Utiliser Azure Private Link pour securiser l’accès à Logic App

28 janvier 2021

Azure Logic App est un service cloud qui vous permet de planifier, d’automatiser et d’orchestrer des tâches, des processus métier et des workflows quand vous avez besoin d’intégrer des applications, des données, des systèmes et des services entre des entreprises ou des organisations. Il est nécessaire de savoir comment le sécuriser. Désormais, avec la nouvelle version d’Azure Logic Apps (toujours en preview pendant qu’on écrit cet article), il est possible de combiner l’Azure Private Link avec le Logic Apps pour obtenir une adresse privée.

Azure Logic Apps (V2)

Dans la nouvelle version d’Azure Logic App, on déploie le service dans un App Service Plan (comme si on déploie une Web App). En utilisant ce mode de déploiement, on profite de tous les avantages que l’App Service Plan offre, tel que le déploiement en utilisant les Slots, les possibilités réseaux ainsi que la sécurité afin de satisfaire les besoins des entreprises où la sécurité joue un rôle important.
Plus d’informations sont disponibles via ce lien.

Accéder en privé à un Logic App

Avant, on était obligé d’utiliser un « Integration Service Environment » (ISE) pour pouvoir sécuriser le Logic Apps. Cette méthode coûtait très cher.

Désormais, on peut utiliser les Private Endpoints, on peut aussi imaginer un scénario comme le montre le schéma ci-dessous :

Ce dont on aura besoin :

• Un Logic App (la nouvelle version);
• Un Virtual Network;
• Un Private Link.

Collons les morceaux, premièrement nous aurons besoin du nouveau Logic App, dans le portail Azure, sélectionnez :

Celle qui est en preview puis créez la :

Note : Comme la Web App, il nous faut le SKU Premium.

Une fois que c’est fait, nous devons créer un nouveau Virtual Network :

Maintenant, il faut créer un Private Endpoint qui nous permettra d’obtenir une adresse privée pour le Logic App. Pour cela, dans le menu « Networking » du Logic App, sélectionnez « Private Endpoint Connections ».

Puis ajoutez un Private Endpoint :

Finalement, nous devrons avoir ce menu :

Avec la configuration DNS qui va avec (une adresse privée pour le Logic App) :

On voit que nous avons réussi à obtenir une adresse privée : 10.0.0.4 !

Maintenant, pour tester, il nous faut un « workflow » !

Créons en un simple :

Nous envoyons une requête et ne réponse 200 nous est retournée.

Envoyons une requête depuis notre machine en local (qui va passer par internet) :

Ce n’est pas la réponse que nous souhaitions mais c’est la bonne réponse qu’on devrait avoir puisque nous avons interdit la communication internet en utilisant un Private Endpoint.

Créons une machine virtuelle qui se trouve dans le même Virtual Network que le Private Endpoint, puis mettons à jour le fichier Hosts (c’est juste pour l’exemple, dans le quotidien, nous ne touchons pas ce fichier).

Renvoyons la requête depuis la machine virtuelle :

Nous avons le résultat que nous voulions !

L’utilisation du Private Endpoint avec la nouvelle version du Logic App (qui est toujours en preview au moment où on écrit cet article) nous donne un grand avantage pour sécuriser l’accès au Logic App. Quoi que, encore une fois, le Private Link ne sécurise que le trafic entrant, pas le trafic sortant !


Vous souhaitez en savoir plus ? Découvrez notre offre Agile IT 

devoteam

Contact

Amine Charot

Microsoft Azure MVP & Cloud DevOps Engineer