Qu’est-ce qu’Azure Bastion ?What is Azure Bastion? (Préversion)(Preview)

Le service Azure Bastion est un nouveau service PaaS complètement managé par la plateforme que vous provisionnez au sein de votre réseau virtuel.The Azure Bastion service is a new fully platform-managed PaaS service that you provision inside your virtual network. Il fournit une connectivité RDP/SSH sécurisée et fluide à vos machines virtuelles directement dans le Portail Azure via SSL.It provides secure and seamless RDP/SSH connectivity to your virtual machines directly in the Azure portal over SSL. Lorsque vous vous connectez via Azure Bastion, vos machines virtuelles n’ont pas besoin d’une adresse IP publique.When you connect via Azure Bastion, your virtual machines do not need a public IP address.

Bastion fournit une connectivité RDP et SSH sécurisée à toutes les machines virtuelles du réseau virtuel dans lequel il est fourni.Bastion provides secure RDP and SSH connectivity to all VMs in the virtual network in which it is provisioned. Azure Bastion protège vos machines virtuelles contre l’exposition des ports RDP/SSH au monde extérieur, tout en fournissant un accès sécurisé à l’aide de RDP/SSH.Using Azure Bastion protects your virtual machines from exposing RDP/SSH ports to outside world while still providing secure access using RDP/SSH. Avec Azure Bastion, vous vous connectez à la machine virtuelle directement depuis le Portail Azure.With Azure Bastion, you connect to the virtual machine directly from the Azure portal. Vous n’avez pas besoin d’un client, d’un agent ou d’un logiciel supplémentaire.You don't need an additional client, agent, or piece of software.

Important

Cette préversion publique est fournie sans contrat de niveau de service et ne doit pas être utilisée pour les charges de travail de production.This public preview is provided without a service level agreement and should not be used for production workloads. Certaines fonctionnalités peuvent ne pas être prises en charge, disposer de capacités limitées ou ne pas être disponibles dans tous les emplacements Azure.Certain features may not be supported, may have constrained capabilities, or may not be available in all Azure locations. Consultez les Conditions d’utilisation supplémentaires des préversions de Microsoft Azure.See the Supplemental Terms of Use for Microsoft Azure Previews for details.

ArchitectureArchitecture

Azure Bastion est déployé dans votre réseau virtuel et, une fois déployé, il fournit l’expérience RDP/SSH sécurisée pour toutes les machines virtuelles de votre réseau virtuel.Azure Bastion is deployed in your virtual network and, once deployed, it provides the secure RDP/SSH experience for all the virtual machines in your virtual network. Une fois que vous avez provisionné le service Azure Bastion dans votre réseau virtuel, l’expérience RDP/SSH est disponible pour toutes vos machines virtuelles sur le même réseau virtuel.Once you provision an Azure Bastion service in your virtual network, the RDP/SSH experience is available to all your VMs in the same virtual network. Le déploiement est effectué par réseau virtuel et non par abonnement/compte ou machine virtuelle.The deployment is per virtual network, not per subscription/account or virtual machine.

RDP et SSH font partie des moyens fondamentaux par lesquels vous pouvez vous connecter à vos charges de travail exécutées dans Azure.RDP and SSH are some of the fundamental means through which you can connect to your workloads running in Azure. L’exposition des ports RDP/SSH sur Internet est déconseillée car considérée comme une surface de menace importante.Exposing RDP/SSH ports over the Internet isn't desired and is seen as a significant threat surface. Cela est surtout dû aux vulnérabilités du protocole.This is often due to protocol vulnerabilities. Pour contenir cette surface de menace, vous pouvez déployer des hôtes Bastion (également appelés serveurs de saut) du côté public de votre réseau périphérique.To contain this threat surface, you can deploy bastion hosts (also known as jump-servers) at the public side of your perimeter network. Les serveurs hôte Bastion sont conçus et configurés pour faire face aux attaques.Bastion host servers are designed and configured to withstand attacks. Les serveurs Bastion fournissent également une connectivité RDP et SSH aux charges de travail situées derrière le bastion, ainsi qu’à l’intérieur du réseau.Bastion servers also provide RDP and SSH connectivity to the workloads sitting behind the bastion, as well as further inside the network.

architecture

Cette figure représente l’architecture d’un déploiement Azure Bastion.This figure shows the architecture of an Azure Bastion deployment. Dans ce diagramme :In this diagram:

  • L’hôte Bastion est déployé dans le réseau virtuel.The Bastion host is deployed in the virtual network.
  • L’utilisateur se connecte au Portail Azure à l’aide de n’importe quel navigateur HTML5.The user connects to the Azure portal using any HTML5 browser.
  • L’utilisateur sélectionne la machine virtuelle à laquelle se connecter.The user selects the virtual machine to connect to.
  • D’un simple clic, la session RDP/SSH s’ouvre dans le navigateur.With a single click, the RDP/SSH session opens in the browser.
  • Aucune adresse IP publique n’est requise sur la machine virtuelle Azure.No public IP is required on the Azure VM.

Fonctionnalités clésKey features

Les fonctionnalités suivantes sont disponibles en préversion publique :The following features are available to try during public preview:

  • RDP et SSH directement dans le Portail Azure : Vous pouvez accéder directement à la session RDP et SSH directement dans le Portail Azure en un clic.RDP and SSH directly in Azure portal: You can directly get to the RDP and SSH session directly in the Azure portal using a single click seamless experience.
  • Session à distance sur SSL et traversée de pare-feu pour RDP/SSH : Azure Bastion utilise un client web basé sur HTML5 qui est automatiquement diffusé en continu sur votre appareil local de sorte que vous obtenez votre session RDP/SSH via SSL sur le port 443 ce qui vous permet de traverser les pare-feu d’entreprise en toute sécurité.Remote Session over SSL and firewall traversal for RDP/SSH: Azure Bastion uses an HTML5 based web client that is automatically streamed to your local device, so that you get your RDP/SSH session over SSL on port 443 enabling you to traverse corporate firewalls securely.
  • Aucune adresse IP publique n’est requise sur la machine virtuelle Azure : Azure Bastion ouvre la connexion RDP/SSH à votre machine virtuelle Azure en utilisant une adresse IP privée sur votre machine virtuelle.No Public IP required on the Azure VM: Azure Bastion opens the RDP/SSH connection to your Azure virtual machine using private IP on your VM. Vous n’avez pas besoin d’une adresse IP publique sur votre machine virtuelle.You don't need a public IP on your virtual machine.
  • Gestion aisée des groupes de sécurité réseau : Azure Bastion est un service PaaS de plateforme entièrement géré d’Azure, renforcé en interne pour vous fournir une connectivité RDP/SSH sécurisée.No hassle of managing NSGs: Azure Bastion is a fully managed platform PaaS service from Azure that is hardened internally to provide you secure RDP/SSH connectivity. Vous n’avez pas besoin d’appliquer de groupes de sécurité réseau sur le sous-réseau Azure Bastion.You don't need to apply any NSGs on Azure Bastion subnet. Comme Azure Bastion se connecte à vos machines virtuelles par le biais d’une adresse IP privée, vous pouvez configurer vos groupes de sécurité réseau pour autoriser RDP/SSH depuis Azure Bastion uniquement.Because Azure Bastion connects to your virtual machines over private IP, you can configure your NSGs to allow RDP/SSH from Azure Bastion only. Vous n’avez plus à gérer les groupes de sécurité réseau chaque fois que vous devez vous connecter de manière sécurisée à vos machines virtuelles.This removes the hassle of managing NSGs each time you need to securely connect to your virtual machines.
  • Protection contre l’analyse des ports : Parce que vous n’avez pas besoin d’exposer vos machines virtuelles à l’Internet public, celles-ci sont protégées contre l’analyse des ports par des utilisateurs malveillants situés en dehors de votre réseau virtuel.Protection against port scanning: Because you do not need to expose your virtual machines to public Internet, your VMs are protected against port scanning by rogue and malicious users located outside your virtual network.
  • Protégez-vous contre les exploits du jour zéro. Renforcement de la sécurité dans un seul endroit : Azure Bastion est un service PaaS complètement managé par la plateforme.Protect against zero-day exploits. Hardening in one place only: Azure Bastion is a fully platform-managed PaaS service. Comme il se trouve au périmètre de votre réseau virtuel, vous n’avez pas besoin de vous soucier du renforcement de la sécurité de chacune des machines virtuelles de votre réseau virtuel.Because it sits at the perimeter of your virtual network, you don’t need to worry about hardening each of the virtual machines in your virtual network. La plateforme Azure protège contre les exploits du jour zéro en assurant une sécurité renforcée permanente et à jour pour Azure Bastion.The Azure platform protects against zero-day exploits by keeping the Azure Bastion hardened and always up-to-date for you.

Forum Aux QuestionsFAQ

Comment participer à la préversion publique ?How do I participate in the public preview?

Vous devez vous intégrer pour pouvoir participer à la préversion publique.You need to onboard in order to participate in the public preview. Suivez les étapes décrites dans cet article pour créer une ressource Azure Bastion.Use the steps in this article to create a new Azure Bastion resource. Actuellement, quand vous accédez à ce service et l’utilisez, vous devez utiliser le portail Azure en préversion à la place du portail Azure standard.Currently, when accessing and using this service, you must use the Azure portal - preview instead of the regular Azure portal.

Quelles sont les régions disponibles pendant la préversion ?Which regions are available during preview?

Vous pouvez déployer et utiliser la ressource Bastion dans l’une de ces régions en préversion par le biais du lien vers le portail Azure en préversion.You can deploy and use the Bastion resource in any of these preview regions via the Azure portal - preview link.

  • USA OuestWest US
  • USA EstEast US
  • Europe OuestWest Europe
  • États-Unis - partie centrale méridionaleSouth Central US
  • Australie EstAustralia East
  • Japon EstJapan East

Je ne parviens pas à trouver la ressource Bastion dans le portail Azure.I can't find the Bastion resource in the Azure portal. Que dois-je faire ?What should I do?

Veillez à utiliser le lien vers le portail Azure en préversion, et non le portail Azure standard.Make sure that you are using the Azure portal - preview link, not the regular Azure portal.

Ai-je besoin d’une adresse IP publique sur ma machine virtuelle ?Do I need a public IP on my virtual machine?

Vous n’avez PAS besoin d’une adresse IP publique sur la machine virtuelle Azure à laquelle vous êtes connecté avec le service Azure Bastion.You do NOT need a public IP on the Azure Virtual Machine that you are connecting to with the Azure Bastion service. Le service Bastion va ouvrir la session/connexion RDP/SSH à votre machine virtuelle sur l’adresse IP privée de celle-ci, au sein de votre réseau virtuel.The Bastion service will open the RDP/SSH session/connection to your virtual machine over the private IP of your virtual machine, within your virtual network.

Ai-je besoin d’un client RDP ou SSH ?Do I need an RDP or SSH client?

Vous n’avez pas besoin d’un client RDP ou SSH pour accéder par RDP/SSH à votre machine virtuelle Azure dans votre portail Azure.You do not need an RDP or SSH client to access the RDP/SSH to your Azure virtual machine in your Azure portal. Utilisez le lien vers le portail Azure en préversion pour accéder à la préversion du portail.Use the Azure portal - preview link to access the preview flight of the portal. Cela vous permet d’obtenir un accès RDP/SSH à votre machine virtuelle directement dans le navigateur.This will let you get RDP/SSH access to your virtual machine directly in the browser.

Ai-je besoin d’un agent exécuté sur la machine virtuelle Azure ?Do I need an agent running in the Azure virtual machine?

Vous n’avez pas besoin d’installer un agent ou un logiciel sur votre navigateur ou sur votre machine virtuelle Azure.You don't need to install an agent or any software on your browser or on your Azure virtual machine. Le service Bastion est sans agent et ne nécessite aucun logiciel supplémentaire pour RDP/SSH.The Bastion service is agentless and does not require any additional software for RDP/SSH.

Quels sont les navigateurs pris en charge ?Which browsers are supported?

Pendant la préversion publique, utilisez le navigateur Microsoft Edge ou Google Chrome sur Windows.During the public preview, use the Microsoft Edge browser or Google Chrome on Windows. Pour Apple Mac, utilisez le navigateur Google Chrome.For Apple Mac, use Google Chrome browser. Microsoft Edge Chromium est également pris en charge sur Windows et Mac, respectivement.Microsoft Edge Chromium is also supported on both Windows and Mac, respectively.

Certains rôles sont-ils obligatoires pour accéder à une machine virtuelle ?Are any roles required to access a virtual machine?

Pour établir une connexion, les rôles suivants sont nécessaires :In order to make a connection, the following roles are required:

  • Rôle de lecteur sur la machine virtuelleReader role on the virtual machine
  • Rôle de lecteur sur la carte réseau avec adresse IP privée de la machine virtuelleReader role on the NIC with private IP of the virtual machine
  • Rôle de lecteur sur la ressource Azure BastionReader role on the Azure Bastion resource

Tarifs : serai-je facturé pour ma participation à la préversion ?Pricing - Will I be billed for participating in the preview?

Vous serez uniquement facturé partiellement pendant la préversion publique.You will only be billed partially during public preview. Toutefois, aucun contrat de niveau de service n’est associé à votre déploiement.However, there is no SLA attached to your deployment. Pour plus d’informations, consultez la page relative aux prix appliqués.For more information, see the pricing page.

Pourquoi le message d’erreur « Votre session a expiré » s’affiche avant le démarrage de la session Bastion ?Why do I get "Your session has expired" error message before the Bastion session starts?

Une session ne doit être lancée qu’à partir du portail Azure.A session should be initiated only from the Azure portal. Connectez-vous au portail Azure, puis redémarrez votre session.Sign in to the Azure portal and begin your session again. Si vous accédez à l’URL directement à partir d’une autre session de navigateur ou d’un autre onglet, cette erreur est normale.If you go to the URL directly from another browser session or tab, this error is expected. Cela permet de sécuriser votre session, en évitant qu’elle soit accessible en dehors du portail Azure.It helps ensure that your session is more secure and that the session can be accessed only through the Azure portal.

Étapes suivantesNext steps