Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Microsoft étoffe sa solution Azure Firewall de nouvelles fonctionnalités
Pour aider les entreprises à mieux protéger leurs ressources sur leur réseau virtuel Azure

Le , par Stéphane le calme

22PARTAGES

4  0 
Azure Firewall est un pare-feu en tant que service (FWaaS) natif du cloud qui vous permet de gérer et de journaliser de manière centralisée tous vos flux de trafic à l'aide d'une approche DevOps. Le service prend en charge les règles de filtrage au niveau de l'application et du réseau et est intégré au flux Microsoft Threat Intelligence pour filtrer les adresses IP et les domaines malveillants connus. Azure Firewall est hautement disponible avec une mise à l'échelle automatique intégrée.

Vous pouvez créer, appliquer et consigner des stratégies de connectivité réseau et d’application de façon centralisée entre les abonnements et les réseaux virtuels. Azure Firewall utilise une adresse IP publique statique pour vos ressources de réseau virtuel, ce qui permet aux pare-feu situés à l’extérieur d’identifier le trafic provenant de votre réseau virtuel. Le service est totalement intégré à Azure Monitor pour la journalisation et les analyses.

Microsoft a annoncé l’arrivée de plusieurs nouvelles fonctionnalités dans Azure Firewall qui permettent à votre organisation d'améliorer la sécurité, d'avoir plus de personnalisation et de gérer les règles plus facilement.

Prise en charge DNS personnalisée (en préversion)

Depuis son lancement en septembre 2018, Azure Firewall a été codé en dur pour utiliser Azure DNS pour garantir que le service peut résoudre de manière fiable ses dépendances sortantes. Le DNS personnalisé permet de séparer la résolution du nom du client et du service. Cela vous permet de configurer Azure Firewall pour utiliser votre propre serveur DNS et garantit que les dépendances sortantes du pare-feu sont toujours résolues avec Azure DNS. Vous pouvez configurer un seul serveur DNS ou plusieurs serveurs dans les paramètres DNS du pare-feu Azure et de la stratégie de pare-feu.

Azure Firewall est également capable de résoudre les noms à l'aide d'Azure Private DNS, tant que votre zone DNS privée est liée au réseau virtuel du pare-feu.


Proxy DNS (en préversion)

Lorsque le proxy DNS est activé, les requêtes DNS sortantes sont traitées par Azure Firewall, qui lance une nouvelle requête de résolution DNS sur votre serveur DNS personnalisé ou Azure DNS. Ceci est crucial pour avoir un filtrage FQDN fiable dans les règles de réseau. Vous pouvez configurer le proxy DNS dans les paramètres DNS du pare-feu Azure et de la stratégie de pare-feu.

La configuration du proxy DNS nécessite trois étapes:
  • Activez le proxy DNS dans les paramètres DNS du pare-feu Azure.
  • Configurez éventuellement votre serveur DNS personnalisé ou utilisez la valeur par défaut fournie.
  • Enfin, vous devez configurer l'adresse IP privée du pare-feu Azure en tant que serveur DNS personnalisé dans les paramètres de votre serveur DNS de réseau virtuel. Cela garantit que le trafic DNS est dirigé vers Azure Firewall.


Filtrage FQDN dans les règles de réseau (en préversion)

Vous pouvez désormais utiliser des Fully Qualified Domain Names (FQDN) dans les règles de réseau basées sur la résolution DNS dans Azure Firewall et Firewall Policy. Ces noms de domaine spécifiés dans vos collections de règles sont traduits en adresses IP en fonction des paramètres DNS de votre pare-feu. Cette capacité vous permet de filtrer le trafic sortant à l'aide de FQDN avec n'importe quel protocole TCP / UDP (y compris NTP, SSH, RDP, etc.). Comme cette capacité est basée sur la résolution DNS, il est fortement recommandé d'activer le proxy DNS pour garantir la cohérence de vos machines virtuelles protégées et de la résolution de noms de pare-feu.

Le filtrage FQDN dans les règles d'application pour HTTP / S et MSSQL est basé sur un proxy transparent au niveau de l'application. En tant que tel, il peut discerner entre deux FQDN résolus à la même adresse IP. Ce n'est pas le cas avec le filtrage FQDN dans les règles de réseau, il est donc toujours recommandé d'utiliser des règles d'application lorsque cela est possible.

Groupes IP (disponible en version stable)

Groupes IP est une nouvelle ressource Azure de niveau supérieur qui vous permet de regrouper et de gérer les adresses IP dans les règles du pare-feu Azure. Vous pouvez donner un nom à votre groupe IP et en créer un en entrant des adresses IP ou en téléchargeant un fichier. Les groupes IP simplifient votre expérience de gestion et réduisent le temps passé à gérer les adresses IP en les utilisant dans un seul pare-feu ou sur plusieurs pare-feu. Les groupes IP sont disponibles en version stable et pris en charge dans une configuration de pare-feu Azure autonome ou dans le cadre de la stratégie de pare-feu Azure.


Azure Firewall Manager (disponible en version stable)

Azure Firewall Manager est disponible en version stable et inclut Azure Firewall Policy, Azure Firewall dans un Virtual WAN Hub (Secure Virtual Hub) et Hub Virtual Network. De plus, Microsoft propose plusieurs nouvelles fonctionnalités dans Firewall Manager et Firewall Policy pour les aligner sur les capacités de configuration de la version autonome d’Azure Firewall.

Firewall Policy (disponible en version générale)

Firewall Policy est une ressource Azure qui contient la traduction d'adresses réseau (NAT), le réseau et les collections de règles d'application, ainsi que les renseignements sur les menaces et les paramètres DNS. Il s'agit d'une ressource globale qui peut être utilisée sur plusieurs instances d’Azure Firewall dans des Secured Virtual Hubs et Hub Virtual Networks. Les stratégies de pare-feu fonctionnent dans toutes les régions et souscriptions.

Vous n'avez pas besoin de Firewall Manager pour créer une stratégie de pare-feu. Il existe de nombreuses façons de créer et de gérer une stratégie de pare-feu, notamment en utilisant l'API REST, PowerShell ou l'interface de ligne de commande (CLI).

Après avoir créé une stratégie de pare-feu, vous pouvez associer la stratégie à un ou plusieurs pare-feu à l'aide de Firewall Manager ou à l'aide de l'API REST, PowerShell ou CLI. Reportez-vous au document de présentation de la politique pour une comparaison plus détaillée des règles et de la politique.

Source : Microsoft (1,2)

Une erreur dans cette actualité ? Signalez-le nous !