Passer

Utiliser Azure Private Link pour sécuriser l’accès à Logic App

Azure Logic App est un service cloud qui vous permet de planifier, d’automatiser et d’orchestrer des tâches, des processus métier et des workflows quand vous avez besoin d’intégrer des applications, des données, des systèmes et des services entre des entreprises ou des organisations. Il est nécessaire de savoir comment le sécuriser. Désormais, avec la nouvelle version d’Azure Logic Apps (toujours en preview pendant qu’on écrit cet article), il est possible de combiner l’Azure Private Link avec le Logic Apps pour obtenir une adresse privée.

Azure Logic Apps (V2)

Azure Logic Apps

Dans la nouvelle version d’Azure Logic App, on déploie le service dans un App Service Plan (comme si on déploie une Web App). En utilisant ce mode de déploiement, on profite de tous les avantages que l’App Service Plan offre, tel que le déploiement en utilisant les Slots, les possibilités réseaux ainsi que la sécurité afin de satisfaire les besoins des entreprises où la sécurité joue un rôle important.

Accéder en privé à un Logic App

Avant, on était obligé d’utiliser un « Integration Service Environment » (ISE) pour pouvoir sécuriser le Logic Apps. Cette méthode coûtait très cher.

Logic App

Désormais, on peut utiliser les Private Endpoints, on peut aussi imaginer un scénario comme le montre le schéma ci-dessous :

Logic App

Ce dont on aura besoin :

• Un Logic App (la nouvelle version);
• Un Virtual Network;
• Un Private Link.

Collons les morceaux, premièrement nous aurons besoin du nouveau Logic App, dans le portail Azure, sélectionnez :

Logic App

Celle qui est en preview puis créez la :

Logic App

Note : Comme la Web App, il nous faut le SKU Premium.

Une fois que c’est fait, nous devons créer un nouveau Virtual Network :

Logic App

Maintenant, il faut créer un Private Endpoint qui nous permettra d’obtenir une adresse privée pour le Logic App. Pour cela, dans le menu « Networking » du Logic App, sélectionnez « Private Endpoint Connections ».

Logic App

Puis ajoutez un Private Endpoint :

Logic App

Finalement, nous devrons avoir ce menu :

Logic AppAvec la configuration DNS qui va avec (une adresse privée pour le Logic App) :

Logic App

On voit que nous avons réussi à obtenir une adresse privée : 10.0.0.4 !

Maintenant, pour tester, il nous faut un « workflow » !

Logic App

Créons en un simple :

Logic App

Nous envoyons une requête et ne réponse 200 nous est retournée.

Envoyons une requête depuis notre machine en local (qui va passer par internet) :

Logic App

Ce n’est pas la réponse que nous souhaitions mais c’est la bonne réponse qu’on devrait avoir puisque nous avons interdit la communication internet en utilisant un Private Endpoint.

Créons une machine virtuelle qui se trouve dans le même Virtual Network que le Private Endpoint, puis mettons à jour le fichier Hosts (c’est juste pour l’exemple, dans le quotidien, nous ne touchons pas ce fichier).

Logic App

Renvoyons la requête depuis la machine virtuelle :

Logic AppNous avons le résultat que nous voulions !

L’utilisation du Private Endpoint avec la nouvelle version du Logic App (qui est toujours en preview au moment où on écrit cet article) nous donne un grand avantage pour sécuriser l’accès au Logic App. Quoi que, encore une fois, le Private Link ne sécurise que le trafic entrant, pas le trafic sortant !