fins opérationnelles, les nœuds d’un cluster AKS doivent accéder à certains ports et noms de domaine complets. Pour plus d’informations sur la façon d’ajouter une protection pour un cluster Azure Kubernetes à l’aide du Pare-feu Azure, consultez la section Utilisation du Pare-feu Azure pour protéger les déploiements Azure Kubernetes Service (AKS)

firewall44
  Figure 4. Configuration de la règle d’application avec la balise de nom de domaine complet AKS.

Prochaines étapes

Pour plus d’informations sur tout ce que nous avons abordé ici, consultez les ressources supplémentaires suivantes :