Azure Enterprise-Scale et Virtual WAN : concevoir un réseau hub-and-spoke sécurisé à l'échelle mondiale
Concevoir un réseau Azure à l'échelle d'un groupe international ne s'improvise pas. Voici comment structurer une architecture Enterprise-Scale avec Azure Virtual WAN, Secure Virtual Hub, SD-WAN Meraki, Check Point CloudGuard et Netskope.
Pourquoi Virtual WAN change tout
Pendant des années, le hub-and-spoke Azure se construisait à la main avec des VNets, des peerings et des Azure Firewall. Cette approche fonctionnait, mais devenait vite ingérable au-delà de quelques régions. Azure Virtual WAN change radicalement l'équation : il propose un service managé global qui orchestre la connectivité hybride, le routage et la sécurité à l'échelle d'un tenant entier.
Cet article décrit l'architecture cible que j'ai déployée pour un groupe international avec patrimoine étendu en Europe.
Le découpage Enterprise-Scale
L'architecture suit strictement le framework Microsoft Cloud Adoption Framework avec une trajectoire Enterprise-Scale. Cinq landing zones spécialisées structurent le tenant : Connectivity, Identity, Management, DevOps et Governance. Chaque landing zone vit dans sa propre souscription, avec une hiérarchie de Management Groups dédiée et un modèle RBAC granulaire.
Cette structuration n'est pas un exercice théorique : elle conditionne la capacité du groupe à absorber les acquisitions, les fusions et les évolutions organisationnelles.
Le référentiel Terraform DRY et GitOps
Le code Terraform applique strictement la logique DRY, avec des modules réutilisables et des conventions CAF de nommage. La séparation entre code infrastructure, tooling et données d'environnement est stricte. Une chaîne GitOps multi-référentiels orchestre les déploiements via Azure DevOps, avec pipelines YAML, versionnement, artefacts et agents self-hosted déployés sur Azure pour répondre aux contraintes de sécurité réseau.
Gouvernance par Azure Policy
Azure Policy n'est pas un nice-to-have : c'est le mécanisme central de gouvernance. Des initiatives de sécurité couvrent l'ensemble du tenant, le tagging est obligatoire et contrôlé, les SKUs autorisés sont restreints, les localisations sont limitées aux zones autorisées, et les remédiations s'exécutent à l'échelle. Cette discipline élimine les dérives avant qu'elles ne deviennent problématiques.
Connectivité hub-and-spoke avec Virtual WAN
Le cœur du réseau repose sur Azure Virtual WAN avec Secure Virtual Hub. Le routage est centralisé via Virtual WAN intent. Les sites distants sont raccordés via SD-WAN Cisco Meraki. La sécurité périmétrique combine des appliances Check Point CloudGuard et des composants Netskope pour le contrôle des flux applicatifs. Cette architecture permet de filtrer systématiquement les flux inter-zones tout en conservant des performances élevées.
Segmentation réseau fine
À l'intérieur du tenant, la segmentation s'appuie sur des Virtual Networks dédiés, des sous-réseaux spécialisés, des User Defined Routes et des Network Security Groups avec filtrage explicite des flux Est-Ouest et Nord-Sud. Aucune communication n'est implicite, chaque flux est documenté.
Zero Trust et services privés
La stratégie Zero Trust impose la généralisation des Private Endpoints sur les services PaaS critiques. La résolution DNS privée passe par Azure Private DNS Zones et Azure DNS Private Resolver. L'accès public est désactivé sur les services sensibles. Cette posture transforme la surface d'attaque du tenant.
Gestion centralisée des secrets
Azure Key Vault Standard est déployé en mode RBAC, avec purge protection et soft delete activés. Les coffres sont raccordés par endpoints privés et accessibles uniquement via Managed Identities. Cette approche élimine quasiment tous les secrets applicatifs en clair.
Workload digital exposé en mode privé
Un workload digital métier illustre l'extensibilité du socle. Il combine Azure App Service Linux, Azure Functions Linux .NET 8 Isolated, Azure Database for PostgreSQL Flexible Server 15 et Azure Application Gateway Standard_v2. Les échanges inter-services entre frontaux, API, fonctions d'intégration, stockage et base de données sont sécurisés par Private Endpoints, identités managées et routage applicatif contrôlé.
Exploitabilité consolidée
Azure Monitor, Log Analytics Workspace et Application Insights centralisent l'observabilité. Azure Bastion sécurise les accès d'administration. Automation Account orchestre les tâches récurrentes. Le pilotage budgétaire est nativement intégré avec budgets et alerting. Cet ensemble forme le socle d'exploitation mutualisé.
Les leçons apprises
Virtual WAN simplifie radicalement la connectivité à l'échelle mondiale, mais demande de repenser le routage : ne plaquez pas vos habitudes hub-and-spoke classiques. Les Azure Verified Modules sont aujourd'hui la base de référence : préférez-les à vos modules maison sauf besoin spécifique. Les Management Groups sont la clé de la gouvernance à l'échelle : investissez-y dès le jour 1. Le filtrage des flux via Check Point ou Netskope demande une réflexion fine sur les performances : testez avant de généraliser. L'observabilité doit suivre l'architecture distribuée : un seul Log Analytics Workspace mutualisé ne suffit plus à très grande échelle.
Conclusion
Une architecture Azure Enterprise-Scale avec Virtual WAN n'est pas réservée aux mastodontes : c'est le standard de fait pour toute organisation multi-régions sérieuse. L'investissement initial est significatif, mais la dette technique évitée et la capacité à absorber les évolutions futures justifient largement le coût. La combinaison Cloud Adoption Framework, Virtual WAN, Azure Policy et Terraform constitue aujourd'hui le socle le plus robuste pour bâtir une plateforme Cloud d'entreprise.