Cette publication a été co-créée par Adam Stuart, spécialiste technique, Azure Networking

Le DNS personnalisé, le proxy DNS et le filtrage de nom de domaine complet dans les règles de réseau (pour les protocoles non-HTTP/S et non-MSSQL) dans le Pare-feu Azure sont à présent mis à la disposition générale. Dans ce billet de blog, nous partagerons également un exemple de cas d’utilisation du proxy DNS avec Private Link. 

Le Pare-feu Azure est une offre de pare-feu en tant que service (FWaaS) cloud native qui vous permet de gérer et de journaliser de manière centralisée tous vos flux de trafic à l’aide d’une approche DevOps. Le service prend en charge les règles de filtrage au niveau de l’application, du protocole NAT et du réseau. Il est intégré au flux Microsoft Threat Intelligence pour filtrer les adresses IP et les domaines malveillants connus. Le Pare-feu Azure est hautement disponible grâce à la mise à l’échelle automatique intégrée.

La prise en charge du DNS personnalisé est à présent disponible

Depuis son lancement en septembre 2018, le Pare-feu Azure a été codé en dur pour utiliser Azure DNS afin de garantir que le service peut résoudre de manière fiable ses dépendances sortantes. Le DNS personnalisé vous permet de configurer le Pare-feu Azure pour utiliser votre propre serveur DNS et garantit que les dépendances sortantes du pare-feu sont toujours résolues avec Azure DNS. Vous pouvez configurer un serveur DNS unique ou plusieurs serveurs dans les paramètres DNS de la stratégie de pare-feu et du Pare-feu Azure.

Le Pare-feu Azure peut également résoudre les noms à l’aide d’un DNS privé Azure. Le réseau virtuel dans lequel réside le Pare-feu Azure doit être lié à la zone privée Azure.

Le proxy DNS est à présent mis à la disposition générale

Si le proxy DNS est activé, le Pare-feu Azure peut traiter et transférer les requêtes DNS à partir d’un ou de plusieurs réseaux virtuels vers le serveur DNS de votre choix. Cette fonctionnalité est essentielle et requiert un filtrage de nom de domaine complet fiable dans les règles de réseau. Vous pouvez activer le proxy DNS dans les paramètres de la stratégie de pare-feu et du Pare-feu Azure. Pour en savoir plus sur les journaux du proxy DNS, consultez la documentation sur les métriques et le journal du Pare-feu Azure.

La configuration du proxy DNS nécessite trois étapes :

1. Activez le proxy DNS dans les paramètres DNS du Pare-feu Azure.
2. Éventuellement, configurez votre serveur DNS personnalisé ou utilisez la valeur par défaut fournie.
3. Enfin, vous devez configurer l’adresse IP privée du Pare-feu Azure en tant que serveur DNS personnalisé dans les paramètres du serveur DNS de votre réseau virtuel. Cette opération garantit que le trafic DNS est dirigé vers le Pare-feu Azure.

Le proxy DNS écoute les demandes sur le port TCP 53 et les transmet à Azure DNS ou au DNS personnalisé spécifié.

Figure 1. Paramètres de proxy DNS et de DNS personnalisé sur le Pare-feu Azure.

Le filtrage de nom de domaine complet dans les règles de réseau est à présent généralement disponible

Vous pouvez maintenant utiliser des noms de domaine complets (FQDN) dans les règles de réseau en fonction de la résolution DNS dans la stratégie de pare-feu et le Pare-feu Azure. Les noms de domaine complets spécifiés dans vos collections de règles sont traduits en adresses IP en fonction des paramètres DNS de votre pare-feu. Cette fonctionnalité vous permet de filtrer le trafic sortant à l’aide de noms de domaine complets avec n’importe quel protocole TCP/UDP (y compris NTP, SSH, RDP, etc.). Étant donné que cette fonctionnalité est basée sur la résolution DNS, il est fortement recommandé d’activer le proxy DNS pour garantir la cohérence de la résolution de noms pour vos machines virtuelles protégées et le pare-feu.

Quelle est la différence entre le filtrage de nom de domaine complet dans les règles d’application et les règles de réseau ? 

Le filtrage de nom de domaine complet dans les règles d’application pour HTTP/S et MSSQL est basé sur un proxy transparent au niveau de l’application. Par conséquent, il peut discerner deux noms de domaine complets qui sont résolus sur la même adresse IP. Ce n’est pas le cas avec le filtrage de noms de domaine complets dans les règles de réseau. Il est donc toujours recommandé d’utiliser les règles d’application lorsque cela est possible.

Figure 2. Filtrage des noms de domaine complets dans les règles de réseau.

Utilisation du Pare-feu Azure comme proxy DNS pour permettre l’accès aux points de terminaison privés à partir d’un emplacement local

Azure Private Link offre la possibilité de se connecter aux services Microsoft PaaS, notamment les comptes de stockage, les services d’application, etc., via une connexion privée, à l’aide de points de terminaison privés. Un point de terminaison privé est une interface réseau qui vous permet de vous connecter de façon privée et sécurisée à un service PaaS basé sur Azure Private Link. Les points de terminaison privés utilisent une adresse IP privée de votre réseau virtuel (VNet), en plaçant le service à l’intérieur de votre réseau privé dans le cloud. Cette approche offre des avantages supplémentaires en matière de sécurité, car elle supprime l’exposition et l’accessibilité des adresses IP publiques du service PaaS.

L’un des grands avantages d’Azure Private Link est la possibilité d’utiliser des services PaaS Microsoft sur des connexions hybrides à adresse privée (par exemple, Peering privé Azure ExpressRoute ou VPN de site à site). Toutefois, cet avantage est également contrebalancé par le défi que représente le transfert des requêtes DNS de l’environnement local vers le DNS privé Azure pour tirer parti de la gestion automatisée du cycle de vie des enregistrements DNS qui mappent à vos points de terminaison privés.

Chaque service PaaS Azure qui utilise Private Link reçoit un nom de domaine complet qui est mappé et stocké dans une zone DNS privée Azure. Les demandes envoyées à Azure DNS Private Zones accèdent à l’adresse de plateforme 168.63.129.16 qui est accessible uniquement depuis l’intérieur d’Azure. Par conséquent, si la requête DNS provient d’un serveur local (en dehors d’Azure), il est nécessaire de procéder à un proxy de la requête DNS via un service au sein d’un réseau virtuel.

Avec cette annonce de la disponibilité générale, le proxy DNS du Pare-feu Azure est une option pour répondre à cette exigence de transfert DNS, applicable avec un modèle Hub-and-Spoke. Pour ce faire, configurez votre serveur DNS local afin qu’il transfère de manière conditionnelle les requêtes vers le Pare-feu Azure pour le nom de zone requis. Veillez à ce que votre zone DNS privée soit liée au réseau virtuel dans lequel réside le Pare-feu Azure. Configurez le Pare-feu Azure pour qu’il utilise Azure DNS par défaut pour les recherches et activez le proxy DNS dans les paramètres DNS du Pare-feu Azure. Pour plus d’informations sur le proxy DNS, consultez la documentation relative aux paramètres DNS.

Étapes suivantes

Pour plus d’informations sur tout ce que nous avons abordé dans ce billet de blog, consultez les rubriques suivantes :

• Documentation sur le Pare-feu Azure
• Utiliser le filtrage de nom de domaine complet dans les règles de réseau
• Paramètres DNS du Pare-feu Azure
• Utiliser le Pare-feu Azure comme redirecteur DNS avec Private Link

Inscrivez-vous maintenant à l’événement numérique Azure Network Security pour en savoir plus sur le Pare-feu Azure et sur la façon d’adopter une approche Zero Trust afin de sécuriser votre réseau et de le protéger contre les attaques de sécurité des cybercriminels.