Passant parfois du temps sur les forums TechNet ou sur ServerFault, je suis tombé sur une question qui s’avérait une demande assez récurrente dans mes conversations avec nos clients : Comment contrôler / filtrer / autoriser les accès sortants d’un réseau d’entreprise à destination de la plateforme Cloud Azure ?

Nous sommes ici dans une démarche non pas destinée à freiner les métiers / équipes en mode Shadow IT ou DevOps mais plutôt dans le mode inverse : comment accélérer une demande par les métiers d’ouverture de connexions sortantes vers Azure  auprès des équipes sécurité / réseau traditionnellement réfractaires à passer en mode open bar vers l’Internet.

La multiplicité des services, les évolutions permanentes de plus en plus rapides de la plateforme Cloud Azure rendent l’exercice de contrôle vraiment délicat et ce problème existe quelque soit la plateforme de Cloud.

Je vais donc tenter de maintenir cet article dans le temps.

[Dernière mise à jour : 02/08/2016]

Si vous avez un pare-feu / firewall qui filtre en fonction des adresses IP, il est possible de créer une règle de filtrage de niveau 3 avec les plages d’adresses des datacenters de Microsoft.

Une liste actualisée est disponible ici : Microsoft Azure Datacenter IP Ranges http://www.microsoft.com/en-us/download/details.aspx?id=41653

Cette liste est un fichier XML contenant les plages IP utilisées par les Datacenter d’Azure. Un nouveau fichier est publié tout les mercredi (heure de Seattle) avec les nouvelles plages planifiées. Ces nouvelles plages IP sont effectives le lundi suivant (toujours heure de Seattle).

En filtrage de niveau 4, il est possible en fonction des services utilisés de limiter (pour les adresses IP des datacenters) les protocoles couramment utilisées pour se connecter à des machines virtuelles ou interfaces d’administration : SSH, RDP, SSL, HTTP

Si vous utilisez un proxy sortant, il est possible aussi de contrôler en fonction des noms de domaines. Sans être exhaustif, voici une première liste de noms de domaines (URL et services associés) à autoriser (en mode white list):

*.core.windows.net –> Stockage Azure
*.cloudapp.net –> Cloud Service, VM
*.msapproxy.net -> Azure AD Application Proxy
*.trafficmanager.net -> Azure Traffic Manager
*.onmicrosoft.com -> Identité, Azure AD
*.azurewebsites.net -> Sites Web
*.azure.com -> Azure Portal
*.windowsazure.com -> Azure Portal [Classic], Marketplace d’Azure
*.database.windows.net -> SQL Database
*.visualstudio.com -> Visual Studio Online
*.policykeyservice.dc.ad.msft.net Azure –> Azure Cloud App Discovery
*.hypervrecoverymanager.windowsazure.com –> Azure Site Recovery
*.backup.windowsazure.com –> Azure Backup
*.accesscontrol.windows.net
*.mms.microsoft.com –> Azure Logs Analytics (OMS)

Vous avez d’autres nom de domaines associés à des services Azure que j’ai oubliés ? n’hésitez pas à poster un commentaire et je mettrai à jour cet article

Vous êtes professionnel et légitimement vous vous posez des questions sur le Cloud, Windows Azure, Hyper-V, Windows Server, l’évolution du datacenter vers un cloud privé ou hybride alors pour en savoir plus, n’hésitez pas à suivre les sessions gratuites de formation de la Microsoft Virtual Academy : http://aka.ms/mvafr

– Stanislas Quastana –