À quoi fait référence Azure Bastion ?
Élément | Description |
Type de service | Service PaaS (Platform as a Service) entièrement managé |
Fonction principale | Fournir un accès sécurisé (RDP/SSH) aux VM Azure via IP privée, sans exposer les ports au public |
Protocoles supportés | RDP, SSH, connexion via TLS (port 443) |
Gestion des accès | Pas besoin d’IP publique ni de client spécifique ; accès via portail Azure ou clients natifs |
Sécurité | Protection contre l’analyse de ports, exploits zero-day, gestion centralisée des accès |
Scénarios d’usage | Accès administrateur aux VM, opérations de maintenance, gestion sécurisée des infrastructures |
Modèles de déploiement | Plusieurs SKU (Développeur, De base, Standard, Premium), support de la haute disponibilité |
Prérequis techniques et compétences nécessaires
Prérequis techniques | Prérequis en compétences |
Abonnement Azure actif | Connaissance du portail Azure |
Réseau virtuel (VNet) configuré | Notions de réseaux virtuels et de sous-réseaux Azure |
Sous-réseau dédié nommé « AzureBastionSubnet » | Compréhension des concepts de sécurité réseau (NSG, RBAC) |
Permissions suffisantes sur les ressources Azure | Gestion des ressources Azure (création, configuration, droits) |
Machines virtuelles cibles dans le même VNet | Administration Windows/Linux (pour accès RDP/SSH) |
Navigateur web compatible HTML5 (pour accès portail) | Notions de sécurité cloud et bonnes pratiques Microsoft Azure |
Niveau de difficulté de la mise en place
Étape / Complexité | Évaluation (★) | Détail |
Création du Bastion | ★☆☆☆☆ | Déploiement simple via le portail Azure, peu de paramètres obligatoires |
Configuration réseau | ★★☆☆☆ | Nécessite de comprendre les sous-réseaux et la sécurité réseau |
Sécurisation et RBAC | ★★★☆☆ | Gestion des droits, activation des logs, bonnes pratiques de sécurité |
Utilisation avancée (SKU, HA) | ★★★★☆ | Choix du SKU, haute dispo, intégration avec d’autres services |
Supervision et diagnostic | ★★★☆☆ | Configuration des logs, alertes, analyse des accès |
Azure Bastion est un service managé de Microsoft permettant d’accéder de façon sécurisée aux machines virtuelles (VM) Azure, qu’elles soient sous Windows ou Linux, via les protocoles RDP (Remote Desktop Protocol) et SSH (Secure Shell), sans avoir besoin d’attribuer une adresse IP publique à chaque VM.
Principes et avantages
Sécurité accrue : Azure Bastion agit comme un point d’entrée unique pour toutes les connexions aux VM, limitant ainsi la surface d’attaque et évitant l’exposition directe des VM sur Internet. Toutes les connexions passent par le Bastion, qui héberge l’unique adresse IP publique nécessaire
Accès simplifié : L’accès aux VM s’effectue directement depuis le portail Azure via un navigateur compatible HTML5, sans nécessiter de logiciel supplémentaire côté client.
Gestion centralisée : Le Bastion permet de gérer les accès à un ensemble de VM connectées au même réseau virtuel (VNet), avec une journalisation centralisée des connexions.
Modes de déploiement
Pour une seule VM : Activation du Bastion directement depuis la fiche de la VM dans le portail Azure.
Pour plusieurs VM : Création d’un Bastion via la section dédiée du portail Azure, puis association au réseau virtuel contenant les VM à protéger. Il est nécessaire de créer un sous-réseau spécifique nommé AzureBastionSubnet
Fonctionnalités principales
Connexion RDP/SSH : Accès aux VM Windows et Linux via RDP ou SSH, avec possibilité de choisir le protocole, le port et la langue du clavier.
Prise en charge native du client : En option, il est possible d’utiliser le client Bureau à distance natif de Windows ou Azure CLI pour établir la connexion, ce qui peut s’avérer plus confortable que l’accès web.
Gestion des sessions : Visualisation en temps réel des sessions actives, avec des métriques sur l’utilisation du Bastion
Tarification
Coût horaire : Le service est facturé à l’heure, en fonction du SKU choisi (« De base » ou « Standard »), auquel s’ajoute le coût du transfert de données sortantes. Le SKU Standard offre davantage de fonctionnalités et la possibilité de dimensionner le nombre d’instances pour supporter plus de connexions simultanées
Recommandations
Suppression des IP publiques : Après la mise en place d’Azure Bastion, il est conseillé de retirer les adresses IP publiques des VM pour renforcer la sécurité.
Configuration réseau : Le sous-réseau dédié AzureBastionSubnet doit être créé avec un masque d’au moins /26.
Limites
Azure Bastion ne prend pas en charge l’accès HTTP/HTTPS pour l’administration d’équipements réseau via interface web (pare-feu, etc.), il est limité à RDP et SSH pour l’accès aux VM
En résumé, Azure Bastion est une solution recommandée pour sécuriser l’accès aux VM Azure sans exposer ces dernières directement à Internet, tout en offrant une expérience d’administration centralisée et simplifiée via le portail Azure.
