👋 Hello, ici Azure Doctor !

J’espère que ta semaine a été productive et inspirante. Du côté d’Azure, on a eu droit à un feu d’artifice de nouveautés qui vont clairement intéresser les architectes, développeurs et équipes Ops. Entre sécurité réseau repensée, innovations AKS, accélérations dans le stockage et intégrations IA, cette semaine apporte son lot d’outils prêts à transformer tes projets cloud. Voici ce qu’il faut absolument retenir.

La sécurité réseau franchit un nouveau cap avec le Network Security Perimeter, qui introduit un périmètre d’isolation logique pour les ressources PaaS, bloquant par défaut l’accès public et centralisant la gestion des flux autorisés. Toujours sur le réseau, le Private Application Gateway en disponibilité générale apporte un frontal privé unique, un contrôle avancé des NSG et la suppression du service tag GatewayManager.

Dans l’univers AKS, les évolutions s’accélèrent : le Security Dashboard arrive pour offrir une vue centralisée sur la posture de sécurité et la détection des menaces, tandis que les deployment safeguards deviennent GA pour appliquer automatiquement les bonnes pratiques Kubernetes. Les scénarios réseau gagnent en puissance avec le support des L7 Policies pour l’Advanced Container Networking, le Static egress gateway public prefix et la possibilité d’utiliser plusieurs Standard Load Balancers par cluster. Côté diagnostic, le Virtual Network Verifier en preview simplifie l’analyse de la connectivité sortante, et LocalDNS améliore la résolution DNS avec un proxy local sur chaque nœud.

Le stockage n’est pas en reste avec l’extension de Azure Data Box Next Gen à de nouvelles régions, et l’arrivée d’Azure Storage Discovery pour analyser et optimiser son parc de comptes de stockage, intégrant Azure Copilot pour des requêtes naturelles. En parallèle, Azure Storage Actions poursuit son déploiement mondial, offrant plus de choix de résidence des données.

Enfin, l’IA et l’intégration se renforcent : les modèles gpt-oss d’OpenAI débarquent sur Azure Container Apps avec GPU serverless, et Azure API Management v2 s’ouvre au Model Context Protocol et au support de serveurs MCP externes. Côté gouvernance et optimisation, le FinOps toolkit version 12 apporte de nouvelles fonctionnalités et de meilleures performances, tandis que Azure Monitor introduit les auxiliary logs avec une tarification réduite.

👇 Attache ta ceinture, tout est scanné, résumé et prêt à l’injection. Bonne consultation !

Sommaire

1. La commande “Az CLI” de la semaine !

2. 📢 Big News – Azure déploie le Network Security Pe …

3. 🔍 Scan rapide du corps “Azure”

   1. Réseau

   2. Compute

   3. Stockage

   4. Sécurité

   5. Devops

   6. Containers

   7. Management et gouvernance

   8. Intégration

   9. AI + Machine Learning

   10. Analytics

La commande CLI de cette semaine te permet de repérer en quelques secondes les comptes de stockage Azure où l’accès public aux blobs est activé. C’est souvent après un test ou un projet oublié qu’on découvre un compte ouvert, exposant potentiellement des données sensibles.

az storage account list \  
 --query "[?allowBlobPublicAccess==true\].{Name:name, ResourceGroup:resourceGroup, Location:primaryLocation}" \  
 --output table 

Elle filtre uniquement les comptes concernés et affiche leur nom, leur groupe de ressources et leur région. Pas besoin de VM ni de configuration complexe, juste un droit de lecture sur l’abonnement.

Si un compte apparaît, demande-toi si cet accès est vraiment indispensable. Dans le doute, désactive-le immédiatement pour éviter toute mauvaise surprise :

az storage account update \  
  --name <NomDuCompte> \  
  --resource-group <NomDuGroupe> \   
  --allow-blob-public-access false 

Avec le Network Security Perimeter (NSP), Azure franchit un cap majeur dans la sécurisation native des ressources PaaS. Jusqu’ici, protéger un service comme Azure Storage ou SQL Database hébergé en dehors d’un réseau virtuel nécessitait un enchaînement de règles, de restrictions IP et de configurations souvent dispersées. Désormais, le NSP agit comme une frontière d’isolation réseau centralisée, bloquant par défaut tout accès public et n’autorisant que les flux explicitement définis.

Ce périmètre s’applique à plusieurs ressources en même temps, permettant :

• Des règles d’exception précises pour gérer les flux entrants et sortants autorisés.

• Une protection contre l’exfiltration de données vers des destinations non approuvées.

• Une visibilité complète et un audit continu grâce à des journaux centralisés.

• Une cohérence de sécurité sur l’ensemble des services PaaS concernés.

Concrètement, c’est la fin des configurations hétérogènes et des failles liées à des exceptions mal gérées. Les architectes peuvent désormais définir un cadre de sécurité unique, appliqué automatiquement, tout en conservant la souplesse nécessaire pour intégrer des partenaires ou répondre à des besoins spécifiques.

Cette évolution change la donne pour la conformité réglementaire, le contrôle des données sensibles et la simplification de la gouvernance réseau dans le cloud Azure. Découvrir l’annonce

Generally Available : Private Application Gateway sur Azure Application Gateway v2

Azure officialise la disponibilité générale du Private Application Gateway pour la SKU v2, offrant un contrôle réseau renforcé avec frontal privé uniquement, gestion affinée des NSG, prise en charge du Forced Tunnelling et suppression de la dépendance au service tag GatewayManager. Lire l’annonce

Generally Available : DNSSEC pour Azure DNS Public Zones dans les régions US Gov et Chine

Azure rend disponible DNSSEC sur toutes les zones DNS publiques existantes ou nouvelles hébergées dans ses régions US Gov et Chine. Cette fonctionnalité renforce l’intégrité et la sécurité du DNS grâce à l’authentification cryptographique des données, protégeant contre les attaques comme l’empoisonnement de cache ou l’interception de trafic. L’activation est possible via le portail, CLI, PowerShell ou API, avec gestion automatisée des clés et de la signature. En savoir plus

Public Preview : Azure Virtual Network Manager mesh prend en charge jusqu’à 5 000 réseaux virtuels

La connectivité mesh d’Azure Virtual Network Manager permet désormais de regrouper jusqu’à 5 000 réseaux virtuels dans les régions prises en charge. Cette topologie offre une communication directe et bidirectionnelle entre les réseaux sélectionnés, éliminant les peerings manuels et réduisant la latence, tout en conservant contrôle et sécurité via les règles d’administration et les logs de flux réseau. Découvrir la mise à jour

Generally Available : Network Security Perimeter

Azure introduit le Network Security Perimeter, une frontière d’isolation réseau logique pour les ressources PaaS déployées hors des réseaux virtuels de l’organisation, comme un compte Azure Storage ou un serveur SQL Database. Cette fonctionnalité limite l’accès public, permet des règles explicites d’exception, offre des journaux d’accès pour l’audit et unifie la gestion de la sécurité sur plusieurs services PaaS. Lire la mise à jour

Notice : décoder & migrer vos règles ADC vers Application Gateway

Retour d’expérience pour convertir des expressions/politiques L4-L7 (F5/Citrix) et tirer parti d’Azure Application Gateway. Objectif : sécurité renforcée et opérations plus agiles dans Azure. Lire l’article réseau.

GA : support IPv6 entrant pour Azure App Service

Azure App Service prend désormais en charge le trafic IPv6 entrant, permettant d’héberger des applications compatibles IPv6 sans configuration complexe. Cette disponibilité générale facilite la mise en conformité et l’accès global. Découvrir la mise à jour

Generally Available : nouvelles tailles Azure VM Esv6 et Edsv6 jusqu’à 192 vCPU 

Azure lance des tailles atteignant 192 vCPU et 1832 GiB de RAM, optimisées pour les workloads mémoire intensifs comme l’analytique in-memory ou les bases relationnelles massives, avec Intel TME pour la sécurité, stockage NVMe ultra-rapide et jusqu’à 200 Gbps de bande passante réseau. Lire l’annonce

Public Preview : désactivation du HTTP proxy dans AKS 

Il est désormais possible de désactiver la fonctionnalité HTTP proxy sur un cluster AKS existant, tout en conservant la configuration en base. Les variables proxy sont retirées des pods et nœuds, permettant un ajustement flexible des environnements dépendants de proxy. Lire l’annonce

Public Preview : Confidential VMs pour Azure Linux dans AKS

Les Confidential Virtual Machines arrivent en preview publique pour Azure Linux dans AKS, permettant de créer des pools de nœuds sécurisés pour héberger des workloads conteneurisés sensibles sans refactoriser le code. Basé sur Azure Linux 3 et des tailles CVM supportées, ce mode combine isolation renforcée et avantages natifs d’AKS. Plus d’informations

Generally Available : Confidential VMs pour Ubuntu 24.04 dans AKS

Les Confidential Virtual Machines sont désormais disponibles pour Ubuntu 24.04 dans AKS, permettant de créer des pools de nœuds sécurisés pour workloads conteneurisés sensibles sans modification de code. Basé sur une image Ubuntu 24.04 spécialement configurée pour CVM, ce mode requiert de spécifier Ubuntu2404 comme OsSku lors de la création du pool. Consulter l’annonce

Public Preview : Managed Namespaces dans AKS

Les Managed Namespaces permettent de lister les espaces de noms accessibles à un utilisateur sur un abonnement, un groupe de ressources ou un cluster AKS, puis d’obtenir des identifiants pour y déployer directement. La configuration est possible via Azure CLI, ARM/Bicep, API REST ou portail Azure, offrant une gestion flexible et centralisée. En savoir plus

Generally Available : AKS Security Dashboard

Le Security Dashboard d’AKS offre une vue centralisée de la posture de sécurité et de la protection contre les menaces en temps réel dans le portail Azure. Il met en évidence les vulnérabilités logicielles, les failles critiques, les écarts de conformité et les menaces actives, pour aider à prioriser les actions correctives et suivre l’état de protection du cluster et des workloads. Voir les détails

Public Preview : Azure Virtual Network Verifier pour AKS

Le Virtual Network Verifier est désormais disponible en preview publique dans le portail Azure pour détecter et diagnostiquer les problèmes de connectivité sortante d’un cluster AKS. Il permet d’analyser le flux réseau vers un endpoint public et d’identifier les configurations réseau Azure susceptibles de bloquer le trafic, comme un pare-feu, des NSG ou des load balancers. Découvrir la fonctionnalité

Public Preview : support de plusieurs Standard Load Balancers dans AKS

AKS prend désormais en charge plusieurs Standard Load Balancers par cluster, permettant de dépasser la limite de 300 règles entrantes par interface réseau et d’isoler le trafic en attribuant des SLB différents à chaque pool d’agents ou workload. Le placement des nœuds et Services est géré automatiquement selon des critères configurables comme le nom du pool, les labels ou les sélecteurs de namespace. En savoir plus

Generally Available : support du préfixe public pour la passerelle de sortie statique dans AKS

Cette fonctionnalité désormais disponible permet de créer un pool de nœuds passerelle dédié qui dirige le trafic sortant de pods annotés via un préfixe IP public statique (/28 à /31). Elle assure des adresses de sortie stables et prévisibles, idéales pour le whitelisting pare-feu, la conformité ou l’intégration avec des partenaires. Consulter l’annonce

Public Preview : Encryption in Transit pour Azure Files NFS dans AKS

AKS prend désormais en charge l’Encryption in Transit pour les volumes Azure Files NFS v4.1 via le driver CSI, offrant un chiffrement TLS 1.3 transparent pour sécuriser les données en transit. Disponible en preview pour les clusters AKS 1.33+, cette fonctionnalité ne nécessite aucune modification applicative et s’intègre nativement avec AZNFS et Stunnel. En savoir plus

Generally Available : Deployment safeguards dans AKS

Les deployment safeguards d’AKS sont désormais disponibles pour appliquer automatiquement les bonnes pratiques Kubernetes. En mode Avertissement, elles signalent les configurations non conformes, et en mode Application, elles bloquent ou corrigent les déploiements non conformes, garantissant des mises en production plus fiables et sécurisées. Voir la mise à jour

Public Preview : Web Application Firewall sur Application Gateway for Containers

Application Gateway for Containers prend désormais en charge les stratégies WAF en preview publique, offrant aux administrateurs et développeurs AKS une protection intégrée contre les attaques comme le cross-site scripting, l’injection SQL, l’exécution de commandes à distance ou les inclusions de fichiers malveillants. Découvrir la preview

Generally Available : améliorations du Control Plane dans AKS

AKS intègre l’optimisation Streaming Encoding for LIST Responses (KEP 5116) pour réduire d’environ 10x l’utilisation mémoire de l’API server lors d’appels LIST volumineux. Cette amélioration diminue la latence, renforce la résilience et limite les risques d’OOM, avec rétroportage pour les versions antérieures à v1.33. Disponible dès AKS v1.31.9, et prochainement en v1.32.6+. Consulter l’annonce

Public Preview : LocalDNS pour AKS

LocalDNS déploie un proxy DNS sur chaque nœud AKS, offrant une résolution plus rapide et fiable. Il élimine les goulots d’étranglement DNS dans les grands clusters, réduit la latence des requêtes, et maintient la résolution même en cas de panne upstream grâce aux paramètres serve-stale. Cette amélioration fonctionne sans modification applicative et permet une personnalisation avancée des requêtes internes et externes. Découvrir la preview

Public Preview : intégration d’Azure Bastion avec AKS

L’intégration d’Azure Bastion avec AKS permet un accès sécurisé et continu aux clusters AKS privés, ainsi qu’aux clusters publics disposant d’IP autorisées pour l’API server. Elle offre un tunnel direct depuis la machine locale vers le cluster via Bastion, supprimant la nécessité de VPN ou de jump box, et permettant l’usage natif d’outils comme kubectl sans exposition d’endpoints publics. En savoir plus

Public Preview : AKS Model Context Protocol (MCP) server

Le Model Context Protocol (MCP) server pour AKS est désormais disponible en open source, offrant une interface standardisée pour orchestrer diagnostics, remédiations et opérations de cycle de vie des clusters AKS. Il simplifie l’intégration d’agents IA, de modèles de langage et d’outils intelligents, tout en masquant la complexité des API Kubernetes et Azure. Cette ouverture permet d’étendre et personnaliser les workflows agentiques, d’automatiser la gestion de clusters, et de faciliter l’orchestration intelligente à grande échelle. Découvrir la preview

Generally Available : Azure Data Box Next Gen étend sa disponibilité régionale 

Les modèles 120 TB et 525 TB sont désormais disponibles en Australie, Japon et Singapour, avec la version 120 TB aussi lancée au Brésil, Émirats Arabes Unis, Hong Kong, Suisse et Norvège, offrant des transferts jusqu’à 10 fois plus rapides pour les migrations massives. Lire l’annonce

Public Preview : Azure Storage Discovery 

Nouveau service offrant une visibilité complète sur l’ensemble des comptes de stockage Azure d’une organisation, avec analyse de capacité, optimisation des coûts, suivi de l’activité et intégration à Azure Copilot pour obtenir des insights par requête naturelle. Disponible en version gratuite ou Standard (gratuite jusqu’au 30 septembre). Lire l’annonce

Generally Available : Azure Storage Actions disponible dans 22 nouvelles régions 

Le service est désormais accessible dans des zones comme France Central, West Europe, Canada Central ou Australia East, offrant plus d’options de résidence des données et un accès global élargi. Lire l’annonce

Notice : sécuriser les endpoints Bot Service avec Teams

Focus sur la protection de l’endpoint de votre bot (exposition HTTPS, SPN, contrôle d’accès) lorsqu’il est utilisé avec Microsoft Teams. L’article détaille la configuration côté app et les garde-fous recommandés. Consulter l’article.

GA : supervision des Network Security Perimeter dans Azure Monitor

Azure Monitor intègre désormais des capacités natives pour suivre et superviser les Network Security Perimeter. Les administrateurs peuvent ainsi contrôler la conformité, analyser les journaux et anticiper les écarts de configuration. En savoir plus

Public Preview : augmentation du quota d’ingestion pour Azure Managed Prometheus via API ARM

Il est désormais possible de demander une augmentation du quota d’ingestion des métriques Managed Prometheus dans un workspace Azure Monitor via l’API Azure Resource Manager, jusqu’à 20 millions d’événements par minute ou 20 millions de séries temporelles actives. En savoir plus

Notice : Terraform Provider pour Microsoft Fabric – déploiement d’une configuration avec GitHub Actions

Ce guide explique comment déployer une configuration Microsoft Fabric via Terraform en l’intégrant dans un pipeline GitHub Actions. Il simplifie l’automatisation et la mise en place d’un déploiement reproductible. Lire le guide

Scan automatisé des dépendances open-source avec Advanced Security

Présentation de la configuration et de l’automatisation du scan de dépendances open-source grâce à Advanced Security. Une solution clé pour détecter rapidement les vulnérabilités et renforcer la sécurité logicielle. Voir l’article

Preview : simplification du diagnostic de connectivité sortante dans AKS

Cette fonctionnalité preview introduit Connectivity Analysis pour identifier rapidement les problèmes de connectivité sortante d’un cluster AKS, en analysant le chemin réseau vers des endpoints publics. Elle aide à repérer les règles ou configurations bloquantes et à réduire le temps de résolution. Voir l’article complet

GA : L7 Policies pour Advanced Container Networking dans AKS

Les stratégies L7 apportent une gouvernance au niveau applicatif pour filtrer/autoriser le trafic selon les attributs HTTP/HTTPS. La doc fournit la procédure d’activation et les limites à connaître. Consulter la procédure.

Notice : nouveautés du FinOps toolkit – juillet 2025

La mise à jour de juillet apporte des améliorations au FinOps toolkit avec de nouveaux modules, de meilleures performances et des intégrations élargies. L’objectif reste de renforcer la gouvernance financière et l’optimisation des coûts sur Azure. Découvrir les nouveautés