Utiliser des stratégies d’accès réseau par défaut sur des machines virtuelles sur Azure Stack HCI, version 23H2

Cet article explique comment activer les stratégies d’accès réseau par défaut et les affecter aux machines virtuelles.

Les stratégies réseau par défaut peuvent être utilisées pour protéger les machines virtuelles s’exécutant contre des attaques non autorisées externes. Ces stratégies bloquent tous les accès entrants aux machines virtuelles (à l’exception des ports de gestion spécifiés que vous souhaitez activer) tout en autorisant tous les accès sortants. Utilisez ces stratégies pour vous assurer que vos machines virtuelles de charge de travail ont accès aux ressources requises uniquement, ce qui rend difficile la propagation des menaces ultérieurement.

Prérequis

Remplissez les conditions préalables suivantes pour utiliser des stratégies d’accès réseau :

Affecter des stratégies réseau par défaut à une machine virtuelle

Vous pouvez attacher des stratégies par défaut à une machine virtuelle de deux façons :

• Lors de la création de la machine virtuelle. Vous devez attacher la machine virtuelle à un réseau logique (réseau VLAN traditionnel) ou à un réseau virtuel SDN.
• Après la création de la machine virtuelle.

Créer et attacher des réseaux

Selon le type de réseau auquel vous souhaitez attacher votre machine virtuelle, les étapes peuvent être différentes.

• Attachez des machines virtuelles à un réseau physique : créez un ou plusieurs réseaux logiques pour représenter ces réseaux physiques. Un réseau logique n’est qu’une représentation d’un ou plusieurs réseaux physiques disponibles pour votre instance Azure Stack HCI. Pour plus d’informations, consultez comment créer un réseau logique.

• Attachez des machines virtuelles à un réseau virtuel SDN : créez un réseau virtuel avant de créer la machine virtuelle. Pour plus d’informations, consultez comment créer un réseau virtuel.

Attacher une machine virtuelle à un réseau logique

Une fois que vous avez créé un réseau logique dans Windows Admin Center, vous pouvez créer une machine virtuelle dans Windows Admin Center et l’attacher au réseau logique. Dans le cadre de la création de la machine virtuelle, sélectionnez le mode d’isolation en tant que réseau logique, sélectionnez le sous-réseau logique approprié sous le réseau logique et fournissez une adresse IP pour la machine virtuelle.

Voici un exemple qui explique comment attacher votre machine virtuelle directement à un réseau local virtuel lorsque le contrôleur de réseau est installé. Dans cet exemple, nous montrons comment connecter votre machine virtuelle à VLAN 5 :

1. Créez un réseau logique avec n’importe quel nom. Vérifiez que la virtualisation du réseau est désactivée.

2. Ajoutez un sous-réseau logique avec n’importe quel nom. Indiquez l’ID de réseau local virtuel (5) lors de la création du sous-réseau.

3. Appliquez les modifications.

4. Lors de la création d’une machine virtuelle, attachez-la au réseau logique et au sous-réseau de réseau logique créé précédemment. Pour plus d’informations, consultez comment créer un réseau logique.

   

Appliquer des stratégies réseau par défaut

Lorsque vous créez une machine virtuelle via Windows Admin Center, vous voyez un paramètre de niveau de sécurité.

Trois options s’offrent à vous :

• Aucune protection : choisissez cette option si vous ne souhaitez pas appliquer de stratégies d’accès réseau à votre machine virtuelle. Lorsque cette option est sélectionnée, tous les ports de votre machine virtuelle sont exposés aux réseaux externes présentant un risque de sécurité. Cette option n’est pas recommandée.

  

• Ouvrez certains ports : choisissez cette option pour utiliser les stratégies par défaut. Les stratégies par défaut bloquent tout accès entrant et autorisent tous les accès sortants. Vous pouvez éventuellement activer l’accès entrant à un ou plusieurs ports bien définis, par exemple HTTP, HTTPS, SSH ou RDP en fonction de vos besoins.

  

• Utiliser un groupe de sécurité réseau existant : choisissez cette option pour appliquer des stratégies personnalisées. Vous spécifiez un groupe de sécurité réseau (NSG) que vous avez déjà créé.

  

Machines virtuelles créées en dehors de Windows Admin Center

Vous pouvez rencontrer des problèmes lorsque vous créez des machines virtuelles en dehors de Windows Admin Center et que vous avez activé les stratégies d’accès réseau par défaut. Par exemple, vous avez activé les stratégies d’accès réseau par défaut et créé des machines virtuelles à l’aide de l’interface utilisateur Hyper-V ou de l’applet de commande PowerShell New-VM.

• Les machines virtuelles peuvent ne pas avoir de connectivité réseau. Étant donné que la machine virtuelle est gérée par une extension de commutateur Hyper-V appelée plateforme de filtrage virtuel (VFP) et par défaut, le port Hyper-V connecté à la machine virtuelle est à l’état bloqué.

  Pour débloquer le port, exécutez les commandes suivantes à partir d’une session PowerShell sur un hôte Hyper-V où se trouve la machine virtuelle :

  1. Exécutez PowerShell ISE en tant qu’administrateur.

  2. Téléchargez et installez le module SdnDiagnostics . Exécutez la commande suivante :

     Install-Module -Name SdnDiagnostics
     

     Sinon, si elle est déjà installée, utilisez la commande suivante :

     Update-Module -Name SdnDiagnostics
     

     Acceptez toutes les invites à installer à partir de PowerShell Gallery.

  3. Vérifiez si le port VFP est appliqué à la machine virtuelle

     Get-SdnVMNetworkAdapterPortProfile -VMName <VMName>
     

     Vérifiez que les informations de profil de port VFP sont retournées pour l’adaptateur. Si ce n’est pas le cas, procédez à l’association d’un profil de port.

  4. Spécifiez les ports à débloquer sur la machine virtuelle.

     Set-SdnVMNetworkAdapterPortProfile -VMName <VMName> -MacAddress <MACAddress> -ProfileId ([guid]::Empty) -ProfileData 2
     

Étapes suivantes

Pour en savoir plus :