Réseau & Sécurité¶
Services réseau et sécurité sur Microsoft Azure.
VNet (Virtual Network)¶
Réseau prive virtuel regional. Un VNet Azure contient des subnets et isole les ressources du trafic externe. Contrairement a GCP, les VNets Azure sont regionaux.
Cas d'usage : isolation réseau, segmentation d'environnements (dev/staging/prod), peering entre VNets, connexion hybride avec le on-premises.
Subnets et NSGs¶
Les Network Security Groups (NSGs) controlent le trafic entrant et sortant au niveau du subnet ou de l'interface réseau. Les règles sont evaluees par priorité (100 = plus haute, 4096 = plus basse).
az network vnet create \
--resource-group mon-rg \
--name mon-vnet \
--address-prefix 10.0.0.0/16 \
--subnet-name mon-subnet \
--subnet-prefix 10.0.1.0/24 \
--location francecentral
az network nsg create \
--resource-group mon-rg \
--name mon-nsg
az network nsg rule create \
--resource-group mon-rg \
--nsg-name mon-nsg \
--name autoriser-ssh \
--priority 100 \
--destination-port-ranges 22 \
--protocol Tcp \
--access Allow
Azure DNS¶
Service DNS manage, haute disponibilité. Azure DNS supporte les zones publiques et privées.
Cas d'usage : résolution DNS pour vos domaines, DNS prive interne a un VNet, enregistrements alias pour les ressources Azure.
Load Balancer vs Application Gateway¶
Azure propose deux services de répartition de charge selon le niveau OSI :
| Service | Couche | Protocole | Portee | Usage |
|---|---|---|---|---|
| Load Balancer | L4 | TCP/UDP | Regional/Global | VMs, VMSS, backend non-HTTP |
| Application Gateway | L7 | HTTP/HTTPS, WS | Regional | Apps web, terminaison SSL, WAF |
| Front Door | L7 | HTTP/HTTPS | Global | Apps multi-regions, CDN intégré |
| Traffic Manager | DNS | DNS-based | Global | Routage DNS, failover géographique |
Cas d'usage : distribution de trafic web, terminaison SSL, backends multi-regions.
Azure Firewall et WAF¶
Azure Firewall est un firewall réseau manage (L3-L7) déployé dans un VNet. Il centralise les règles de filtrage pour tout le trafic sortant et est-ouest.
WAF (Web Application Firewall) s'intégré a Application Gateway et Front Door pour filtrer le trafic HTTP malveillant (règles OWASP, protection DDoS L7).
Cas d'usage : protection contre les attaques DDoS L3/L4/L7, règles WAF OWASP, filtrage du trafic sortant, geo-blocking.
RBAC (Rôle-Based Access Control)¶
Gestion des identités et des accès via Microsoft Entra ID (anciennement Azure AD). RBAC contrôle qui (identité) peut faire quoi (rôle) sur quelle ressource (scope).
Concepts clés :
- Principaux — Utilisateurs, groupes, service principals, managed identities
- Rôles — Ensembles de permissions (built-in ou custom)
- Scope — Subscription, resource group ou ressource individuelle
Rôles built-in courants¶
| Rôle | Permission |
|---|---|
Owner | Accès total, y compris gestion des rôles |
Contributor | Créer/gérer toutes les ressources, sans RBAC |
Reader | Lecture seule sur toutes les ressources |
Virtual Machine Contributor | Gestion des VMs sans accès au VNet/stockage |
Service principals et managed identities¶
Un service principal est une identité pour les applications et les pipelines CI/CD. Une managed identity est un service principal géré automatiquement par Azure, sans secret a maintenir.
az ad sp create-for-rbac \
--name mon-service-principal \
--role Contributor \
--scopes /subscriptions/MON-SUBSCRIPTION-ID/resourceGroups/mon-rg
Managed identities
Privilegiez les managed identities (system-assigned ou user-assigned) pour éviter de gérer des secrets. Elles s'intègrent nativement avec les VMs, App Service, AKS et Azure Functions.