La gestion et la configuration de vos ressources réseau à l’échelle de l’entreprise dans Azure sont essentielles pour réduire les coûts, réduire les dépenses opérationnelles, communiquer correctement et sécuriser votre présence réseau dans le cloud. Nous sommes ravis d’annoncer qu’Azure Virtual Network Manager (AVNM), votre guichet unique pour la gestion de la connectivité et de la sécurité des ressources réseau à grande échelle, est désormais généralement disponible.
Qu’est-ce qu’Azure Virtual Network Manager ?
AVNM fonctionne à travers un processus principal qui est : Groupe, composition et édition. Vous regrouperez vos ressources réseau à travers les abonnements, les régions et même les locataires ; configurez le type de connexion et de sécurité que vous souhaitez entre les ressources réseau mises en commun ; Enfin, déployez ces configurations sur ces groupes de réseau dans autant de zones que vous le souhaitez.
Cas d’utilisation courants
Les cas d’utilisation courants d’AVNM incluent les éléments suivants et peuvent être résolus en déployant des configurations d’administrateur de liaison et de communication AVNM sur des groupes de réseaux spécifiés :
- Réseaux virtuels interconnectés (VNets) qui communiquent directement entre eux.
- Services d’infrastructure centrale au centre du réseau virtuel qui sont partagés par d’autres réseaux virtuels.
- Créez une connexion directe entre les réseaux virtuels et les haut-parleurs pour réduire la latence.
- Maintenance automatique de la connectivité à grande échelle, même lorsque de nouvelles ressources réseau sont ajoutées.
- Appliquez des règles de sécurité standard sur tous les réseaux virtuels existants et nouveaux sans risque de changement.
- Maintenir la flexibilité pour les propriétaires de réseaux virtuels de configurer les groupes de sécurité réseau (NSG) selon les besoins pour dicter un trafic plus spécifique.
- Appliquez des règles de sécurité par défaut à l’ensemble d’une organisation pour atténuer les risques de mauvaise configuration et les vulnérabilités de sécurité.
- Autorisez avec force le trafic des services, tels que les services de surveillance et les mises à jour logicielles, pour éviter tout blocage accidentel via les règles de sécurité.
configuration de la connexion
Topologie des rayons de l’axe
Lorsque vous avez des services dans le hub VNet, comme Azure Firewall ou ExpressRoute, et que vous devez connecter de nombreux autres VNets à ce hub pour partager ces services, cela signifie que vous devrez créer une connexion entre chacun de ces VNets parlants et le hub. À l’avenir, si vous provisionnez de nouveaux réseaux virtuels, vous devrez également vous assurer que les nouveaux réseaux virtuels sont correctement connectés au hub de réseaux virtuels.
Avec AVNM, vous pouvez créer des groupes de réseaux virtuels et sélectionner ces groupes à connecter au concentrateur de réseau virtuel souhaité, et AVNM créera toutes les connexions nécessaires entre votre concentrateur de réseau virtuel et chaque réseau virtuel de vos groupes sélectionnés en arrière-plan. En plus de la simplicité de création d’une topologie de concentrateur et de haut-parleurs, de nouveaux réseaux virtuels correspondant aux conditions souhaitées peuvent être automatiquement ajoutés à cette topologie, minimisant ainsi les interférences manuelles de votre part.
Actuellement, l’établissement d’une connexion directe entre les réseaux virtuels au sein d’un groupe de réseaux mis à l’échelle est toujours en préversion et sera accessible au public (GA) à une date ultérieure.
pas
Si vous souhaitez que tous vos réseaux virtuels puissent communiquer entre eux à l’échelle régionale ou mondiale, vous pouvez créer une topologie maillée avec une configuration de connectivité AVNM. Vous sélectionnerez les groupes de réseaux que vous souhaitez et AVNM établira une connexion entre chaque réseau virtuel faisant partie des groupes de réseaux sélectionnés. La fonctionnalité de configuration de la connexion réseau est toujours en préversion et sera généralement disponible à une date ultérieure.
Comment implémenter des configurations de communication avec des environnements existants
Supposons que vous disposiez d’un hub dans plusieurs régions et que vous disposiez de l’architecture dans Azure que vous avez configurée via l’appairage manuel. Votre hub de réseau virtuel contient une passerelle ExpressRoute et des dizaines de vos réseaux virtuels appartiennent à différentes équipes d’application.
Voici les étapes que vous suivrez pour implémenter et automatiser cette architecture à l’aide d’AVNM :
- Créez votre propre gestionnaire de réseau.
- Créez un groupe de réseaux pour les réseaux virtuels de chaque équipe d’application à l’aide des définitions Azure Policy qui peuvent être conditionnellement basées sur des paramètres tels que (mais sans s’y limiter) l’abonnement, la balise VNet et le nom du réseau virtuel.
- Créez une configuration de connexion avec le concentrateur spécifié et parlez. Sélectionnez votre hub VNet souhaité et vos groupes de réseaux en tant qu’amplificateurs.
- Par défaut, toutes les connexions créées avec AVNM sont supplémentaires après la publication de la configuration de la connexion. Si vous souhaitez qu’AVNM nettoie les pairs existants pour vous, c’est une option que vous pouvez sélectionner ; Sinon, la connexion existante peut être nettoyée manuellement plus tard si vous le souhaitez.
- Déployez le hub et configurez la connexion aux zones souhaitées.
En quelques clics, vous configurez un hub et une discussion topologique entre des dizaines de réseaux virtuels de toutes les équipes d’application dans le monde via AVNM. En définissant les conditions d’adhésion au réseau virtuel pour les groupes de réseau représentant chaque équipe d’application, je me suis assuré que tout réseau virtuel nouvellement créé qui correspond à ces conditions sera automatiquement ajouté au groupe de réseau correspondant et recevra la même configuration de connexion qui lui est appliquée. Que vous choisissiez ou non qu’AVNM supprime les pairs existants, il n’y a pas de temps d’arrêt pour la communication entre les réseaux virtuels parlants et un concentrateur de réseaux virtuels.
Fonction de sécurité
AVNM vous offre désormais la possibilité de protéger vos réseaux virtuels à grande échelle avec des configurations d’administrateur de sécurité. Ce type de configuration se compose de règles d’administrateur de sécurité, qui sont des règles de sécurité hautement prioritaires définies de manière similaire, mais avec priorité sur les règles NSG.
La fonctionnalité de configuration de l’administrateur de sécurité est toujours en préversion et sera GA à une date ultérieure.
Mise en œuvre et flexibilité
Avec les NSG seuls, l’application des réseaux virtuels à grande échelle dans de nombreuses applications, équipes ou même des organisations entières peut s’avérer difficile. Il existe souvent un équilibre entre les tentatives de centralisation de l’exécution dans l’ensemble de l’organisation et le transfert d’un contrôle granulaire et flexible aux équipes. Le coût d’une application stricte est une dépense d’exploitation plus élevée, car les administrateurs doivent gérer un nombre croissant de NSG. Le coût des équipes individuelles adaptant leurs propres règles de sécurité est le risque de vulnérabilités car une mauvaise configuration ou l’ouverture de ports non sécurisés est possible. Les règles de gestion de la sécurité visent à éliminer complètement cette métrique à plusieurs niveaux consistant à choisir entre l’application et la flexibilité en offrant aux équipes de gouvernance centralisées la possibilité de créer des pare-feu, tout en autorisant intentionnellement le trafic pour que les équipes individuelles définissent de manière flexible la sécurité selon les besoins via les règles NSG.
différence avec les NSG
Les règles de l’administrateur de sécurité sont similaires aux règles NSG dans la structure et les paramètres d’entrée, mais elles ne sont pas exactement la même structure. Résumons ces différences et similitudes :
|
le public ciblé |
appliqué sur |
Commande d’évaluation |
types de travail |
frontière |
|
|---|---|---|---|---|---|
|
Règles de l’administrateur de sécurité |
Gestionnaires de réseau, équipe de gouvernance centrale |
réseaux virtuels |
priorité plus élevée |
PermettreEt RefuseEt toujours autoriser |
Priorité, protocole, procédure, source, destination |
|
Règles NSG |
équipes individuelles |
Sous-réseaux, cartes réseau |
Priorité inférieure, en suivant les règles d’administration de la sécurité |
PermettreEt Refuse |
Une différence majeure est la règle d’administration de la sécurité Permettre Il écrit. Contrairement à d’autres types de procédures Refuse Et toujours autorisersi vous créez une règle d’administrateur de sécurité pour Permettre un certain type de trafic, ce trafic sera ensuite évalué par les règles NSG correspondant à ce trafic. mais, Refuse Et toujours autoriser Les règles d’administration de sécurité cesseront d’évaluer le trafic, ce qui signifie que les NSG en aval ne verront ni ne traiteront ce trafic. Par conséquent, indépendamment de l’existence d’un groupe NSG, les administrateurs peuvent utiliser des règles d’administrateur de sécurité pour protéger l’organisation par défaut.
Les principaux scénarios
Faire des exceptions
Pouvoir appliquer des règles de sécurité dans toute l’organisation est pour le moins bénéfique. Mais l’un des avantages des règles d’administration de sécurité que nous avons mentionnées est de permettre aux équipes au sein de l’organisation de gérer le trafic différemment selon les besoins. Supposons que vous êtes un administrateur réseau et que vous appliquez des règles d’administration de sécurité pour bloquer tous les ports à haut risque dans l’ensemble de votre organisation, mais l’équipe d’application 1 a besoin du trafic SSH pour quelques-unes de ses ressources et a demandé une exception pour ses réseaux virtuels. Vous devez créer un groupe de réseaux spécifiquement pour les réseaux virtuels de l’équipe Application 1 et créer un groupe de règles d’administration de sécurité ciblant uniquement ce groupe de réseaux Dans ce groupe de règles, vous pouvez créer une règle d’administration de sécurité de type Action Permettre Pour le trafic SSH entrant (port 22). La priorité de cette règle doit être supérieure à la règle d’origine que vous avez créée et qui a bloqué ce port sur toutes les ressources de votre organisation. En effet, vous avez maintenant créé une exception pour bloquer le trafic SSH uniquement pour les réseaux virtuels de votre première équipe d’application, tout en protégeant votre organisation de ce trafic par défaut.
Forcer l’autorisation du trafic vers et depuis les services de surveillance ou les contrôleurs de domaine
Les règles d’administration de sécurité sont pratiques pour bloquer le trafic à risque dans votre organisation, mais elles sont également utiles pour appliquer le trafic requis pour que certains services continuent de fonctionner comme prévu. Si vous savez que vos équipes d’application ont besoin de mises à jour logicielles pour leurs machines virtuelles, vous pouvez créer un ensemble de règles ciblant les groupes réseau appropriés comprenant toujours autoriser Règles de l’administrateur de sécurité pour les ports par lesquels les mises à jour arrivent. De cette façon, même si l’équipe d’application configure mal le NSG pour refuser le trafic sur un port nécessaire aux mises à jour, la règle d’administration de sécurité garantira que le trafic est livré et n’atteint pas le NSG en conflit.
Comment implémenter des configurations d’administrateur de sécurité avec des environnements existants
Supposons que vous disposiez d’un modèle de sécurité basé sur NSG composé de centaines de NSG pouvant être modifiés à la fois par l’équipe de gestion centrale et les équipes d’application individuelles. Votre organisation a initialement mis en œuvre ce modèle pour permettre la flexibilité, mais il y a eu des failles de sécurité en raison du manque de règles de sécurité et de la modification continue du NSG.
Voici les étapes que vous suivrez pour mettre en œuvre et appliquer la sécurité au niveau de l’entreprise avec AVNM :
- Créez votre propre gestionnaire de réseau.
- Créez un groupe de réseaux pour les réseaux virtuels de chaque équipe d’application à l’aide des définitions Azure Policy qui peuvent être conditionnellement basées sur des paramètres tels que (mais sans s’y limiter) l’abonnement, la balise VNet et le nom du réseau virtuel.
- Créez une configuration d’administrateur de sécurité avec un ensemble de règles ciblant tous les groupes du réseau. Cet ensemble de règles représente les règles de sécurité standard que vous appliquez dans l’ensemble de votre organisation.
- Créez des règles d’administrateur de sécurité qui bloquent les ports à haut risque. Ces règles de gestion de la sécurité ont priorité sur les règles du NSG, de sorte que le rejet des règles de gestion de la sécurité n’a aucun risque de conflit avec les NSG existants. Les NSG redondants ou contournés peuvent être nettoyés manuellement si vous le souhaitez.
- Déployez la configuration de l’administrateur de sécurité dans les zones souhaitées.
Vous avez maintenant configuré un ensemble de pare-feu de sécurité à l’échelle de l’entreprise entre tous les réseaux virtuels de vos équipes d’application dans le monde via AVNM. Vous avez créé une application sans sacrifier la flexibilité, car vous pouvez créer des exceptions pour la collection de réseaux virtuels de l’équipe d’application. Les anciens NSG sont toujours là, mais tout le trafic touchera d’abord vos règles d’administration de sécurité. Vous pouvez nettoyer les groupes NS redondants ou évités, et vos ressources réseau sont toujours protégées par vos règles d’administration de sécurité, il n’y a donc pas de temps d’arrêt du point de vue de la sécurité.
En savoir plus sur Azure Virtual Network Manager
Consultez notre présentation d’AVNM, apprenez-en plus sur AVNM dans notre collection de documents publics et approfondissez les offres de sécurité d’AVNM avec notre blog sur la sécurité.