À quoi fait référence Azure Bastion ?
Élément | Description |
Type de service | Service PaaS (Platform as a Service) entièrement managé |
Fonction principale | Fournir un accès sécurisé (RDP/SSH) aux VM Azure via IP privée, sans exposer les ports au public |
Protocoles supportés | RDP, SSH, connexion via TLS (port 443) |
Gestion des accès | Pas besoin d’IP publique ni de client spécifique ; accès via portail Azure ou clients natifs |
Sécurité | Protection contre l’analyse de ports, exploits zero-day, gestion centralisée des accès |
Scénarios d’usage | Accès administrateur aux VM, opérations de maintenance, gestion sécurisée des infrastructures |
Modèles de déploiement | Plusieurs SKU (Développeur, De base, Standard, Premium), support de la haute disponibilité |
Prérequis techniques et compétences nécessaires
Prérequis techniques | Prérequis en compétences |
Abonnement Azure actif | Connaissance du portail Azure |
Réseau virtuel (VNet) configuré | Notions de réseaux virtuels et de sous-réseaux Azure |
Sous-réseau dédié nommé « AzureBastionSubnet » | Compréhension des concepts de sécurité réseau (NSG, RBAC) |
Permissions suffisantes sur les ressources Azure | Gestion des ressources Azure (création, configuration, droits) |
Machines virtuelles cibles dans le même VNet | Administration Windows/Linux (pour accès RDP/SSH) |
Navigateur web compatible HTML5 (pour accès portail) | Notions de sécurité cloud et bonnes pratiques Microsoft Azure |
Niveau de difficulté de la mise en place
Étape / Complexité | Évaluation (★) | Détail |
Création du Bastion | ★☆☆☆☆ | Déploiement simple via le portail Azure, peu de paramètres obligatoires |
Configuration réseau | ★★☆☆☆ | Nécessite de comprendre les sous-réseaux et la sécurité réseau |
Sécurisation et RBAC | ★★★☆☆ | Gestion des droits, activation des logs, bonnes pratiques de sécurité |
Utilisation avancée (SKU, HA) | ★★★★☆ | Choix du SKU, haute dispo, intégration avec d’autres services |
Supervision et diagnostic | ★★★☆☆ | Configuration des logs, alertes, analyse des accès |
Présentation de la technologie
Azure Bastion est un service PaaS entièrement managé qui offre un accès sécurisé à vos machines virtuelles (VM) via les protocoles RDP (Remote Desktop Protocol) et SSH (Secure Shell) sans nécessiter d’adresse IP publique sur les VM. Il permet de se connecter directement depuis le portail Azure via TLS (port 443), éliminant ainsi les risques associés à l’exposition des ports RDP/SSH sur Internet. Azure Bastion est conçu pour renforcer la sécurité des environnements cloud en centralisant les connexions d’administration à distance.
Principaux avantages :
- Sécurité renforcée : Pas besoin d’adresse IP publique pour les VM, réduisant les risques d’attaques.
- Connexion fluide : Accès RDP/SSH via un navigateur HTML5 directement dans le portail Azure.
- Gestion simplifiée : Point d’accès unique pour toutes les VM dans un réseau virtuel donné.
- Élimination des logiciels tiers : Aucun client ou agent spécifique n’est requis.
- Traçabilité et conformité : Suivi complet des connexions administratives.
—
Mise en place technique
Étape 1 : Préparer l’environnement
- Créer un réseau virtuel :
- Accédez au portail Azure et créez un réseau virtuel avec un sous-réseau nommé obligatoirement AzureBastionSubnet.
- Le sous-réseau doit avoir un préfixe d’adresse /26 ou plus grand (par exemple, 10.0.0.0/26).
- Configurer le groupe de ressources :
– Regroupez vos ressources associées (réseau virtuel, IP publique, Bastion) dans un même groupe de ressources pour une gestion simplifiée.
—
Étape 2 : Déployer Azure Bastion
- Créer une ressource Bastion :
- Dans le portail Azure, recherchez « Bastion » dans la barre de recherche.
- Cliquez sur « Créer » et configurez les paramètres :
- – Nom : Donnez un nom unique à votre instance Bastion.
- – Région : Choisissez la région où se trouve votre réseau virtuel.
- – Réseau virtuel : Sélectionnez le réseau contenant le sous-réseau AzureBastionSubnet.
- Adresse IP publique : Créez une nouvelle adresse IP publique ou sélectionnez-en une existante.
- SKU : Choisissez entre « Basic » et « Standard » selon vos besoins.
- Lancer le déploiement :
- Cliquez sur « Vérifier + créer », puis sur « Créer ».
- Attendez environ 5 à 10 minutes pour que l’instance Bastion soit opérationnelle.
—
Étape 3 : Connecter une VM via Bastion
- Accédez à la VM cible dans le portail Azure.
- Cliquez sur « Connecter », puis sélectionnez « Bastion ».
- Fournissez les informations d’identification de la VM (nom d’utilisateur et mot de passe ou clé SSH).
- Cliquez sur « Connecter » pour ouvrir une session directement dans votre navigateur.
—
Exploitation technique courante
Surveillance et gestion
- Supervision des connexions :
- Consultez les journaux d’activité dans le portail Azure pour suivre les connexions RDP/SSH via Bastion.
- Intégrez avec Azure Monitor pour configurer des alertes basées sur l’activité.
- Mise à jour et montée en charge :
- Si vous utilisez le SKU « Basic », envisagez une mise à niveau vers « Standard » pour bénéficier de fonctionnalités avancées comme plusieurs instances et zones de disponibilité.
- Ajustez la configuration du sous-réseau si vous devez accueillir plus de connexions simultanées.
- Automatisation avec Azure CLI ou PowerShell :
- Utilisez des scripts pour automatiser le déploiement ou la suppression de Bastion selon vos besoins opérationnels.
- Exemple PowerShell pour créer une instance Bastion :
- New-AzBastion -ResourceGroupName « TestRG » -Name « MyBastion » PublicIpAddressName « MyPublicIP » -VirtualNetworkName « MyVNet » Location « EastUS » -Sku Basic
- Planification dynamique avec Azure Automation :
- Activez ou désactivez automatiquement Bastion en fonction des plages horaires pour réduire les coûts.
—
Bonnes pratiques
- Sécurité renforcée :
- Activez l’authentification multifacteur (MFA) pour accéder au portail Azure.
- Limitez l’accès au sous-réseau AzureBastionSubnet en configurant des règles NSG (Network Security Group).
- Optimisation des coûts :
- Supprimez les instances Bastion inutilisées après utilisation (surtout en environnement de test).
- Planifiez des horaires spécifiques pour activer/désactiver Bastion.
- Surveillance proactive :
- Configurez Azure Policy pour garantir que toutes les connexions administratives passent par Bastion.
- Utilisez Microsoft Defender for Cloud pour surveiller les menaces potentielles liées aux accès administratifs.
- Conformité et auditabilité :
- Intégrez avec Azure Log Analytics pour conserver un historique détaillé des connexions administratives.
En maîtrisant ces étapes, vous serez capable d’exploiter pleinement Azure Bastion pour sécuriser vos environnements cloud tout en simplifiant l’administration distante de vos ressources virtuelles.
