Les organisations doivent souvent mettre à jour leur stratégie de pare-feu Azure pour différentes raisons, telles que l’intégration de nouvelles applications ou charges de travail, la résolution des vulnérabilités de sécurité, l’exécution de la maintenance ou l’optimisation des stratégies en fusionnant ou en supprimant des règles inutilisées. Ces mises à jour peuvent impliquer plusieurs contributeurs, et chaque modification peut prendre plusieurs minutes.
Avec Azure Firewall Policy Draft + Déploiement, vous pouvez simplifier ce processus à l’aide d’une approche en deux phases :
Brouillon : apportez plusieurs modifications en collaboration, enregistrées dans un brouillon temporaire cloné à partir de votre stratégie appliquée actuelle. Ces modifications n’affectent pas la politique en vigueur.
Déploiement : appliquez toutes les modifications à la fois en déployant le brouillon, en remplaçant la stratégie appliquée actuelle par la version mise à jour.
Scénarios pris en charge et limitations
La fonctionnalité Brouillon et déploiement est conçue pour des cas d’usage spécifiques et présente certaines contraintes :
Scénarios pris en charge
- Cette fonctionnalité est exclusivement disponible pour les stratégies de pare-feu Azure. Il ne prend pas en charge les pare-feu configurés avec des règles classiques.
Limites
- Un brouillon est créé en tant que clone de la stratégie actuellement appliquée. Les modifications apportées à la stratégie appliquée après la création du brouillon ne sont pas reflétées dans le brouillon, sauf si elles sont mises à jour manuellement.
- Le déploiement d’un brouillon remplace toute la stratégie appliquée. Les modifications apportées à la stratégie appliquée après la création du brouillon ne sont pas conservées, sauf si elles sont également ajoutées au brouillon.
- La création d’un groupe de regroupements de règles (RCG) n’est pas prise en charge directement au sein d’un brouillon de stratégie.
- Un seul brouillon peut exister pour une stratégie à tout moment.
Conditions préalables
- Si vous n’avez pas d’abonnement Azure, vous pouvez créer un compte gratuit pour commencer.
- Pour utiliser cette fonctionnalité avec Azure CLI, vérifiez que l’extension Pare-feu Azure est installée et mise à jour vers la version 1.2.3 ou ultérieure.
Remarque
Lorsque vous utilisez cette fonctionnalité via Azure PowerShell ou l’API REST Azure, vous devez d’abord télécharger la stratégie actuelle et créer manuellement un brouillon basé sur celui-ci. En revanche, l’utilisation du portail Azure ou de l’interface CLI génère automatiquement un brouillon à partir de la stratégie existante.
Utiliser Brouillon + déploiement
Azure Firewall Draft + Deployment vous permet d’effectuer des mises à jour en bloc de votre stratégie de pare-feu avant de les appliquer à la production.
Dans le portail Azure, accédez à votre stratégie de pare-feu existante ou créez-en une.
Dans la page Stratégie de pare-feu Azure , sous la section Gestion , sélectionnez Brouillon et Déploiement, puis créez un brouillon. Cela crée un brouillon qui est une copie exacte de votre stratégie appliquée actuelle.
Sur la page brouillon, apportez des modifications ou des ajouts à vos règles ou paramètres. Ces pages sont identiques à celles de la stratégie déployée. Les modifications prendront effet uniquement lorsque vous déployez le brouillon.
Pour vérifier les modifications, revenez à l’écran Déployer pour passer en revue les règles ou paramètres mis à jour. Pour appliquer les modifications, sélectionnez Déployer le brouillon. Une fois déployé, le brouillon remplace la stratégie actuelle et devient la dernière version. Le brouillon est supprimé après le déploiement.
Répétez ce processus si nécessaire pour apporter d’autres mises à jour à votre stratégie de pare-feu.
Exécutez la commande az login pour vous connecter à votre compte Azure :
az login
Créez un brouillon à l’aide d’az network firewall policy draft create command. Cette commande crée un brouillon de la stratégie appliquée actuelle. Vous pouvez utiliser les paramètres --policy-name et --resource-group pour spécifier le nom et le groupe de ressources de votre stratégie de pare-feu.
az network firewall policy draft create --policy-name fw-policy --resource-group test-rg
Mettez à jour les paramètres dans le brouillon à l’aide de la commande az network firewall policy draft update . Cette commande vous permet de modifier le mode renseignement sur les menaces et le mode IDPS pour le brouillon. Utilisez le --threat-intel-mode paramètre pour définir le mode de renseignement sur les menaces souhaité et le --idps-mode paramètre pour configurer le mode de détection et de prévention des intrusions (IDPS) :
az network firewall policy draft update --policy-name fw-policy --resource-group test-rg --threat-intel-mode Off --idps-mode Deny
Mettre à jour les règles provisoires
Créez un nouveau groupe de collections de règles en utilisant la commande az network firewall policy rule-collection-group draft create :
az network firewall policy rule-collection-group draft create --rule-collection-group-name rcg-b --policy-name fw-policy --resource-group test-rg --priority 303
Ajouter une collection de règles NAT à un RCG existant dans l'ébauche
az network firewall policy rule-collection-group draft collection add-nat-collection \
--name nat_collection_1 \
--collection-priority 10003 \
--policy-name fw-policy \
--resource-group test-rg \
--rule-collection-group-name rcg-c \
--action DNAT \
--rule-name network_rule_21 \
--description "test" \
--destination-addresses "202.120.36.15" \
--source-addresses "202.120.36.13" "202.120.36.14" \
--translated-address 128.1.1.1 \
--translated-port 1234 \
--destination-ports 12000 12001 \
--ip-protocols TCP UDP
Affichez les détails du brouillon à l’aide de la commande az network firewall policy draft show :
az network firewall policy draft show --policy-name fw-policy --resource-group test-rg
Déployez le brouillon pour appliquer les modifications à l’aide de la commande az network firewall policy deploy :
az network firewall policy deploy --name fw-policy --resource-group test-rg
Supprimez le brouillon si vous n’en avez plus besoin à l’aide de la commande az network firewall policy draft delete :
az network firewall policy draft delete --policy-name fw-policy --resource-group test-rg
Utilisez l’applet de commande New-AzFirewallPolicyDraft pour créer un brouillon de la stratégie appliquée actuelle. Spécifiez le nom de la stratégie et le groupe de ressources :
New-AzFirewallPolicyDraft -AzureFirewallPolicyName fw-policy -ResourceGroupName test-rg
Utilisez l’applet de commande Set-AzFirewallPolicyDraft pour mettre à jour les paramètres dans le brouillon. Par exemple, vous pouvez mettre à jour le mode renseignement sur les menaces et le mode IDPS :
Set-AzFirewallPolicyDraft -AzureFirewallPolicyName fw-policy -ResourceGroupName test-rg -ThreatIntelWhitelist $threatIntelWhitelist
Mettez à jour les règles en cours de rédaction avec les cmdlets suivants :
New-AzFirewallPolicyRuleCollectionGroupDraft -AzureFirewallPolicyRuleCollectionGroupName rcg-a -ResourceGroupName test-rg -AzureFirewallPolicyName fw-policy -Priority 200
$rule1 = New-AzFirewallPolicyApplicationRule -Name "Allow-HTTP" -Protocol "Http:80" -SourceAddress "10.0.0.0/24" -TargetFqdn www.example.com
$rule2 = New-AzFirewallPolicyApplicationRule -Name "Allow-HTTPS-2" -Protocol "Https:443" -SourceAddress "10.0.0.0/24" -TargetFqdn "www.secureexample.com"
$ruleCollection = New-AzFirewallPolicyFilterRuleCollection -Name "Allow-Rules" -Priority 100 -Rule $rule1, $rule2 -ActionType Allow
Set-AzFirewallPolicyRuleCollectionGroupDraft -AzureFirewallPolicyRuleCollectionGroupName rcg-b -ResourceGroupName test-rg -AzureFirewallPolicyName fw-policy -Priority 400 -RuleCollection $ruleCollection
Utilisez l’applet de commande Get-AzFirewallPolicyDraft pour afficher les détails du brouillon :
Get-AzFirewallPolicyDraft -AzureFirewallPolicyName fw-policy -ResourceGroupName test-rg
Utilisez l’applet de commande Deploy-AzFirewallPolicy pour appliquer les modifications dans le brouillon à la stratégie dynamique :
Deploy-AzFirewallPolicy -Name fw-policy -ResourceGroupName test-rg
Si vous souhaitez ignorer le brouillon sans appliquer les modifications, utilisez l’applet de commande Remove-AzFirewallPolicyDraft :
Remove-AzFirewallPolicyDraft -AzureFirewallPolicyName fw-policy -ResourceGroupName test-rg
Étapes suivantes