À quoi fait référence Azure Bastion Subnet ?
Élément | Description |
Technologie | Service PaaS managé pour accès RDP/SSH sécurisé aux VM Azure via le navigateur |
Fonction principale | Fournir un accès sécurisé sans exposer les VM à Internet public |
Sous-réseau dédié | Nécessite un sous-réseau nommé AzureBastionSubnet dans le VNet cible |
Taille du sous-réseau | Doit être au minimum /26 ou plus grand (/25, /24, etc.) |
Isolation | Le sous-réseau ne doit contenir aucune autre ressource |
Scalabilité | La taille du sous-réseau conditionne le nombre d’instances Bastion possibles (mise à l’échelle) |
Gestion des NSG | Pas obligatoire, mais possible avec règles spécifiques si besoin de contrôle granulaire |
Utilisation | Accès à toutes les VM du VNet (ou réseaux pairés) sans IP publique sur les VM |
Prérequis techniques et compétences
Prérequis technique | Détail |
Abonnement Azure | Obligatoire |
Un réseau virtuel (VNet) | Déjà existant ou à créer |
Sous-réseau dédié | Nom : AzureBastionSubnet, taille /26 ou plus grand |
VM cible | Présente dans le VNet |
Rôles Azure | Lecteur (Reader) sur la VM, la carte réseau (NIC) et la ressource Bastion |
Ports VM | 3389 (Windows), 22 (Linux) |
Groupe de ressources | Bastion et le subnet doivent être dans le même groupe |
Aucune autre ressource dans subnet | Le subnet AzureBastionSubnet doit être réservé à Bastion |
Compétence requise | Détail |
———————————— | —————————————————————————————- |
Administration Azure | Savoir gérer réseaux, VM, ressources, rôles RBAC |
Notions de sécurité réseau | Comprendre la segmentation, les NSG, le principe du moindre privilège |
Utilisation du portail Azure | Navigation, création de ressources, gestion des paramètres avancés |
Scripts PowerShell/Azure CLI | (Optionnel) Pour déploiements automatisés ou avancés |
Niveau de difficulté
Étape / Compétence | Difficulté | Commentaire |
Création du sous-réseau dédié | ★☆☆☆☆ | Simple via portail, attention au nom et à la taille du subnet |
Déploiement du Bastion | ★★☆☆☆ | Quelques paramètres à renseigner, guidé dans le portail |
Configuration des accès/roles | ★★☆☆☆ | RBAC à bien vérifier |
Mise à l’échelle et tuning | ★★★☆☆ | Compréhension des besoins, gestion des instances |
Automatisation (CLI/PowerShell) | ★★★★☆ | Demande des compétences scripting et compréhension des options |
Sécurité avancée (NSG, logs, etc) | ★★★☆☆ | Requiert des notions en sécurité réseau Azure |
Présentation de la technologie
Azure Bastion Subnet est un sous-réseau spécifique nécessaire pour déployer Azure Bastion, un service de sécurité qui permet d’accéder aux machines virtuelles (VM) via RDP (Remote Desktop Protocol) et SSH (Secure Shell) sans exposer ces ports sur Internet. Le sous-réseau doit être nommé AzureBastionSubnet et doit respecter certaines configurations pour garantir le bon fonctionnement d’Azure Bastion. Ce service renforce la sécurité en centralisant les connexions d’administration à distance et en éliminant les risques liés à l’exposition des ports RDP/SSH.
Principaux avantages :
- Sécurité accrue : Élimine le besoin d’adresses IP publiques pour les VM, réduisant ainsi la surface d’attaque.
- Accès simplifié : Permet des connexions RDP/SSH directement depuis le portail Azure sans nécessiter de clients externes.
- Gestion centralisée : Facilite l’accès à plusieurs VM dans un réseau virtuel donné.
- Scalabilité : Supporte plusieurs connexions simultanées et peut évoluer selon les besoins.
—
Mise en place technique
Étape 1 : Créer un réseau virtuel
- Connectez-vous au portail Azure.
- Recherchez « Réseaux virtuels » dans la barre de recherche.
- Cliquez sur « Créer ».
- Remplissez les informations nécessaires :
- Nom : Donnez un nom à votre réseau virtuel.
- Groupe de ressources : Choisissez un groupe existant ou créez-en un nouveau.
- Adresse CIDR : Définissez une plage d’adresses (par exemple, 10.0.0.0/16).
- Cliquez sur « Vérifier + créer », puis sur « Créer ».
Étape 2 : Créer le sous-réseau AzureBastionSubnet
- Accédez à votre réseau virtuel nouvellement créé.
- Dans le menu de gauche, cliquez sur « Sous-réseaux ».
- Cliquez sur « + Sous-réseau » pour ajouter un nouveau sous-réseau.
- Remplissez les informations suivantes :
- Nom du sous-réseau : AzureBastionSubnet
- Plage d’adresses : Utilisez une plage suffisamment grande (minimum /26, par exemple 10.0.0.0/26).
- Cliquez sur « Créer » pour ajouter le sous-réseau.
Étape 3 : Configurer Azure Bastion
- Recherchez « Bastion » dans le portail Azure et cliquez sur « Créer ».
- Remplissez les détails :
- Nom : Donnez un nom à votre instance Bastion.
- Région : Sélectionnez la même région que votre réseau virtuel.
- Réseau virtuel : Sélectionnez le réseau contenant AzureBastionSubnet.
- Adresse IP publique : Créez une nouvelle adresse IP publique ou utilisez-en une existante.
- Cliquez sur « Vérifier + créer », puis sur « Créer » pour déployer Azure Bastion.
—
Exploitation technique courante
Surveillance des connexions
- Accédez à votre instance Azure Bastion dans le portail Azure.
- Consultez les journaux d’activité pour suivre les connexions RDP/SSH effectuées via Bastion.
- Configurez des alertes pour être informé des connexions non autorisées ou suspectes.
Gestion des règles NSG (Network Security Group)
- Accédez à votre sous-réseau AzureBastionSubnet.
- Cliquez sur « Groupes de sécurité réseau » dans le menu de gauche.
- Créez ou modifiez un NSG pour contrôler le trafic entrant et sortant :
- Inbound Rules :
- Autoriser TCP port 443 (accès depuis Internet vers l’adresse IP publique de Bastion).
- Autoriser RDP/SSH depuis le sous-réseau AzureBastionSubnet vers les sous-réseaux de vos VM.
- Outbound Rules :
- Autoriser TCP port 443 vers Internet pour les diagnostics.
Connexion aux machines virtuelles
- Accédez à la VM cible dans le portail Azure.
- Cliquez sur « Connecter », puis sélectionnez « Bastion ».
- Entrez vos identifiants et cliquez sur « Connecter » pour établir la connexion.
Maintenance et mise à l’échelle
- Surveillez l’utilisation du sous-réseau AzureBastionSubnet pour évaluer si une mise à l’échelle est nécessaire.
- Si vous prévoyez une augmentation du nombre d’utilisateurs, envisagez d’augmenter la taille du sous-réseau (par exemple, passer de /26 à /25).
—
Bonnes pratiques
- Planification du sous-réseau :
- Assurez-vous que le sous-réseau AzureBastionSubnet est configuré correctement avant de déployer Azure Bastion.
- Sécurité renforcée :
- Utilisez des NSG pour contrôler strictement le trafic vers et depuis AzureBastionSubnet.
- Surveillance proactive :
- Configurez des alertes pour surveiller l’activité des utilisateurs et détecter toute connexion suspecte.
- Tests réguliers :
- Effectuez des tests réguliers de connexion via Bastion pour vous assurer que tout fonctionne comme prévu.
- Documentation et conformité :
- Tenez à jour la documentation concernant la configuration de votre réseau et des règles NSG associées à Azure Bastion.
En suivant ces étapes et bonnes pratiques, vous serez en mesure d’exploiter efficacement Azure Bastion Subnet pour sécuriser l’accès à vos machines virtuelles tout en simplifiant la gestion des connexions administratives dans votre environnement Azure.
