1.23 Azure Bastion

 Présentation de la technologie

Azure Bastion est un service PaaS entièrement managé qui offre un accès sécurisé à vos machines virtuelles (VM) via les protocoles RDP (Remote Desktop Protocol) et SSH (Secure Shell) sans nécessiter d’adresse IP publique sur les VM. Il permet de se connecter directement depuis le portail Azure via TLS (port 443), éliminant ainsi les risques associés à l’exposition des ports RDP/SSH sur Internet. Azure Bastion est conçu pour renforcer la sécurité des environnements cloud en centralisant les connexions d’administration à distance.

 Principaux avantages :

• Sécurité renforcée : Pas besoin d’adresse IP publique pour les VM, réduisant les risques d’attaques.
• Connexion fluide : Accès RDP/SSH via un navigateur HTML5 directement dans le portail Azure.
• Gestion simplifiée : Point d’accès unique pour toutes les VM dans un réseau virtuel donné.
• Élimination des logiciels tiers : Aucun client ou agent spécifique n’est requis.
• Traçabilité et conformité : Suivi complet des connexions administratives.

—

 Mise en place technique

 Étape 1 : Préparer l’environnement

1. Créer un réseau virtuel :

•    Accédez au portail Azure et créez un réseau virtuel avec un sous-réseau nommé obligatoirement AzureBastionSubnet.
•    Le sous-réseau doit avoir un préfixe d’adresse /26 ou plus grand (par exemple, 10.0.0.0/26).

2. Configurer le groupe de ressources :

   – Regroupez vos ressources associées (réseau virtuel, IP publique, Bastion) dans un même groupe de ressources pour une gestion simplifiée.

—

 Étape 2 : Déployer Azure Bastion

1. Créer une ressource Bastion :

•   Dans le portail Azure, recherchez « Bastion » dans la barre de recherche.
•   Cliquez sur « Créer » et configurez les paramètres :
•      – Nom : Donnez un nom unique à votre instance Bastion.
•      – Région : Choisissez la région où se trouve votre réseau virtuel.
•      – Réseau virtuel : Sélectionnez le réseau contenant le sous-réseau AzureBastionSubnet.
•      Adresse IP publique : Créez une nouvelle adresse IP publique ou sélectionnez-en une existante.
•      SKU : Choisissez entre « Basic » et « Standard » selon vos besoins.

2. Lancer le déploiement :

•    Cliquez sur « Vérifier + créer », puis sur « Créer ».
•    Attendez environ 5 à 10 minutes pour que l’instance Bastion soit opérationnelle.

—

 Étape 3 : Connecter une VM via Bastion

1. Accédez à la VM cible dans le portail Azure.
2. Cliquez sur « Connecter », puis sélectionnez « Bastion ».
3. Fournissez les informations d’identification de la VM (nom d’utilisateur et mot de passe ou clé SSH).
4. Cliquez sur « Connecter » pour ouvrir une session directement dans votre navigateur.

—

 Exploitation technique courante

 Surveillance et gestion

1. Supervision des connexions :

•    Consultez les journaux d’activité dans le portail Azure pour suivre les connexions RDP/SSH via Bastion.
•    Intégrez avec Azure Monitor pour configurer des alertes basées sur l’activité.

2. Mise à jour et montée en charge :

•    Si vous utilisez le SKU « Basic », envisagez une mise à niveau vers « Standard » pour bénéficier de fonctionnalités avancées comme plusieurs instances et zones de disponibilité.
•    Ajustez la configuration du sous-réseau si vous devez accueillir plus de connexions simultanées.

3. Automatisation avec Azure CLI ou PowerShell :

•    Utilisez des scripts pour automatiser le déploiement ou la suppression de Bastion selon vos besoins opérationnels.
•    Exemple PowerShell pour créer une instance Bastion :

•    New-AzBastion -ResourceGroupName « TestRG » -Name « MyBastion »  PublicIpAddressName « MyPublicIP » -VirtualNetworkName « MyVNet » Location « EastUS » -Sku Basic

4. Planification dynamique avec Azure Automation :

•    Activez ou désactivez automatiquement Bastion en fonction des plages horaires pour réduire les coûts.

—

 Bonnes pratiques

1. Sécurité renforcée :

•    Activez l’authentification multifacteur (MFA) pour accéder au portail Azure.
•    Limitez l’accès au sous-réseau AzureBastionSubnet en configurant des règles NSG (Network Security Group).

2. Optimisation des coûts :

•    Supprimez les instances Bastion inutilisées après utilisation (surtout en environnement de test).
•    Planifiez des horaires spécifiques pour activer/désactiver Bastion.

3. Surveillance proactive :

•    Configurez Azure Policy pour garantir que toutes les connexions administratives passent par Bastion.
•    Utilisez Microsoft Defender for Cloud pour surveiller les menaces potentielles liées aux accès administratifs.

4. Conformité et auditabilité :

•    Intégrez avec Azure Log Analytics pour conserver un historique détaillé des connexions administratives.

En maîtrisant ces étapes, vous serez capable d’exploiter pleinement Azure Bastion pour sécuriser vos environnements cloud tout en simplifiant l’administration distante de vos ressources virtuelles.