Exporter (0) Imprimer
Développer tout

À propos des listes de contrôle d'accès (ACL) réseau

Mis à jour: octobre 2014

Une liste de contrôle d'accès (ACL) réseau est une amélioration de la sécurité disponible pour votre déploiement Azure. Elle offre la possibilité d'autoriser ou de refuser sélectivement le trafic d'un point de terminaison de machine virtuelle. Cette fonction de filtrage de paquets fournit une couche de sécurité supplémentaire. Actuellement, vous ne pouvez spécifier des listes de contrôle d'accès réseau que pour les points de terminaison. Vous ne pouvez pas spécifier une liste de contrôle d'accès pour un réseau virtuel ou un sous-réseau spécifique contenu dans un réseau virtuel. Les listes de contrôle d'accès peuvent être configurées à l'aide de PowerShell ou dans le portail de gestion. Pour configurer une liste de contrôle d'accès à l'aide de PowerShell, consultez Gestion des listes de contrôle d'accès (ACL) pour les points de terminaison à l'aide de PowerShell. Pour configurer une liste de contrôle d'accès réseau à l'aide du portail de gestion, consultez Procédure : configurer des points de terminaison sur une machine virtuelle.

ImportantImportant
Si vos machines virtuelles font partie d'un réseau virtuel, vous pouvez configurer des groupes de sécurité réseau (NSG) au lieu des liste de contrôle d'accès (ACL) réseau. Les groupes de sécurité réseau fournissent des capacités de contrôle plus précises et sont uniquement disponibles pour les machines virtuelles déployées dans des réseaux virtuels. Consultez À propos des groupes de sécurité réseau.

Les listes de contrôle d'accès réseau vous permettent d'effectuer les opérations suivantes :

  • Autoriser ou refuser sélectivement le trafic entrant selon la plage d'adresses IPv4 distantes du sous-réseau à un point de terminaison d'entrée de machine virtuelle.

  • Inscrire sur liste noire des adresses IP

  • Créer plusieurs règles par point de terminaison de machine virtuelle

  • Spécifier au plus 50 listes de contrôle d'accès par point de terminaison de machine virtuelle

  • Utiliser le tri des règles pour garantir que l'ensemble approprié de règles est appliqué sur un point de terminaison donné de machine virtuelle (de la plus basse à la plus élevée)

  • Spécifier une liste de contrôle d'accès pour une adresse IPv4 distante du sous-réseau spécifique.

Une liste de contrôle d'accès réseau est un objet qui contient une liste de règles. Lorsque vous créez un liste de contrôle d'accès et l'appliquez à un point de terminaison de machine virtuelle, le filtrage des paquets a lieu sur le nœud hôte de la machine virtuelle. Cela signifie que le trafic des adresses IP distantes est filtré par le nœud hôte de façon à ce qu'il corresponde aux règles de l'ACL sur votre machine virtuelle. Cela permet d'éviter que votre machine virtuelle dépense des cycles UC en filtrage des paquets.

Si une machine virtuelle est créée, une liste de contrôle d'accès par défaut est mise en place pour bloquer tout le trafic entrant. Toutefois, si un point de terminaison est créé (port 3389), l'ACL par défaut est modifiée de façon à autoriser tout le trafic entrant pour ce point de terminaison. Le trafic entrant de tout sous-réseau distant est ensuite autorisé à ce point de terminaison et aucun approvisionnement de pare-feu n'est nécessaire. Tous les autres ports sont bloqués pour le trafic entrant, sauf si des points de terminaison sont créés pour ces ports. Le trafic sortant est autorisé par défaut.

Exemple - Tableau de liste de contrôle d'accès par défaut

 

Règle n° Sous-réseau distant Point de terminaison Autoriser/Refuser

100

0.0.0.0/0

3389

Autoriser

Pour autoriser ou refuser sélectivement le trafic réseau d'un point de terminaison d'entrée de machine virtuelle, créez des règles qui spécifient « autoriser » ou « refuser ». Il est important de noter que par défaut, lorsqu'un point de terminaison est créé, tout le trafic est refusé au point de terminaison. C'est pourquoi, il est essentiel de comprendre comment créer des règles d'autorisation/refus et de les placer dans l'ordre approprié de priorité si vous souhaitez un contrôle granulaire du trafic réseau que vous choisissez autoriser à atteindre le point de terminaison de machine virtuelle.

Éléments à prendre en compte :

  1. Aucune liste de contrôle d'accès Par défaut lorsqu'un point de terminaison est créé, tout est autorisé pour celui-ci.

  2. Autoriser Lorsque vous ajoutez une ou plusieurs plages d'autorisation, vous refusez toutes les autres plages par défaut. Seuls les paquets de la plage d'adresses IP autorisées pourront communiquer avec le point de terminaison de machine virtuelle.

  3. Refuser Lorsque vous ajoutez une ou plusieurs plages de refus, vous autorisez toutes les autres plages de trafic par défaut.

  4. Combinaison de règles d'autorisation et de refus Utilisez une combinaison de règles d'autorisation et de refus lorsque vous voulez découper une plage d'adresses IP spécifique à autoriser ou refuser.

Des listes de contrôle d'accès réseau peuvent être définies sur des points de terminaison de machine virtuelle spécifiques. Par exemple, spécifiez une liste de contrôle d'accès réseau pour un point de terminaison RDP créé sur une machine virtuelle qui verrouille l'accès de certaines adresses IP. Le tableau ci-dessous montre une façon d'octroyer l'accès à des adresses IP virtuelles (VIP) publiques d'une plage donnée pour autoriser l'accès du port RDP. Toutes les autres adresses IP distantes sont refusées. Nous suivons l'ordre des règles la plus basse est prioritaire.

Dans l'exemple ci-dessous, si vous souhaitez autoriser l'accès au point de terminaison RDP uniquement à partir de deux plages d'adresses IPv4 publiques (65.0.0.0/8 et 159.0.0.0/8), spécifiez deux règles d'autorisation. Dans ce cas, étant donné que le port RDP est créé par défaut pour une machine virtuelle, vous pouvez verrouiller l'accès au port RDP en fonction d'un sous-réseau distant. L'exemple ci-dessous montre une façon d'octroyer l'accès à des adresses IP virtuelles (VIP) publiques d'une plage donnée pour autoriser l'accès du port RDP. Toutes les autres adresses IP distantes sont refusées. Cette configuration fonctionne car les listes de contrôle d'accès réseau peuvent être configurées pour un point de terminaison spécifique de machine virtuelle et l'accès est refusé par défaut.

Exemple – Plusieurs règles

 

Règle n° Sous-réseau distant Point de terminaison Autoriser/Refuser

100

65.0.0.0/8

3389

Autoriser

200

159.0.0.0/8

3389

Autoriser

Étant donné qu'il est possible de spécifier plusieurs règles pour un point de terminaison, il doit exister une façon d'organiser les règles afin de déterminer celle qui a priorité. L'ordre de la règle indique la priorité. Les ACL réseau suivent l'ordre de règle la plus basse est prioritaire. Dans l'exemple ci-dessous, l'accès est accordé sélectivement à certaines plages d'adresses IP pour le point de terminaison sur le port 80. Pour cette configuration, nous avons une règle de refus (règle n° 100) pour les adresses dans l'espace 175.1.0.1/24. Une deuxième règle est ensuite spécifiée avec la priorité 200 qui permet l'accès à toutes les autres adresses sous 175.0.0.0/8.

Exemple – Priorité de règle

 

Règle n° Sous-réseau distant Point de terminaison Autoriser/Refuser

100

175.1.0.1/24

80

Refuser

200

175.0.0.0/8

80

Autoriser

Des ACL réseau peuvent être spécifiées sur un point de terminaison de jeu d'équilibrage de charge. Si une ACL est spécifiée pour un jeu d'équilibrage de charge, l'ACL réseau est appliquée à toutes les machines virtuelles de ce jeu d'équilibrage de charge. Par exemple, si un jeu d'équilibrage de charge est créé avec le port 80 et que ce jeu contient trois machines virtuelles, l'ACL réseau créée sur le port 80 du point de terminaison d'une machine virtuelle sera automatiquement appliquée aux autres machines virtuelles.

Listes de contrôle d'accès réseau et ensembles à charge équilibrée

Voir aussi

Microsoft réalise une enquête en ligne pour recueillir votre opinion sur le site Web de MSDN. Si vous choisissez d’y participer, cette enquête en ligne vous sera présentée lorsque vous quitterez le site Web de MSDN.

Si vous souhaitez y participer,
Afficher:
© 2015 Microsoft