7 — Network Connectivity and Security (AZ-305)
A. Azure Firewall ⭐⭐
A.1 SKUs
| SKU | Features |
|---|---|
| Standard | Rules L3/L4/L7 + Threat Intel + DNS Proxy |
| Premium ⭐ | + TLS inspection + IDPS + URL filtering + Web categories |
A.2 Firewall Policy — concept design 305
Ressource indépendante qui contient toutes les règles → attachable à 1 ou N firewalls. Remplace les classic rules.
3 types de rule collections :
- DNAT : Inbound NAT (internet → backend privé)
- Network : L3/L4 (IP/port, Service Tags)
- Application : L7 FQDN (HTTP/S, TLS inspection en Premium)
🚨 Network évaluée AVANT Application → une App "Allow" n'override pas une Network "Deny".
A.3 Parent / Child policies ⭐
Pattern enterprise : SecOps = parent (règles obligatoires globales) → équipes app = child (workload-specific). Parent toujours évalué avant child.
A.4 1 policy → N firewalls
Une policy attachée à N firewalls régionaux. Update 1× = propagation auto. C'est le pattern ALZ multi-région attendu au 305.
B. Diagnostics réseau hybride — Network Watcher
Pour debug réseau Azure (et hybride pour 1 outil seulement).
| Outil | Pour quoi | Marche on-prem ? |
|---|---|---|
| Connection Monitor ⭐ | Monitoring E2E continu (latence, perte, hop-by-hop) | ✅ OUI (seul vraiment hybride, agent on-prem) |
| VPN Troubleshoot | Diag tunnel VPN Gateway (S2S/P2S) | ✅ côté Azure (analyse lien vers on-prem) |
| Connection Troubleshoot | Test ponctuel source → destination | ⚠️ Source = VM Azure ; dest peut être on-prem |
| Next Hop | Vérifier le routage | ⚠️ Source = VM Azure |
| IP Flow Verify | Allow/Deny d'un paquet (NSG) | ❌ Azure only |
| Packet Capture | Capturer le trafic VM | ❌ Azure VM only |
🎯 "Monitor continu DEPUIS machine on-prem" → Connection Monitor (le seul hybride). 🎯 "VPN qui tombe, debug" → VPN Troubleshoot.
C. DDoS Protection
| Tier | Pour |
|---|---|
| Infrastructure (Basic) | Gratuit, always-on, protège la plateforme Azure |
| DDoS IP Protection | Par IP publique → PME / peu d'IP |
| DDoS Network Protection ⭐ | Par VNet → entreprise (metrics, alertes, cost protection, équipe DRR) |
🚨 DDoS = L3/L4 (volumétrique). L7 (HTTP flood) = WAF rate-limiting (voir fiche 6) → complémentaires. 🎯 Entreprise / plusieurs IPs → Network Protection. Peu d'IPs / budget → IP Protection.
D. Topologie — Hub-Spoke vs Virtual WAN ⭐
D.1 Vue comparative
| Hub-Spoke (custom) | Virtual WAN ⭐ | |
|---|---|---|
| Hub | Toi construis (gateway/firewall/peering/UDR) | Managé MS, transit any-to-any auto |
| Use case | Peu de régions, control total, NVA custom | Nombreuses branches/régions, SD-WAN, global |
| Pricing | Composants individuels | Hub VWAN + scale unit |
D.2 Virtual WAN — 2 tiers
| Tier | Features |
|---|---|
| Basic | Site-to-Site VPN seulement (entry-level) |
| Standard ⭐ | ExpressRoute + P2S VPN + S2S VPN + vWAN-to-vWAN + Secured Virtual Hub (Azure Firewall intégré) |
D.3 Secured Virtual Hub
vWAN Standard + Azure Firewall intégré dans le hub géré MS → sécurité centralisée sans construire un hub Firewall toi-même.
🎯 Au 305 :
- "Peu de régions, control total, NVA tiers (Palo Alto/F5)" → Hub-Spoke custom
- "Multi-régions/branches, SD-WAN, scale global, sécurité centralisée" → vWAN Standard + Secured Hub
E. Hybride — VPN Gateway vs ExpressRoute ⭐⭐
E.1 Vue comparative
| VPN Gateway (S2S) | ExpressRoute ⭐ | |
|---|---|---|
| Type | Tunnel IPsec sur internet public | Circuit privé dédié (pas d'internet) |
| Bandwidth | jusqu'à 10 Gbps | 50 Mbps → 100 Gbps |
| Latence | Variable (internet) | Prévisible, basse |
| SLA | 99.9% (Basic) / 99.95% (autres) | 99.95% |
| Compliance | OK pour la plupart | Required si "no internet allowed" |
| Coût | Bas-moyen | Élevé (circuit + bandwidth) |
| Setup | Rapide (heures) | Long (semaines, coordination opérateur) |
E.2 VPN Gateway — SKUs
| SKU | Quand |
|---|---|
| Basic | Dev/test (legacy, pas de BGP, pas zone-redundant) |
| VpnGw1 → VpnGw5 | Prod standard (1 → 10 Gbps), BGP supporté |
| VpnGw1AZ → VpnGw5AZ ⭐ | Prod zone-redundant (3 AZ), recommandé prod |
3 types de connexions VPN :
- Site-to-Site (S2S) : site on-prem ↔ Azure (LAN entier)
- Point-to-Site (P2S) ⭐ : laptop / remote worker ↔ Azure (1 user)
- VNet-to-VNet (V2V) : VNet ↔ VNet cross-region (alternative au peering)
🚨 Remote workers laptops = P2S, jamais S2S (S2S = LAN entier). 🚨 Basic SKU : pas de BGP, pas de zone-redundancy → éviter prod.
E.3 ExpressRoute — SKUs ⭐⭐
Circuit SKU (le tier du circuit)
| SKU | Scope géographique | Use case |
|---|---|---|
| Local | 1 Azure region (peering edge location) | Trafic vers 1 seule région locale, coût mini |
| Standard ⭐ | Toutes régions dans 1 même geopolitical area (ex : "EU") | Default prod régionale |
| Premium ⭐ | Global (toutes régions Azure) + Global Reach capacité ↑ | Multi-région globale |
Modèles de connexion
| Modèle | Description |
|---|---|
| ExpressRoute Provider ⭐ | Via un opérateur partner (Equinix, Orange, AT&T…) — le + courant |
| ExpressRoute Direct | Connexion directe à Microsoft Enterprise Edge (10 Gbps ou 100 Gbps), pour très gros débits / control total |
🚨 "Premium" et "Direct" = 2 axes ORTHOGONAUX : SKU Premium = reach global (multi-region cross-geo) + Global Reach + + routes BGP. Modèle Direct = connexion physique directe MS edge (10/100 Gbps owned). Combo "Premium Direct" = très haute exigence enterprise (multi-region + 100 Gbps dédié). Distractor exam : "Premium" seul ≠ "Direct" seul → bien lire l'énoncé (global scope vs débit/ownership physique).
Features critiques
| Feature | Quoi |
|---|---|
| Global Reach ⭐ | Connecter 2 sites on-prem entre eux via le backbone Microsoft (ex : datacenter Paris ↔ datacenter NYC via ER → ER) |
| FastPath | Bypass le ExpressRoute Gateway pour données → latence + débit améliorés |
| Billing Metered vs Unlimited | Pay-per-GB out vs flat fee (Unlimited rentable au-delà d'un seuil) |
E.4 Combos prod design 305
| Pattern | Use case |
|---|---|
| ExpressRoute + VPN failover ⭐ | ER en primary + VPN S2S backup → 99.99% combiné (recommandé prod critique) |
| ER Global Reach | DC-to-DC via backbone MS (latence + sécurité backbone) |
| vWAN + ER + P2S | Multi-région + remote workers + on-prem |
| VPN seul | Hybride simple, débit modéré, budget |
🚨 HA gateway = utiliser zone-redundant SKU (VpnGwXAZ ou ER Gateway zonal).
F. DNS design (light, AZ-305) ⭐
F.1 Les 3 types de zones DNS Azure
| Service | Pour |
|---|---|
| Azure DNS (Public zones) | DNS public pour domaines internet (alternative à GoDaddy/OVH) |
| Private DNS Zones ⭐ | Résolution privée intra-VNet (ex : privatelink.database.windows.net pour Private Endpoints) |
| DNS Private Resolver ⭐ | Bridge on-prem ↔ Azure pour résolution conditionnelle (hybride) |
F.2 DNS Private Resolver — use case AZ-305
- Inbound endpoint : forwarder DNS depuis on-prem → résolution Azure (PE, services)
- Outbound endpoint : forwarder Azure → on-prem (résolution AD on-prem depuis VMs Azure)
- Rulesets : conditional forwarding par domaine
🎯 Question 305 : "Résoudre
privatelink.X.azure.comdepuis on-prem via ER" → DNS Private Resolver inbound endpoint.
G. Rappels AZ-104 (compact)
| Service | Rappel court |
|---|---|
| VNet Peering | Connecte 2 VNets, transitif via hub (Hub-Spoke) ou vWAN auto |
| NSG (Network Security Group) | Pare-feu stateful L3/L4 sur subnet ou NIC. Rules priority 100-4096. |
| Application Security Group (ASG) | Groupe de NICs pour simplifier les règles NSG |
| Service Endpoint | Accès au PaaS via VNet sur backbone Azure (PE moderne préféré) |
| Private Endpoint ⭐ | IP privée dans ton VNet vers PaaS. Recommandé prod (DNS privé privatelink.X.azure.com) |
| Azure Bastion | Jump box managé pour RDP/SSH vers VMs sans IP publique |
| Route Tables (UDR) | Override des routes par défaut, force trafic via NVA ou firewall |
🚨 Private Endpoint > Service Endpoint en prod moderne (DNS privé + isolation totale).
H. Decision tree network AZ-305
Connectivity hybride
On-prem → Azure ?
├─ Petit débit, budget mini, internet OK → VPN Gateway S2S
├─ Gros débit + latence prévisible → ExpressRoute Standard/Premium
├─ Multi-régions branches SD-WAN → Virtual WAN + ER
├─ Remote workers laptops → P2S VPN
└─ Prod critique HA → ER primary + VPN failover (combo)
Topologie
Combien de régions / VNets ?
├─ 1-3 régions, control total NVA → Hub-Spoke custom
├─ N régions/branches, scale, sécurité auto → Virtual WAN Standard + Secured Hub
Sécurité périmètre
Type d'attaque protégée ?
├─ DDoS volumétrique L3/L4 → DDoS Network Protection
├─ OWASP L7 (régional ou global) → WAF (voir fiche 6 - App Gateway WAF v2 ou Front Door WAF Premium)
├─ Egress filtering FQDN/IP/TLS inspection → Azure Firewall Premium
└─ Defense-in-depth bancaire → FD WAF + AGW WAF + Azure Firewall
💡 Load balancing decisions = voir fiche 6 (Load Balancer / App Gateway / Traffic Manager / Front Door).
DEMO
Demo Portail — Azure Firewall Policy parent/child
Parent policy SecOps (Premium) :
Firewall Policies > + Create- Basics : RG
rg-secops, Nameparent-policy, Tier Premium - DNS : Enable DNS Proxy ON
- Threat Intel : mode Deny
- IDPS : mode Alert (puis Alert+Deny après tuning)
- Rules →
+ Add a rule collection group:- Name
rcg-base, Priority 200 - Dans le RCG →
+ Add a rule collection:- Name
rc-network, Type Network, Priority 200, Action Allow - Rule
allow-proxy: Source10.0.0.0/8, Protocol TCP, Dest203.0.113.10:8080
- Name
- Name
- Review + Create
Child policy équipe app (héritage parent) :
Firewall Policies > + Create- Basics : RG
rg-app, Namechild-app-policy, Tier Premium (SKU match parent) - Cocher Inherits from a parent policy → sélectionner
parent-policy - Rules : ajouter ses RCGs workload-specific
- Review + Create
Attacher child policy au firewall :
Firewalls > myfirewall > Firewall policy > Change firewall policy- Sélectionner
child-app-policy→ Save
Parent rules s'exécutent avant child, toujours. Ordre global : Threat Intel → IDPS → DNAT → Network → Application.
Demo Portail — 1 policy → N firewalls (ALZ multi-region)
- Créer 1 seule policy
central-policy(SecOps RG) - Pour chaque firewall régional :
Firewalls > <fw> > Firewall policy > Change firewall policy > central-policy > Save - Update unique sur la policy = propagation auto aux N firewalls
Demo Portail — Connection Monitor (hybride)
Network Watcher > Connection Monitor > + Create- Basics : Name
cm-hybrid-test, Region (toute région supportée) - Test groups :
- + Add test group : Name
onprem-to-sql - Sources : VM on-prem (agent installé) ou Arc-enabled
- Destinations :
mysrv.database.windows.net(Azure SQL) - Test configuration : TCP/443, frequency 30s
- + Add test group : Name
- Review + Create
- Monitor → graphes latence + perte + hop-by-hop
Demo Portail — ExpressRoute (vue)
Le setup ER nécessite coordination avec un Provider — au 305 c'est awareness, pas mise en place.
ExpressRoute circuits > + Create- Basics : RG, Name
er-paris - Configuration :
- Port type : Provider (Equinix, Orange…) ou Direct (10/100 Gbps direct MS)
- Provider : (selon Provider choisi)
- Peering location : ex
Paris - Bandwidth : 1 Gbps (ou autre)
- SKU : Local / Standard / Premium
- Billing model : Metered ou Unlimited
- Review + create → MS provisionne le circuit côté backbone, tu finalises avec ton Provider qui livre le lien physique
- Activer Global Reach si besoin de connecter 2 sites on-prem via backbone MS
💡 DEMOs WAF (Front Door + App Gateway) → voir fiche 6.