Avec l’avènement des technologies cloud, les réseaux d’entreprises doivent inévitablement faire face à de nouveaux enjeux d’hybridation, de sécurisation et d’optimisation. Ce livre s’adresse à toute personne (expert technique, architecte, consultant, ingénieur réseau...) qui souhaite appréhender techniquement l’ensemble des services réseau proposés dans le cloud Azure en considérant à la fois le coût et les enjeux de sécurité dans le choix d’une architecture.

Pour cela l’auteur s’appuie sur un cas concret, fil rouge de l’ouvrage, mêlant théorie et pra-tique qui aboutit à un réseau d’entreprise complet déployé dans Azure.

Après une introduction aux concepts fondamentaux liés aux réseaux Azure, l’auteur présente les réseaux virtuels et leur interconnexion à l’aide du Peering ou Global Peering, les sous-réseaux et le DNS. L’auteur met ensuite l’accent sur l’hybridation réseau en s’appuyant sur les services proposés par Azure comme les VPN, l’ExpressRoute, le Virtual WAN ou encore les technologies SD-WAN.

La suite du livre porte sur la sécurité des réseaux Azure. Les services de sécurité réseau de type Network Security Group, pare-feu Azure, Bastion Azure ainsi que les bonnes pratiques de déploiement sont ainsi détaillés. La distribution d’applications cloud et l’utilisation de services d’équilibrage de charge, locaux ou globaux, sont également expliquées à l’aide de différents cas d’usage.

Pour terminer, un chapitre est dédié à la mise en place de la surveillance réseau et aux bonnes pratiques en la matière. L’auteur y étudie notamment les différents outils fournis par Microsoft Azure, tels que le Network Insight et Network Watcher.


Quizinclus dans
la version en ligne !

• Testez vos connaissances à l'issue de chaque chapitre
• Validez vos acquis

Avant-propos

1. Introduction

Fondamentaux

1. Principe et description des réseaux IP Azure
   1. 1. Zones géographiques, régions ethaute disponibilité
      1. a. Zones géographiques
      2. b. Régions et jumelage
      3. c. Zone de disponibilité
      4. d. Groupe à haute disponibilité
   2. 2. Réseaux virtuels et sous-réseaux
      1. a. Réseaux virtuels
      2. b. Hub-and-Spoke
      3. c. Sous-réseaux
   3. 3. Adresses IP privées
   4. 4. Adresses IP publiques et SKU associés
      1. a. Adresses IP publiques
      2. b. SKU associé
      3. c. Exposition
      4. d. Préfixes d’adresses IP publiques
   5. 5. Mise en réseau de ressources Azure
      1. a. Machine virtuelle
      2. b. Interface réseau
      3. c. Cas particuliers
2. Routage
   1. 1. Types d’itinéraires et table de routage
      1. a. Les itinéraires système par défautobligatoires
      2. b. Itinéraires définis par l’utilisateur(User Defined Routes)
      3. c. Itinéraires BGP (Border Gateway Protocol)
      4. d. Création et association d’une table de routage
   2. 2. Préférence de routage et limitations
      1. a. Préférence de routage
      2. b. Exemples
      3. c. Limitations
3. Services DNS
   1. 1. DNS Privés - Par défaut
   2. 2. DNS Privés - Zone DNS Privée
   3. 3. DNS Privés - Personnalisés
   4. 4. DNS publics
   5. 5. DNS Split-Horizon
4. Cas concret - Partie 1
   1. 1. Mise en place de réseaux virtuels
      1. a. Réseau virtuel hub
      2. b. Réseau virtuel Spoke A
      3. c. Réseau virtuel Spoke B
   2. 2. Création et mise en réseau de machinesvirtuelles
      1. a. Machines virtuelles uniques
      2. b. Machines virtuelles en groupe à haute disponibilité
   3. 3. Création d’une Zone DNS Privée

Peering et accès privés aux services Azure PaaS

1. Introduction
2. Principe et description des peering Azure
   1. 1. Interconnexion des réseaux virtuels Azure
      1. a. Passerelles VPN/ExpressRoute
      2. b. Peering et peering global
      3. c. Comparatif
   2. 2. Transitivité
      1. a. Topologie full mesh
      2. b. Peering transitif Hub-and-Spoke
   3. 3. Tarification
      1. a. Passerelles
      2. b. Peering
3. Cas concret - Partie 2
   1. 1. Mise en place du peering Hub - SpokeA
   2. 2. Mise en place du peering Hub - SpokeB
   3. 3. Schéma de situation
4. Intégration et sécurisation des services Azure PaaS
   1. 1. Étiquettes et pare-feu de service
   2. 2. Déployer un service Azure dans un réseauvirtuel
   3. 3. Point de terminaison de service de réseauvirtuel
      1. a. Stratégie de point de terminaison de servicede réseau virtuel
      2. b. Tarification
   4. 4. Liaison privée - Private Link
      1. a. Adressage IP privé et accès parinstance
      2. b. DNS
      3. c. Modèles de déploiements
      4. d. Conflits d’adressages IP
      5. e. Compatibilité
      6. f. Tarification
   5. 5. Service Liaison Privée - Azure Private LinkService
5. Cas concret - Partie 3
   1. 1. Configuration d’un point de terminaison de service
   2. 2. Création du compte de stockage et  sécurisationdes accès
   3. 3. Validation de la connectivité
   4. 4. Conclusion

Connectivité hybride - VPN

1. Introduction
2. VPN site à site (S2S)
   1. 1. Principe et description des VPN site à siteAzure
      1. a. Passerelles VPN Azure et SKU associés
      2. b. Déploiement des passerelles VPN Azure etpasserelles locales
      3. c. Politiques IKE/IPsec
      4. d. Tarifs
   2. 2. Redondance des architectures VPN site à siteAzure
      1. a. Redondance basique
      2. b. Redondance de passerelles Azure
      3. c. Redondance de passerelles locales
      4. d. Redondance croisée
3. Cas concret - Partie 4
   1. 1. Création de la passerelle depuis le portailAzure
4. VPN point à site (P2S)
   1. 1. Principe et description des VPN point à siteAzure
   2. 2. Types de tunnels et d’authentification
      1. a. Types de tunnels
      2. b. Authentification
   3. 3. Routage et limitations
      1. a. Routage au travers de peering
      2. b. Routage au travers de VPN site à site
      3. c. Itinéraire personnalisé
5. Cas concret - Partie 5
   1. 1. Création des certificats racine et clients
   2. 2. Création du tunnel point à siteet  déploiement des certificats
   3. 3. Conclusion

Connectivité hybride - ExpressRoute

1. Hybridation ExpressRoute
2. Modèles de connectivité des circuits ExpressRoute
   1. 1. Connectivité au travers d’un partenaire
      1. a. Topologies
      2. b. Partenaires
      3. c. Bande passante
      4. d. SKU du circuit ExpressRoute
      5. e. Tarification
      6. f. Clé de service et approvisionnement
   2. 2. Connectivité directe
      1. a. ExpressRoute Direct
      2. b. Tarification
      3. c. Chiffrement MACsec
3. Peering
   1. 1. Microsoft Peering
      1. a. Prérequis de peering
      2. b. Filtres de routage
      3. c. Redondance
   2. 2. Private Peering
      1. a. Prérequis de peering
      2. b. Passerelles ExpressRoute
      3. c. Tarification des passerelles ExpressRoute
      4. d. Optimisation
      5. e. Redondance
      6. f. Connectivité ExpressRoute/VPN
4. Cas concret - Partie 6
   1. 1. Création de la passerelle ExpressRoute
   2. 2. Création du circuit ExpressRoute
   3. 3. Configuration de la connexion
   4. 4. Conclusion

Connectivité hybride - Virtual WAN

1. Introduction
2. Services Virtual WAN
   1. 1. Principe et description des services Virtual WAN
      1. a. SKU Virtual WAN
   2. 2. Connectivité, transitivité et routage
      1. a. Connectivité
      2. b. Transitivité
      3. c. Routage
      4. d. Technologies SD-WAN
      5. e. SD-WAN et Virtual WAN
   3. 3. Sécurité
      1. a. Intégration de pare-feu
      2. b. Chiffrement
      3. c. Conclusion
3. Cas concret optionnel
   1. 1. Création de l’instance WAN virtuel
   2. 2. Création d’un hub virtuel
   3. 3. Configuration des connectivités VPN
   4. 4. Configuration de la connectivité aux réseauxvirtuels
   5. 5. Conclusion

Groupes de sécurité réseau

1. Introduction
2. Principe et description des NSG
   1. 1. Règles de sécurité
      1. a. Règles de sécurité entrantes
      2. b. Règles de sécurité sortantes
      3. c. Règles par défaut
   2. 2. Ordonnancement
      1. a. Exemples
   3. 3. Règles avancées
      1. a. Règles de sécurité augmentée(Augmented NSG)
      2. b. Groupe de sécurité d’application(ASG)
      3. c. Balises de service
3. Cas concret - Partie 7
   1. 1. Création et association d’un NSG
   2. 2. Création et mise en place d’un ASG
   3. 3. Conclusion

Pare-feu

1. Introduction
2. Service de pare-feu Azure Standard
   1. 1. Principe et description du pare-feu Azure Standard
   2. 2. Règles, groupes d’IP et collections de règles
      1. a. Règles applicatives dans le pare-feu Azure
      2. b. Règles réseau dans le pare-feu Azure
      3. c. Règles NAT dans le pare-feu Azure
      4. d. Groupes d’IP
      5. e. Collections de règles
      6. f. Cas particulier de la Threat Intelligence
      7. g. Application des règles et collections derègles
   3. 3. Ordonnancement des règles
   4. 4. Limitations associées au pare-feu Azure Standard
   5. 5. Azure Firewall et Network Security Group
      1. a. Azure Firewall ou Network Security Group ?
      2. b. Associer Azure Firewall et Network Security Group
3. Cas concret - Partie 8
   1. 1. Création du sous-réseau
   2. 2. Création du pare-feu
   3. 3. Règles de sécurité
   4. 4. Règles DNAT
   5. 5. Création de règles réseau
   6. 6. Règles réseau avec étiquettesde service
   7. 7. Création de règles de réseauavec FQDN
   8. 8. Règles d’application avec nom de domainecomplet
   9. 9. Création de groupes d’IP
   10. 10. Redirection des flux locaux
   11. 11. Option : Tunneling forcé
   12. 12. Conclusion
4. Azure Firewall Manager
   1. 1. Principe et description de l’Azure Firewall Manager
      1. a. Gestion centralisée des politiques de sécurité
      2. b. Topologies supportées
      3. c. Quelle architecture choisir ?
   2. 2. Tarification
5. Cas concret - Partie 9
   1. 1. Création d’une stratégie de pare-feu
   2. 2. Associer une stratégie à un réseauvirtuel existant
   3. 3. (Optionnel) Déploiement d’une stratégie à lacréation  d’un nouveau réseau virtuel
   4. 4. (Optionnel) Association d’une stratégie  à unhub virtuel existant
   5. 5. (Optionnel) Déploiement d’une stratégie à lacréation  d’un nouveau hub virtuel
   6. 6. Conclusion
6. Service de pare-feu Azure Premium
   1. 1. Inspection TLS
   2. 2. IDPS
   3. 3. Filtrage URL et catégorisation web
   4. 4. Stratégie de pare-feu et migration
7. Cas concret - Partie 10
   1. 1. Inspection TLS
   2. 2. IDPS
   3. 3. Filtrage URL
   4. 4. Catégorisation web
8. Azure Firewall ou Network Virtual Appliance
   1. 1. Pourquoi et quand choisir une NVA plutôt  qu’unpare-feu Azure ?
   2. 2. Inconvénients d’une solution NVA et avantagesdu pare-feu Azure
   3. 3. Coûts associés aux pare-feu Azureet NVA
      1. a. Coûts associés aux pare-feux Standardet Premium
      2. b. Conclusion

Bastion

1. Principe et description du Bastion Azure
2. Architectures
   1. 1. Réseau virtuel unique
   2. 2. Réseau virtuel dédié
   3. 3. Tarification
   4. 4. Limitations
3. Cas concret - Partie 11
   1. 1. Création du réseau virtuel et sous-réseauassocié
   2. 2. Création du Bastion Azure
   3. 3. Connexion au travers du Bastion
   4. 4. Création du réseau virtuel et sous-réseau
   5. 5. Création du Bastion Azure
   6. 6. Connexion au travers du Bastion
   7. 7. Conclusion

Équilibreurs de charge

1. Les services d'équilibrage de charge Azure
2. Azure Load Balancer
   1. 1. Principe et description de l’Azure Load Balancer
      1. a. Les règles d’équilibrage de charge
      2. b. Les règles d’équilibrage de chargeutilisant  les ports haute disponibilité
      3. c. Les règles NAT de trafic entrant
      4. d. Les règles de trafic sortant
3. Cas concret - Partie 12
   1. 1. Création de l’équilibreur de chargeinterne standard
   2. 2. Création du groupe de machines virtuellesidentiques
   3. 3. Configuration de l’équilibreur de charge
   4. 4. Création du groupe de sécurité réseau
   5. 5. Configuration du pare-feu Azure
   6. 6. Configuration du peering
   7. 7. Création d’un nouvel itinérairedans la table de routage
   8. 8. Vérification et connexion
   9. 9. Accès internet sortant
   10. 10. Conclusion
4. Azure Application Gateway et WAF
   1. 1. Principe et description de l’Azure Application Gateway
   2. 2. Fonctionnalités de l’Azure Application Gateway
      1. a. Fonctionnalités spécifiques à l’AzureApplication Gateway v2
      2. b. Fonctionnalités communes aux différentsSKU de l’Application Gateway
      3. c. Fonctionnalités de pare-feu d’applicationweb
5. Cas concret - Partie 13
   1. 1. Création de deux comptes de stockage blobAzure
   2. 2. Création de l’Application Gateway SKU v2
   3. 3. Configuration d’un nouveau NSG associé  ausous-réseau Subnet_1D
   4. 4. Configuration d’un nom de domaine personnalisé
   5. 5. Connexion au site web statique
   6. 6. (Optionnel) Redirection des flux HTTP vers HTTPS
   7. 7. Sécurisation des accès au stockageblob
   8. 8. Configuration du WAF SKU v2
   9. 9. Configuration d’une stratégie contenant  unerègle personnalisée
   10. 10. Conclusion
6. Azure Front Door
   1. 1. Principe et description de l’Azure Front Door
   2. 2. SKU associés à l’Azure Front Door
      1. a. Azure Front Door
      2. b. L’Azure Front Door Standard/Premium
      3. c. Conclusion
7. Cas concret - Partie 14
   1. 1. Déploiement du réseau virtuel, descomptes de stockage et des pages statiques
   2. 2. Déploiement de l’Application Gateway US
   3. 3. Déploiement de l’Azure Front Door Premium
   4. 4. Conclusion
8. Azure Traffic Manager
   1. 1. Principe et description de l’Azure Traffic Manager
9. Cas concret - Partie 15
   1. 1. Conclusion

Content Delivery Network

1. Principe et description de l'Azure CDN
   1. 1. Produits associés à l’Azure CDN
2. Connectivité et types d'origines
   1. 1. Connectivité
   2. 2. Ajout d’un domaine personnalisé
   3. 3. Règles de mise en cache
   4. 4. Filtrage géographique
   5. 5. Stratégie WAF
3. Mise en place d'un Azure CDN
   1. 1. Déploiement d’un profil CDN Verizon Standard
   2. 2. Mise en place d’un domaine personnalisé
   3. 3. Filtrage géographique
   4. 4. Préchargement des fichiers statiques
   5. 5. Règles de mise en cache
   6. 6. Test de connectivité
   7. 7. Conclusion

Monitoring

1. Introduction
2. Azure Monitor
   1. 1. Métriques
   2. 2. Journaux d’évènements
   3. 3. Classeurs
3. Azure Monitor Network Insights
   1. 1. Network Insights
   2. 2. Intégrité du réseau
   3. 3. Connectivité
   4. 4. Trafic
   5. 5. Boîte à outils de diagnostic