Le réseau avec Microsoft Azure

(1)

ISSN : 1960-3444 ISBN : 978-2-409-03412-1

54 €

Le réseau avec Microsoft Azure Déployez, hybridez et sécurisez vos réseaux dans le cloud

Le réseau avec Microsoft Azure

Déployez, hybridez et sécurisez vos réseaux dans le cloud

Avec l’avènement des technologies cloud, les réseaux d’entreprises doivent inévitablement faire face à de nouveaux enjeux d’hybridation, de sécurisation et d’optimisation. Ce livre s’adresse à toute personne (expert technique, architecte, consultant, ingénieur réseau...) qui souhaite appréhender techniquement l’ensemble des services réseau proposés dans le cloud Azure en considérant à la fois le coût et les enjeux de sécurité dans le choix d’une architecture.

Pour cela l’auteur s’appuie sur un cas concret, fil rouge de l’ouvrage, mêlant théorie et pra- tique qui aboutit à un réseau d’entreprise complet déployé dans Azure.

Après une introduction aux concepts fondamentaux liés aux réseaux Azure, l’auteur présente les réseaux virtuels et leur interconnexion à l’aide du Peering ou Global Peering, les sous-ré- seaux et le DNS. L’auteur met ensuite l’accent sur l’hybridation réseau en s’appuyant sur les services proposés par Azure comme les VPN, l’ExpressRoute, le Virtual WAN ou encore les technologies SD-WAN.

La suite du livre porte sur la sécurité des réseaux Azure. Les services de sécurité réseau de type Network Security Group, pare-feu Azure, Bastion Azure ainsi que les bonnes pratiques de déploiement sont ainsi détaillés. La distribution d’applications cloud et l’utilisation de services d’équilibrage de charge, locaux ou globaux, sont également expliquées à l’aide de diffé- rents cas d’usage.

Pour terminer, un chapitre est dédié à la mise en place de la surveillance réseau et aux bonnes pratiques en la matière. L’auteur y étudie notamment les différents outils fournis par Microsoft Azure, tels que le Network Insight et Network Watcher.

Loïc VOLANT

D’abord certifié Cisco CCNP, formateur Cisco en France, en Chine et en Italie, puis certifié Azure Cloud Solution Architect, Loïc VOLANT est architecte Réseau/Cloud pour le Groupe Keolis. Confronté au quotidien à des architectures réseau Azure, il propose un livre 100% opérationnel pour accompagner les administrateurs, ingénieurs ou architectes réseau dans leur passage au cloud Azure.

Loïc VOLANT

Déployez, hybridez et sécurisez vos réseaux dans le cloud

Pour plus d’informations :

Le réseau avec Microsoft Azure

+ QUIZ

Version en ligne

OFFERTE !

pendant 1 an

EP_GT_K.indd 42

EP_GT_K.indd 42 07/03/2022 09:15:1507/03/2022 09:15:15

(2)

Avant-propos

Chapitre 1

Fondamentaux

1. Principe et description des réseaux IP Azure . . . 13

1.1 Zones géographiques, régions et haute disponibilité . . . 13

1.1.1 Zones géographiques . . . 13

1.1.2 Régions et jumelage. . . 14

1.1.3 Zone de disponibilité . . . 15

1.1.4 Groupe à haute disponibilité. . . 16

1.2 Réseaux virtuels et sous-réseaux . . . 18

1.2.1 Réseaux virtuels . . . 18

1.2.2 Hub-and-Spoke . . . 22

1.2.3 Sous-réseaux. . . 24

1.3 Adresses IP privées . . . 25

1.4 Adresses IP publiques et SKU associés . . . 27

1.4.1 Adresses IP publiques . . . 27

1.4.2 SKU associé . . . 28

1.4.3 Exposition . . . 30

1.4.4 Préfixes d'adresses IP publiques. . . 31

1.5 Mise en réseau de ressources Azure. . . 31

1.5.1 Machine virtuelle. . . 31

1.5.2 Interface réseau . . . 32

1.5.3 Cas particuliers . . . 34

2. Routage . . . 35

2.1 Types d'itinéraires et table de routage. . . 35

2.1.1 Les itinéraires système par défaut obligatoires . . . 35

2.1.2 Itinéraires définis par l'utilisateur (User Defined Routes) . . . . 39

2.1.3 Itinéraires BGP (Border Gateway Protocol) . . . 42

2.1.4 Création et association d'une table de routage . . . 43

2.2 Préférence de routage et limitations . . . 44

2.2.1 Préférence de routage. . . 44

2.2.2 Exemples . . . 45

2.2.3 Limitations . . . 53

(3)

2 Le réseau avec Microsoft Azure

Déployez, hybridez et sécurisez vos réseaux dans le cloud

3. Services DNS . . . 54

3.1 DNS Privés - Par défaut . . . 54

3.2 DNS Privés - Zone DNS Privée . . . 55

3.3 DNS Privés - Personnalisés . . . 58

3.4 DNS publics. . . 59

3.5 DNS Split-Horizon . . . 60

4. Cas concret - Partie 1 . . . 60

4.1 Mise en place de réseaux virtuels . . . 62

4.1.1 Réseau virtuel hub . . . 62

4.1.2 Réseau virtuel Spoke A . . . 65

4.1.3 Réseau virtuel Spoke B. . . 67

4.2 Création et mise en réseau de machines virtuelles . . . 70

4.2.1 Machines virtuelles uniques . . . 70

4.2.2 Machines virtuelles en groupe à haute disponibilité . . . 76

4.3 Création d'une Zone DNS Privée . . . 80

Chapitre 2

Peering et accès privés aux services Azure PaaS

1. Introduction . . . 87

2. Principe et description des peering Azure . . . 87

2.1 Interconnexion des réseaux virtuels Azure . . . 87

2.1.1 Passerelles VPN/ExpressRoute . . . 88

2.1.2 Peering et peering global . . . 89

2.1.3 Comparatif . . . 91

2.2 Transitivité . . . 92

2.2.1 Topologie full mesh . . . 92

2.2.2 Peering transitif Hub-and-Spoke. . . 93

2.3 Tarification . . . 96

2.3.1 Passerelles . . . 96

2.3.2 Peering. . . 96

3.1 Mise en place du peering Hub - SpokeA . . . 97

3.2 Mise en place du peering Hub - SpokeB . . . 101

3.3 Schéma de situation . . . 104

(4)

4.1 Étiquettes et pare-feu de service . . . 105

4.2 Déployer un service Azure dans un réseau virtuel . . . 106

4.3 Point de terminaison de service de réseau virtuel. . . 107

4.3.1 Stratégie de point de terminaison de service de réseau virtuel . . . 110

4.3.2 Tarification . . . 111

4.4 Liaison privée - Private Link . . . 112

4.4.1 Adressage IP privé et accès par instance. . . 112

4.4.2 DNS . . . 113

4.4.3 Modèles de déploiements . . . 114

4.4.4 Conflits d'adressages IP . . . 115

4.4.5 Compatibilité . . . 116

4.4.6 Tarification . . . 117

4.5 Service Liaison Privée - Azure Private Link Service. . . 117

5. Cas concret - Partie 3. . . 119

5.1 Configuration d'un point de terminaison de service . . . 120

5.2 Création du compte de stockage et sécurisation des accès . . . 122

5.3 Validation de la connectivité . . . 126

5.4 Conclusion . . . 142

Chapitre 3

Connectivité hybride - VPN

1. Introduction. . . 143

2. VPN site à site (S2S) . . . 143

2.1 Principe et description des VPN site à site Azure . . . 143

2.1.1 Passerelles VPN Azure et SKU associés . . . 144

2.1.2 Déploiement des passerelles VPN Azure et passerelles locales. . . 147

2.1.3 Politiques IKE/IPsec. . . 148

2.1.4 Tarifs . . . 153

2.2 Redondance des architectures VPN site à site Azure . . . 154

2.2.1 Redondance basique . . . 154

2.2.2 Redondance de passerelles Azure . . . 155

2.2.3 Redondance de passerelles locales. . . 156

(5)

4 Le réseau avec Microsoft Azure

2.2.4 Redondance croisée . . . 157

3.1 Création de la passerelle depuis le portail Azure. . . 159

4. VPN point à site (P2S) . . . 168

4.1 Principe et description des VPN point à site Azure . . . 168

4.2 Types de tunnels et d'authentification . . . 169

4.2.1 Types de tunnels . . . 169

4.2.2 Authentification. . . 170

4.3 Routage et limitations . . . 173

4.3.1 Routage au travers de peering . . . 173

4.3.2 Routage au travers de VPN site à site. . . 175

4.3.3 Itinéraire personnalisé . . . 178

5.1 Création des certificats racine et clients . . . 180

5.2 Création du tunnel point à site et déploiement des certificats . . . 182

5.3 Conclusion. . . 188

Chapitre 4

Connectivité hybride - ExpressRoute

1. Hybridation ExpressRoute . . . 189

2. Modèles de connectivité des circuits ExpressRoute. . . 192

2.1 Connectivité au travers d'un partenaire . . . 192

2.1.1 Topologies . . . 193

2.1.2 Partenaires . . . 194

2.1.3 Bande passante . . . 195

2.1.4 SKU du circuit ExpressRoute . . . 196

2.1.5 Tarification. . . 199

2.1.6 Clé de service et approvisionnement . . . 200

2.2 Connectivité directe . . . 201

2.2.1 ExpressRoute Direct . . . 201

2.2.2 Tarification. . . 202

2.2.3 Chiffrement MACsec . . . 202

(6)

3.1 Microsoft Peering . . . 206

3.1.1 Prérequis de peering. . . 206

3.1.2 Filtres de routage . . . 208

3.1.3 Redondance . . . 209

3.2 Private Peering. . . 211

3.2.1 Prérequis de peering. . . 211

3.2.2 Passerelles ExpressRoute . . . 212

3.2.3 Tarification des passerelles ExpressRoute . . . 214

3.2.4 Optimisation . . . 214

3.2.5 Redondance . . . 215

3.2.6 Connectivité ExpressRoute/VPN . . . 217

4.1 Création de la passerelle ExpressRoute . . . 220

4.2 Création du circuit ExpressRoute . . . 221

4.3 Configuration de la connexion . . . 225

Chapitre 5

Connectivité hybride - Virtual WAN

2. Services Virtual WAN . . . 229

2.1 Principe et description des services Virtual WAN . . . 229

2.1.1 SKU Virtual WAN . . . 230

2.2 Connectivité, transitivité et routage . . . 231

2.2.1 Connectivité. . . 231

2.2.2 Transitivité. . . 234

2.2.3 Routage . . . 237

2.2.4 Technologies SD-WAN . . . 239

2.2.5 SD-WAN et Virtual WAN. . . 242

2.3 Sécurité . . . 243

2.3.1 Intégration de pare-feu . . . 243

2.3.2 Chiffrement . . . 244

2.3.3 Conclusion . . . 245

(7)

6 Le réseau avec Microsoft Azure

3. Cas concret optionnel . . . 245

3.1 Création de l'instance WAN virtuel. . . 245

3.2 Création d'un hub virtuel . . . 246

3.3 Configuration des connectivités VPN . . . 247

3.4 Configuration de la connectivité aux réseaux virtuels . . . 252

Chapitre 6

Groupes de sécurité réseau

2. Principe et description des NSG . . . 255

2.1 Règles de sécurité . . . 256

2.1.1 Règles de sécurité entrantes . . . 256

2.1.2 Règles de sécurité sortantes. . . 258

2.1.3 Règles par défaut . . . 259

2.2 Ordonnancement . . . 260

2.2.1 Exemples. . . 261

2.3 Règles avancées . . . 266

2.3.1 Règles de sécurité augmentée (Augmented NSG) . . . 266

2.3.2 Groupe de sécurité d'application (ASG) . . . 268

2.3.3 Balises de service . . . 270

3.1 Création et association d'un NSG . . . 275

3.2 Création et mise en place d'un ASG. . . 287

Chapitre 7

Pare-feu

2. Service de pare-feu Azure Standard . . . 293

2.1 Principe et description du pare-feu Azure Standard . . . 293

2.2 Règles, groupes d'IP et collections de règles. . . 295

2.2.1 Règles applicatives dans le pare-feu Azure . . . 296

2.2.2 Règles réseau dans le pare-feu Azure . . . 297

(8)

2.2.4 Groupes d'IP . . . 300

2.2.5 Collections de règles . . . 300

2.2.6 Cas particulier de la Threat Intelligence . . . 301

2.2.7 Application des règles et collections de règles . . . 302

2.3 Ordonnancement des règles. . . 302

2.4 Limitations associées au pare-feu Azure Standard . . . 304

2.5 Azure Firewall et Network Security Group . . . 305

2.5.1 Azure Firewall ou Network Security Group ?. . . 305

2.5.2 Associer Azure Firewall et Network Security Group . . . 306

3.1 Création du sous-réseau . . . 309

3.2 Création du pare-feu. . . 312

3.3 Règles de sécurité . . . 315

3.4 Règles DNAT . . . 316

3.5 Création de règles réseau . . . 320

3.6 Règles réseau avec étiquettes de service . . . 330

3.7 Création de règles de réseau avec FQDN . . . 335

3.8 Règles d'application avec nom de domaine complet . . . 338

3.9 Création de groupes d'IP. . . 341

3.10 Redirection des flux locaux . . . 343

3.11 Option : Tunneling forcé . . . 349

4. Azure Firewall Manager . . . 355

4.1 Principe et description de l'Azure Firewall Manager . . . 355

4.1.1 Gestion centralisée des politiques de sécurité . . . 356

4.1.2 Topologies supportées. . . 357

4.1.3 Quelle architecture choisir?. . . 361

5.1 Création d'une stratégie de pare-feu . . . 362

5.2 Associer une stratégie à un réseau virtuel existant. . . 368

5.3 (Optionnel) Déploiement d'une stratégie à la création d'un nouveau réseau virtuel . . . 372

5.4 (Optionnel) Association d'une stratégie à un hub virtuel existant . . 374

(9)

8 Le réseau avec Microsoft Azure

Déployez, hybridez et sécurisez vos réseaux dans le cloud 5.5 (Optionnel) Déploiement d'une stratégie à la création

d'un nouveau hub virtuel . . . 377

6. Service de pare-feu Azure Premium . . . 381

6.1 Inspection TLS . . . 381

6.2 IDPS . . . 383

6.3 Filtrage URL et catégorisation web . . . 384

6.4 Stratégie de pare-feu et migration . . . 385

7.1 Inspection TLS . . . 394

7.2 IDPS . . . 398

7.3 Filtrage URL . . . 400

7.4 Catégorisation web . . . 404

8. Azure Firewall ou Network Virtual Appliance . . . 406

8.1 Pourquoi et quand choisir une NVA plutôt qu'un pare-feu Azure? . . 407

8.2 Inconvénients d'une solution NVA et avantages du pare-feu Azure . . 409

8.3 Coûts associés aux pare-feu Azure et NVA. . . 410

8.3.1 Coûts associés aux pare-feux Standard et Premium . . . 410

8.3.2 Conclusion . . . 411

Chapitre 8

Bastion

1. Principe et description du Bastion Azure . . . 413

2. Architectures . . . 415

2.1 Réseau virtuel unique . . . 415

2.2 Réseau virtuel dédié . . . 417

2.4 Limitations . . . 420

3.1 Création du réseau virtuel et sous-réseau associé . . . 422

3.2 Création du Bastion Azure . . . 423

3.3 Connexion au travers du Bastion. . . 425

3.4 Création du réseau virtuel et sous-réseau . . . 430

3.5 Création du Bastion Azure . . . 430

(10)

Chapitre 9

Équilibreurs de charge

1. Les services d'équilibrage de charge Azure . . . 435

2. Azure Load Balancer . . . 437

2.1 Principe et description de l'Azure Load Balancer . . . 437

2.1.1 Les règles d'équilibrage de charge . . . 439

2.1.2 Les règles d'équilibrage de charge utilisant les ports haute disponibilité . . . 441

2.1.3 Les règles NAT de trafic entrant. . . 442

2.1.4 Les règles de trafic sortant. . . 443

3.1 Création de l'équilibreur de charge interne standard . . . 446

3.2 Création du groupe de machines virtuelles identiques . . . 448

3.3 Configuration de l'équilibreur de charge . . . 452

3.4 Création du groupe de sécurité réseau. . . 455

3.5 Configuration du pare-feu Azure . . . 457

3.6 Configuration du peering. . . 457

3.7 Création d'un nouvel itinéraire dans la table de routage . . . 459

3.8 Vérification et connexion. . . 460

3.9 Accès internet sortant . . . 462

4. Azure Application Gateway et WAF . . . 467

4.1 Principe et description de l'Azure Application Gateway . . . 467

4.2 Fonctionnalités de l'Azure Application Gateway . . . 469

4.2.1 Fonctionnalités spécifiques à l'Azure Application Gateway v2 . . . 469

4.2.2 Fonctionnalités communes aux différents SKU de l'Application Gateway . . . 473

4.2.3 Fonctionnalités de pare-feu d'application web . . . 476

5.1 Création de deux comptes de stockage blob Azure . . . 482

5.2 Création de l'Application Gateway SKU v2 . . . 488

(11)

10 Le réseau avec Microsoft Azure

Déployez, hybridez et sécurisez vos réseaux dans le cloud 5.3 Configuration d'un nouveau NSG associé

au sous-réseau Subnet_1D . . . 499

5.4 Configuration d'un nom de domaine personnalisé. . . 505

5.5 Connexion au site web statique. . . 506

5.6 (Optionnel) Redirection des flux HTTP vers HTTPS . . . 508

5.7 Sécurisation des accès au stockage blob . . . 510

5.8 Configuration du WAF SKU v2 . . . 512

5.9 Configuration d'une stratégie contenant une règle personnalisée. . . 518

6. Azure Front Door. . . 522

6.1 Principe et description de l'Azure Front Door. . . 522

6.2 SKU associés à l'Azure Front Door . . . 523

6.2.1 Azure Front Door. . . 523

6.2.2 L'Azure Front Door Standard/Premium . . . 529

6.2.3 Conclusion . . . 532

7.1 Déploiement du réseau virtuel, des comptes de stockage et des pages statiques . . . 534

7.2 Déploiement de l'Application Gateway US. . . 536

7.3 Déploiement de l'Azure Front Door Premium . . . 541

8. Azure Traffic Manager . . . 559

8.1 Principe et description de l'Azure Traffic Manager. . . 559

Chapitre 10

Content Delivery Network

1. Principe et description de l'Azure CDN . . . 571

1.1 Produits associés à l'Azure CDN . . . 572

2. Connectivité et types d'origines . . . 576

2.1 Connectivité . . . 576

2.2 Ajout d'un domaine personnalisé. . . 577

2.3 Règles de mise en cache . . . 577

2.4 Filtrage géographique . . . 578

(12)

3. Mise en place d'un Azure CDN . . . 580

3.1 Déploiement d'un profil CDN Verizon Standard. . . 581

3.2 Mise en place d'un domaine personnalisé . . . 583

3.3 Filtrage géographique . . . 586

3.4 Préchargement des fichiers statiques. . . 588

3.5 Règles de mise en cache . . . 589

3.6 Test de connectivité . . . 590

Chapitre 11

Monitoring

2. Azure Monitor . . . 594

2.1 Métriques . . . 595

2.2 Journaux d’évènements . . . 602

2.3 Classeurs . . . 605

3. Azure Monitor Network Insights . . . 609

3.1 Network Insights . . . 610

3.2 Intégrité du réseau . . . 611

3.3 Connectivité . . . 625

3.4 Trafic . . . 633

3.5 Boîte à outils de diagnostic . . . 638

Index . . . 651

(13)

Chapitre 3

Connectivité hybride - VPN

Connectivité hybride - VPN

1. Introduction

L'hybridation de votre réseau, c’est-à-dire l'interconnexion de vos environnements privés aux environnements cloud Azure, est une étape clé. Comme évoqué précédem- ment, et bien que certains services soient accessibles depuis des points de terminaison publics, l'hybridation de votre réseau vous permet d'accéder aux ressources déployées sur des plans d'adressage IP privés. Dès lors, votre environnement Azure, d'un point de vue réseau, est similaire à tout autre site présent dans votre environnement.

Ce chapitre se concentre sur les connectivités hybrides de type VPN : d'abord site à site (S2S) pour l'interconnexion d'un site, puis point à site (P2S) pour l'interconnexion de vos utilisateurs.

2. VPN site à site (S2S)

2.1 Principe et description des VPN site à site Azure

Les réseaux VPN site à site sont une des approches à l'hybridation de vos réseaux avec le cloud Microsoft Azure. La connectivité VPN IPsec, simple et rapide, rend possibles les communications sécurisées entre deux espaces d'adressage privés non conflictuels, qu'il s'agisse par exemple d'interconnecter votre réseau local à Azure ou un autre four- nisseur cloud à Azure. Ainsi, l'accès à vos ressources situées dans le cloud Azure se fait au travers d'adressages privés, comme pour vos ressources internes actuelles. Inverse- ment, vos ressources Azure peuvent également joindre les réseaux locaux pour redes- cendre des données localement ou entre différents fournisseurs cloud.

(14)

internes et ne permet plus d'y accéder librement en dehors de votre réseau d'entreprises. Les ressources publiques et exposées, elles, le resteront, mais seront clairement distinguées en termes de sécurité et d'accès.

Dans Azure, la mise en place d'une connectivité hybride de type VPN requiert diffé- rents éléments de configuration :

– Une ou plusieurs passerelles VPN Azure.

– Une ou plusieurs passerelles VPN locales.

– Une connexion VPN entre vos passerelles incluant les configurations IPsec.

Avant d'aborder les spécificités techniques liées aux passerelles VPN, il est important d’évoquer dans un premier temps les différents SKU disponibles.

2.1.1 Passerelles VPN Azure et SKU associés

La mise en place d'une connectivité VPN site à site, dans Azure, repose sur des passerelles de réseau virtuel de type VPN, ou VPN Gateways. Ces passerelles VPN assurent la connectivité entre vos passerelles VPN locales (pare-feu, routeur…) et le cloud Azure. Il existe un nombre relativement important de SKU de passerelles VPN, et ce dans le but de répondre au mieux à vos attentes en termes de connectivité et de coût.

On distingue cependant deux grands types de passerelles : – Les passerelles de type Basic (un seul SKU associé).

– Les passerelles de type Standard (l'ensemble des SKU restants).

Les passerelles VPN dites "Basic" sont relativement limitées et ne sont pas recomman- dées dans le cadre d'architectures importantes ou de déploiements de production avancés. Elles sont même souvent considérées comme obsolètes et seulement utilisées dans des environnements de test. Les limitations associées à ce type de passerelles sont nombreuses et c'est pourquoi il est important de les maîtriser pour orienter au mieux votre décision lors du déploiement.

Pour commencer, les passerelles de SKU Basic sont les seules passerelles dont les VPN sont basés sur une stratégie, ou Policy-Based. De par cette configuration, les premières limites ne tardent pas à se faire ressentir. À titre d'exemple, les passerelles ne supportent qu'un seul tunnel et ne peuvent en aucun cas coexister avec un ExpressRoute (cf. chapitre Connectivité hybride - ExpressRoute). De même, il est impossible de déployer du VPN point à site sur cette dernière. Lorsque les VPN sont basés sur des stratégies, les passerelles vont d'abord chiffrer le trafic avant de le rediriger dans le tunnel VPN suivant la liste des réseaux autorisés par stratégie. Le fonctionnement intrin- sèque de la passerelle l'oblige donc à n'avoir qu'un seul tunnel, ce qui limite fortement les possibilités de déploiement.

(15)

145 Connectivité hybride - VPN

Chapitre 3

Le reste des passerelles disponibles, dites "Standard", correspondent à l'ensemble des SKU restants. Ces dernières sont plus complètes et reposent cette fois sur un modèle basé sur le routage, ou Route-Based. Contrairement au modèle basé sur stratégie, ces passerelles vont d'abord diriger le trafic vers un tunnel, puis le chiffrer. Les décisions de routage reposent sur vos itinéraires, permettant ainsi que plusieurs tunnels puissent être gérés simultanément depuis une même passerelle. De même, le déploie- ment de VPN point à site ou la cohabitation avec une passerelle ExpressRoute est cette fois supporté.

Plus encore, ces passerelles supportent des configurations fréquemment utilisées dans les réseaux locaux d'entreprise, telles que le routage par BGP (Border Gateway Protocol) ou les déploiements de type actif-actif.

Pour être précis, le SKU Basic peut, dans une certaine mesure, être basé sur des itiné- raires également. Cependant, celui-ci reste moins complet et notamment limité en termes de tunnel (10 contre 30) ou de fonctionnalités en point à site (pas de Radius, d'IKE…).

Remarque

Le choix du modèle basé sur routage ou stratégie est déterminant car celui-ci ne peut être modifié. Il est impossible de convertir simplement de l'un vers l'autre des modèles.

Toutefois, il reste possible de convertir votre passerelle entre différents SKU basés sur des stratégies.

Il existe un nombre important de SKU différents. Le premier SKU ne concerne que les passerelles de type Basic. Pour le reste, il ne s'agit que de passerelles de type Standard.

Les SKU se distinguent par la génération de la passerelle, son maximum d'utilisateurs point à site, sa capacité à supporter de la redondance interzone, ou encore et surtout par sa bande passante maximale. La bande passante est le paramètre différenciant le plus souvent retenu pour sélectionner la bonne passerelle de type Standard.

Remarque

Notez que la bande passante indiquée correspond au total cumulé de la passerelle VPN dans sa globalité. Cette mesure inclut donc l'ensemble des tunnels site à site ainsi que les connexions point à site. Un tunnel unique possède une bande passante de 1 Gbps maximum.

(16)

générations :

SKU Redondance Inter-zone

Tunnels max S2S/

VNET2VNET

Tunnels max SSTP / IKEv2P2S

Bande passante

cumulée BGP

Basic 10 128 / 100 Mbps

VpnGw1

Generation 1 30 128 / 250 650 Mbps

VpnGw1AZ

Generation 1 30 128 / 250 650 Mbps

VpnGw2

Generation 1 30 128 / 250 1 Gbps

VpnGw2AZ

VpnGw2

Generation 2 30 128 / 250 1,25 Gbps

VpnGw2AZ

VpnGw3

Generation 1 30 128 / 1000 1,25 Gbps

VpnGw3AZ

VpnGw3

VpnGw3AZ

VpnGw4

VpnGw4AZ

VpnGw5

(17)

147 Connectivité hybride - VPN

Chapitre 3

2.1.2 Déploiement des passerelles VPN Azure et passerelles locales

Quel que soit le SKU sélectionné pour votre passerelle, son déploiement se fait sous la forme d'une ressource PaaS. Celle-ci est directement intégrée dans un réseau virtuel, et plus précisément au sein d'un sous-réseau dédié nommé GatewaySubnet. Une fois de plus, le déploiement peut être réalisé au travers du portail, de PowerShell, d'Azure CLI ou encore différents outils d'automatisation.

Bien qu'une passerelle apparaisse en tant que ressource PaaS unique lors de sa configuration, celle-ci est nécessairement constituée de deux machines virtuelles sous- jacentes. Ce point est important et nous reviendrons dessus plus tard dans ce chapitre, ainsi que sur les différents types de redondances supportées par les passerelles.

Il est conseillé de déployer votre passerelle dans un sous-réseau en /27, ou moins. Bien qu'un /29 soit tout à fait supporté, il limite à terme l'évolutivité de votre plateforme cloud. Si vous souhaitez par exemple combiner les technologies VPN et ExpressRoute, il est recommandé de déployer un /27 minimum. Notez également que la modifica- tion d'un tel plan d'adressage à la suite du déploiement d'une première passerelle peut s'avérer complexe et source d'interruptions de service. Cette démarche inclut en effet la suppression de votre passerelle existante, le redimensionnement du sous-réseau et la création d'une nouvelle passerelle.

Les passerelles VPN Azure déployées dans ce sous-réseau s'interconnectent avec vos passerelles VPN locales au travers d'Internet. L'interconnexion des deux environnements crée une hybridation de vos réseaux et leur permet de communiquer comme s'ils n'en formaient qu'un. À nouveau, attention aux différents plans d'adressage pri- vés qui ne doivent en aucun cas entrer en conflit avec le plan d'adressage utilisé dans votre environnement Azure. Ces passerelles locales doivent être créées dans votre environnement Azure et portent le nom de passerelles VPN locales, ou local gateway.

Chacune d'entre elles sera déclarée avec son adresse IP publique et les plans d'adressage locaux privés qui lui sont associés. Si deux passerelles locales sont configurées, deux adresses IP publiques sont nécessaires. Les plans d'adressage locaux cibles, eux, peuvent être identiques.

VpnGw5AZ

SKU Redondance Inter-zone

Tunnels max S2S/

VNET2VNET

Tunnels max SSTP / IKEv2P2S

Bande passante

cumulée BGP

(18)

le site de Microsoft. Cette dernière inclut les équipements des acteurs principaux du marché, tels que : Juniper, Arista, Checkpoint, F5, Cisco, Citrix, Palo Alto, SonicWall, Sophos, Ubiquiti ou encore WatchGuard par exemple. Si un constructeur n'apparaît pas, cela ne signifie en aucun cas qu'il est impossible de s'y connecter au travers d'une passerelle Azure. Cependant, le support sera limité et assuré par le constructeur concerné. L'intégration et la connectivité au travers de certains de ces partenaires sont parfois même facilitées par la mise à disposition de configurations prédéfinies, sous forme de script de configuration. Quand bien même des paramètres ne correspon- draient pas à vos prérequis et seraient à modifier, vous pourrez entièrement person- naliser ces scripts.

Lorsque vos passerelles VPN Azure et locales sont en place, il ne reste plus qu'à confi- gurer la connectivité VPN entre les deux au travers d'une "connexion" Azure. C'est ici que sont configurés les paramètres IPsec relatifs à vos tunnels VPN.

2.1.3 Politiques IKE/IPsec

Avant d'aborder les concepts de chiffrement et de sécurité liés aux passerelles VPN Azure, revenons sur quelques concepts clés.

Les périphériques VPN situés de part et d'autre d'un tunnel VPN IPsec sont appelés pairs IPsec. Pour qu'une connexion soit effective entre eux, un ensemble de para- mètres de chiffrement et d'authentification doivent être échangés entre l'initiateur et le répondeur. Chaque périphérique possède ainsi des listes définies d'arguments appe- lées SA (Security Association), associées aux différentes phases de négociation VPN. Ces dernières doivent correspondre des deux côtés du lien avant de pouvoir continuer les négociations et monter le tunnel.

Ces négociations reposent sur le protocole IKE (Internet Key Exchange, v1 ou v2) et se déroulent en deux phases :

– La phase 1, ou ISAKMP SA (Internet Security Association and Key Management Protocol Security Association), disponible en mode principal ou mode agressif.

Cette phase initiale permet l'établissement d'une première session sécurisée de type ISAKMP entre les deux extrémités du tunnel. Les algorithmes de hachage et de chiffrement, ou encore les méthodes d'authentification (clé partagée par exemple) y sont négociés.

(19)

149 Connectivité hybride - VPN

Chapitre 3

– La phase 2, ou IPsec SA (Internet Protocol Security), disponible en mode rapide ou mode rapide PFS.

Cette seconde phase, réalisée au travers du tunnel déployé en phase 1, permet un échange de clé et l'établissement de deux sessions bidirectionnelles entre vos périphé- riques. À nouveau, une liste de paramètres, cette fois nécessaires à l'établissement du tunnel IPsec, est négociée. Celle-ci inclut notamment l'algorithme de hachage et de chiffrement, le groupe Diffie Hellman, ou encore la durée de vie de l'association de sécurité.

Ces deux phases peuvent être quelque peu modifiées suivant la version IKE en place.

En effet, l'IKEv1 et l'IKEv2 possèdent des caractéristiques particulières et différen- ciantes, dont certaines sont exposées dans le tableau suivant :

L'IKEv2 apparaît donc logiquement comme un choix privilégié pour vos déploiements de tunnels site à site. L'IKEv1, quant à lui, intervient plutôt lorsque l'équipement pair ne supporte pas l'IKEv2 ou dans de rares exceptions.

Revenons à présent sur les possibilités offertes par les passerelles VPN Azure au sujet du chiffrement de vos tunnels VPN. Simplement résumé, ces dernières supportent l'ensemble des standards de sécurité et de chiffrement actuels. Elles assurent par conséquent une interopérabilité optimale et s'adaptent à une majorité d'enjeux sécu- ritaires et de contextes.

Version IKEv1 IKEv2

Ports UDP 500 4500

Messages Phase 1 = 6 ou 3

(Main mode / Aggressive mode)

Phase 2 = 3 messages

Phase 1 = 4 Phase 2 = 2

Authentification EAP NAT-Traversal supporté Paramètre de Keep Alive par défaut

Consommation de bande passante réduite