Optimisation de la Sécurité Réseau avec les Network Policies


Dans le cadre des infrastructures cloud modernes, la gestion efficace du trafic réseau est essentielle pour garantir la sécurité et la fluidité des opérations. Azure offre des outils puissants pour atteindre cet objectif, notamment via les endpoints privés et les politiques réseau. Ces concepts permettent non seulement de protéger les services PaaS, mais aussi de contrôler le trafic de manière centralisée en le forçant à passer par des points de contrôle critiques comme les pare-feux.
Introduction
Dans un contexte où les services PaaS sont intégrés dans une architecture de type hub-and-spoke, l'utilisation des points d'accès privés se révèle être une méthode optimale pour accéder à ces services. Cela assure une disponibilité limitée aux réseaux privés Azure, empêchant ainsi tout accès public. Un point d'accès privé (private endpoint) est une interface réseau virtuelle qui s'installe dans un réseau virtuel et se connecte à un service PaaS.
Private Endpoint
Les private endpoints sur Azure sont des interfaces réseau intégrées à un réseau virtuel qui permettent un accès sécurisé aux services PaaS depuis le réseau interne, excluant tout accès public indésirable.
Cette configuration est idéale pour renforcer la sécurité et maintenir l'intégrité des données.
Ces points d'accès se distinguent par certaines caractéristiques :
Ils ne supportent que le protocole
TCP
, excluant ICMP/UDP.L'analyse du trafic par les journaux de flux NSG n'est pas possible.
Ils adoptent automatiquement une
route par défaut en /32
, qui est diffusée à travers le réseau virtuel et ses réseaux pairés.Pour configurer une route définie par l'utilisateur (
UDR
) ou un groupe de sécurité réseau (NSG
), des politiques réseau spécifiques doivent être mises en place pour permettre la communication.
Par défaut, un point d'accès privé génère une route par défaut en /32
qui est propagée dans le réseau virtuel où il réside, ainsi que dans les réseaux virtuels pairés. Dans une architecture en hub-and-spoke, la route par défaut du point d'accès privé est également propagée au réseau du hub.
Il est cependant impossible de visualiser directement ces routes sur un point d'accès privé. Pour les consulter, il faut accéder à une interface réseau virtuelle dans le portail Azure, reliée à une machine virtuelle. Les routes système visibles sur ces points concernent exclusivement le trafic TCP:
Lorsque les politiques réseau ne sont pas activées sur le sous-réseau où se trouvent les points d'accès privés, Azure dirige le trafic en fonction du préfixe le plus long. Par exemple, 10.0.0.0/24 est prioritaire par rapport à 10.0.0.0/16.
En cas de conflit de route sur le même préfixe, la priorité suivante est appliquée :
Routes définies par l'utilisateur
Routes BGP
Routes système
Routes Définies par l'Utilisateur (UDR)
Les UDR permettent de contourner le routage par défaut d'Azure en redirigeant le trafic de manière spécifique. En configurant des routes UDR, vous pouvez garantir que le trafic est dirigé vers un pare-feu Azure, centralisant ainsi le contrôle et l'inspection des données.
Prenons le cas d'une machine virtuelle typique où deux points d'accès privés existent sans politiques réseau actives ; le trafic se dirige directement vers le point d'accès privé sans passer par le Hub et notre Firewall bien qu’il soit définit dans l’UDR en Next hop.
Historiquement, pour détourner ce flux, une route en /32
devait être configurée pour rediriger le trafic vers un point central tel qu'un pare-feu Azure.
Network policy
Activer les politiques réseau dans les sous-réseaux où résident les endpoints privés est crucial. Cela permet de substituer les routes par défaut d'Azure et de donner priorité aux routes UDR, même avec des plages de bits moins étendues. Cette approche offre une flexibilité accrue pour le contrôle du trafic et améliore les mesures de sécurité.
Les modifications des politiques réseau s'effectuent au niveau du sous-réseau. Lorsque vous ouvrez les paramètres du sous-réseau dans un réseau virtuel, une option est disponible en bas de la page.
Pour garantir un flux de trafic adéquat entre les connexions de points d'accès privés, une connexion SNAT est nécessaire pour éviter le routage fractionné. Il est conseillé d'utiliser des règles d'application dans le pare-feu Azure entre vos services et les points d'accès privés. Ces règles effectuent le SNAT, permettant ainsi au point d'accès privé de renvoyer le trafic vers le pare-feu Azure plutôt que directement vers la ressource ayant le private endpoint.
Mécanisme d'Invalidation des Routes par Défaut sur Azure
Lorsqu'on travaille avec des endpoints privés dans Azure, les routes par défaut sont généralement créées pour chaque point d'accès privé avec un préfixe /32, ce qui peut limiter les possibilités de redirection du trafic via des routes définies par l'utilisateur (UDR). Pour contourner cela, il est nécessaire d'activer les politiques réseau dans le sous-réseau où se trouvent les endpoints privés.
Activation des Politiques Réseau
Désactivation Initiale : Par défaut, les politiques réseau sont désactivées pour un sous-réseau dans un réseau virtuel. Cela implique que le routage par défaut prend le dessus, limitant la personnalisation du chemin de trafic.
Activation des Politiques : Pour utiliser des politiques telles que les UDR et le support des groupes de sécurité réseau (NSG), l'activation des politiques réseau est impérative. Vous pouvez effectuer cette activation manuellement dans le portail Azure après la création du réseau virtuel, ou la spécifier dans vos scripts lors du déploiement via PowerShell, CLI, Bicep, Terraform, ou d'autres outils d'infrastructure as code.
Processus de Substitution des Routes
Substitution des Routes par Défault : Une fois les politiques réseau activées, les routes définies par l'utilisateur peuvent prendre priorité sur les routes système d'Azure, même si elles ont des plages de bits moins étendues. Par exemple, une route UDR avec un préfixe de 10.0.0.0/16 peut surpasser une route par défaut /32 lorsque les politiques sont en place.
Redirection Spécifique : Cela permet de rediriger le trafic de manière spécifique vers des points de contrôle, tels que les pare-feux, pour inspection et gestion centralisée, garantissant que le flux suit le chemin souhaité plutôt que celui par défaut imposé par Azure.
Conclusion
La capacité à invalider les routes par défaut d'Azure via des politiques réseau offre une flexibilité accrue et une sécurité renforcée. Cela assure que le trafic est inspecté et contrôlé de manière centrale, optimisant ainsi la sécurité et l'efficacité du réseau. Pour des configurations avancées, l'utilisation de scripts et d'outils de déploiement automatisé peut faciliter la mise en œuvre de ces politiques dès la création du réseau virtuel.
Pour plus de détails sur la gestion des politiques réseau pour les endpoints privés, consultez la documentation officielle d'Azure sur la désactivation des politiques réseau par défaut.
Subscribe to my newsletter
Read articles from Antoine LOIZEAU directly inside your inbox. Subscribe to the newsletter, and don't miss out.
Written by

Antoine LOIZEAU
Antoine LOIZEAU
Ayant eu de multiples expériences dans le monde du conseil, j'ai pu acquérir une expertise dans la conception et la construction de services de collaboration d'entreprise. Je suis passionné par les technologies Microsoft et surtout Azure. Aujourd'hui je possède une solide expérience en méthodologie de développement et j'ai mené des équipes de développement technique au succès. Je possède également une solide connaissance de l'infrastructure qui fait de moi une ressource efficace pour mettre en œuvre la transformation numérique vers le cloud Microsoft. Je suis un professionnel efficace et honnête qui aime relever les challenges. Aimant partager mes connaissances; je suis à l'aise en tant que Technical Leader et en tant que membre d'une équipe. Mes compétences techniques sont les suivantes: Azure, DevOps, Architecture Applicative, Développement de solution Cloud Native, écosystème Microsoft... et bien d'autres. Pour voir mes certifications Microsoft : https://www.youracclaim.com/users/antoine-loizeau