Glossaire

Pare-feux Azure

En quoi consistent les pare-feux Azure

Microsoft Azure est une plateforme de services de cloud public compatible avec un grand nombre de systèmes d'exploitation, de langages de programmation, de frameworks, d'outils, de bases de données et d'appareils. Comme d'autres déploiements dans le cloud, Azure repose sur un modèle de sécurité partagée dont la meilleure description se trouve dans le livre blanc Shared Responsibilities for Cloud Computing (Responsabilités partagées pour l'informatique dans le cloud) de Microsoft (en anglais). Pour résumer, Microsoft prend à sa charge la responsabilité de la sécurité de l'infrastructure cloud, tandis que les clients sont responsables de leurs propres données et applications exploitant l'infrastructure. La responsabilité de ses biens numériques implique que le client doit prendre un certain nombre de mesures supplémentaires visant à protéger ses données, applications et réseaux.

Pour se protéger contre des cybermenaces de plus en plus nombreuses et sérieuses, il est recommandé aux clients Azure d'installer un pare-feu, sous une forme ou une autre. Bien que différents types de pare-feux Azure effectuent différentes opérations au sein du cloud de Microsoft, leur rôle principal est généralement de surveiller les interactions entre une partie donnée du cloud public et le reste du réseau Internet. En filtrant les paquets et les requêtes, ces pare-feux peuvent empêcher les logiciels malveillants d'accéder aux applications, données, ou même au réseau lui-même. Le marketplace Microsoft Azure propose différents pare-feux qui correspondent généralement à l'une des deux catégories suivantes : ceux de type Web application firewall et ceux de type network firewall.

Pare-feux Web application firewall sur Azure

Il est important, pour toute entreprise et même pour un particulier, d'installer un pare-feu de type Web application firewall afin de protéger ses applications sous Azure. Les WAF cloud sont placés en amont d'une application Web pour en surveiller toutes les interactions avec Internet. Lorsque des paquets arrivent en provenance des utilisateurs, ou même d'autres applications, ils sont filtrés afin d'éviter qu'un quelconque logiciel malveillant puisse atteindre l'application elle-même. À l'heure actuelle, Microsoft Azure possède son propre pare-feu natif mais la plupart des entreprises ont besoin de pare-feux type Web application firewall tiers qui proposent des fonctionnalités plus adaptées à leurs besoins.

Un pare-feu de type Web application firewall puissant et robuste se doit de proposer les capacités suivantes :

  • Filtrage du trafic : Le filtrage du trafic est l'une des opérations les plus pratiques et les plus importantes d'un pare-feu de type Web application firewall. En filtrant le trafic selon des facteurs tels que les en-têtes HTTP, les mots-clés, les adresses IP et même les chaînes URI, le pare-feu de type Web application firewall peut empêcher des interactions dangereuses avant qu'elles ne puissent atteindre l'application ciblée.
  • Protection contre les scripts : à mesure que de plus en plus d'applications sont migrées vers le cloud public, les cybercriminels trouvent des manières plus simples d'automatiser leurs attaques contre un nombre croissant de cibles. En générant des outils ou des scripts capables de sonder et d'attaquer les applications vulnérables, les pirates peuvent ratisser large en attaquant des milliers d'applications dans le cloud public Azure. Si les attaques type SQL injection et cross-site scripting peuvent être personnalisées une fois des vulnérabilités découvertes, elles sont souvent envoyées aléatoirement sur l'Internet avec le but de trouver des applications non protégées. Au minimum, un pare-feu de type Web application firewall peut facilement protéger contre ces scripts d'attaques non personnalisées.
  • Sécurité et protection des API : les applications dans le cloud sont désormais la norme, ce qui signifie qu'il est nécessaire de recourir à des API pour faciliter les interactions avec la plupart des applications. Un pare-feu WAF performant doit pouvoir protéger l'API de votre application Azure contre tous types d'attaques ciblant les API, notamment les attaques dites API farming ou API scraping.
  • Livraison sécurisée : les solutions de pare-feux WAF modernes peuvent gérer la livraison sécurisée de votre application via HTTPS. La plupart des services les plus modernes exigent la fourniture d'applications HTTPS ; personne ne souhaite voir ses données exposées au grand jour alors que cela est parfaitement évitable.
  • Ensembles de règles personnalisées : les pare-feux WAF partent de ce que l'on appelle un ensemble principal de règles, ou Core Rule Set (CRS). Bien qu'un CRS (dont il existe plusieurs versions) protège, entre autres, contre la plupart des attaques classées au Top 10 de l'OWASP, de nombreuses entreprises estiment avoir besoin – et ont parfois d'ores et déjà développé – un ensemble spécifique de règles personnalisées en plus du CRS, généralement adapté à des applications ou groupes d'utilisateurs spécifiques. Pour déployer ces applications dans le cloud, ces entreprises doivent pouvoir répliquer leurs ensembles de règles personnalisées, ce qui n'est pas possible sur un pare-feu WAF limité au CRS.

Pare-feux Web application firewall sur Azure

Les pare-feux de type network firewall sur Azure sont l'équivalent pour le réseau de ce qu'apporte un pare-feu de type Web application firewall pour la protection et la prise en charge des applications. Les entreprises utilisant Azure pour des applications critiques, ou pour fournir à leurs utilisateurs un accès distant sécurisé à ces applications, déploient toujours un pare-feu réseau. Sur Azure, un tel pare-feu doit pouvoir tirer parti de toutes les fonctionnalités intégrées à Azure et fournir un modèle de licences adapté à tous types d'organisations, de sorte que vous n'ayez pas à payer des protections dont vous n'avez pas l'utilité. De plus, il doit s'intégrer à la gamme complète de fonctionnalités de gestion, de surveillance et d'automatisation intégrées aux infrastructures de cloud public.

Un pare-feu de type network firewall Azure se doit de proposer les capacités suivantes :

  • Identité et gestion des accès : comme pour tout système de sécurisation du cloud, une authentification forte et une gestion des accès solide sont essentiels pour restreindre l'accès au réseau. Sans gestion des identités, les cybercriminels peuvent usurper l'identité d'utilisateurs valides et accéder ainsi à des données ou applications sensibles.
  • Protection des points d'entrée : l'utilisation du cloud public implique souvent l'existence de plusieurs points d'accès par lesquels les utilisateurs interagissent avec le réseau. Pour cette raison, il est important de bénéficier d'un périmètre réseau sécurisé chargé de surveiller le trafic tentant d'entrer sur le réseau. Sans protection digne de ce nom, il est possible de forcer ces points d'entrée à répétition sans même que vous vous en rendiez compte.
  • Modèle économique modulaire : Comme pour la plupart des produits de SaaS, il est important de proposer plusieurs modèles de distribution de licences qui permettent de s'adapter avec souplesse à différentes entreprises dont les besoins varient. Le dimensionnement selon le trafic réseau permet de ne vous faire payer que ce que vous consommez. Ce niveau de granularité dans le paiement permet aux petites entreprises de bénéficier des mêmes fonctionnalités que les grandes.
  • Haute disponibilité : Le pare-feu que vous choisissez doit pouvoir être déployé sur un grand nombre d'instances de serveurs, sur plusieurs régions, tout en respectant des normes de performance très exigeantes. L'un des avantages d'un service cloud tel qu'Azure est qu'il donne accès à des datacenters situés partout dans le monde. Mais si la sécurité du réseau est mise à mal ou poussée au-delà de ses capacités, cet avantage géographique perd tout intérêt.
  • Prise en charge des VPN : L'un des avantages des plateformes cloud est qu'elles permettent aux employés d'accéder aux données depuis divers appareils, sur site, mais aussi et surtout, lorsqu'ils sont en déplacement. Un pare-feu réseau Azure efficace doit pouvoir s'intégrer directement aux VPN pour proposer un accès optimisé et sécurisé aux ressources dans le cloud aux utilisateurs quel que soit le type d'appareil qu'ils utilisent.
  • Capacités SD-WAN : Le SD-WAN est devenu un incontournable en entreprise compte tenu des économies massives qu'il permet lorsqu'il est bien utilisé en lieu et place d'une infrastructure MPLS classique. De nombreux pare-feux de type network firewall possèdent des capacités SD-WAN intégrées pour que vous puissiez profiter de la sécurité réseau des pare-feux network firewall standards tout en routant le trafic sur le réseau étendu sans surcoût.
  • Prise en charge du WAN virtuel : Microsoft Azure possède des datacenters aux quatre coins du monde dont il est possible de tirer parti sous forme de WAN virtuel. Celui-ci devient alors un réseau étendu, un peu à la manière d'un SD-WAN, mais il a alors besoin des mêmes protections de type network firewall. Un pare-feu réseau Azure doit pouvoir prendre en charge les WAN virtuels et proposer une intégration simple et efficace.

Pourquoi les pare-feux Azure sont importants

Les services cloud sont aujourd'hui fondamentaux pour les infrastructures et le stockage sur Internet. Cette situation impose que des solutions de sécurité robustes se concentrent sur l'exploitabilité et la fiabilité. Les services de pare-feux conçus pour Microsoft Azure apportent la sécurité et l'assistance dont ont besoin les entreprises qui cherchent à protéger leurs données et leurs applications, en particulier pour celles qui n'ont pas d'exigences de sécurité complexes.

En savoir plus sur les pare-feux AWS

Termes associés

Lectures complémentaires

Découvrez comment Barracuda peut vous aider

Barracuda CloudGen Firewall est une solution de sécurité distribuée de niveau 4 conçue et optimisée pour s'intégrer à votre cloud Microsoft Azure. Elle peut, de surcroît, être déployé dans des environnements hybrides et apporte une protection aux solutions type ExpressRoute et Azure Stack.

Barracuda CloudGen WAF pour Azure protège les applications accessibles via le Web contre les cyberattaques, notamment les menaces avancées persistantes ou classées au top 10 de l'OWASP. Il fournit également une surveillance complète.

Barracuda Email Security Gateway pour Microsoft Azure fournit une solution de sécurité des e-mails complète, allant bien au-delà de ce que propose la sécurité de base incluse à Office 365. Elle comprend le filtrage des e-mails, le chiffrement et la protection contre les menaces avancées.

Des questions sur les pare-feux Azure ? Besoin de plus d'informations ? Contactez-nous dès maintenant !