Qu’est-ce qu’Azure Bastion ?

Azure Bastion est un service que vous déployez et qui vous permet de vous connecter à une machine virtuelle à l’aide de votre navigateur et du portail Azure. Le service Azure Bastion est un service PaaS complètement managé par la plateforme que vous provisionnez au sein de votre réseau virtuel. Il fournit une connectivité RDP/SSH sécurisée et fluide à vos machines virtuelles, directement à partir du portail Azure via TLS. Quand vous vous connectez via Azure Bastion, vos machines virtuelles n’ont pas besoin d’adresse IP publique, d’agent ou de logiciel client spécial.

Bastion fournit une connectivité RDP et SSH sécurisée à toutes les machines virtuelles du réseau virtuel dans lequel il est provisionné. Azure Bastion protège vos machines virtuelles contre l’exposition des ports RDP/SSH au monde extérieur, tout en fournissant un accès sécurisé à l’aide de RDP/SSH.

Diagram showing Azure Bastion architecture.

Principaux avantages

Avantage Description
RDP et SSH par le biais du portail Azure Vous pouvez accéder directement à la session RDP et SSH directement dans le portail Azure via une expérience fluide en un seul clic.
Session à distance sur TLS et traversée de pare-feu pour RDP/SSH Azure Bastion utilise un client web basé sur HTML5 qui est automatiquement diffusé sur votre appareil local. Votre session RDP/SSH utilise TLS sur le port 443. Le trafic peut ainsi traverser les pare-feu de façon plus sécurisée.
Aucune adresse IP publique n’est nécessaire sur la machine virtuelle Azure. Azure Bastion ouvre la connexion RDP/SSH à votre machine virtuelle Azure en utilisant l’adresse IP privée sur votre machine virtuelle. Vous n’avez pas besoin d’une adresse IP publique sur votre machine virtuelle.
Aucune contrainte liée à la gestion des groupes de sécurité réseau (NSG) Vous n’avez pas besoin d’appliquer des groupes de sécurité réseau sur le sous-réseau Azure Bastion. Comme Azure Bastion se connecte à vos machines virtuelles par le biais d’une adresse IP privée, vous pouvez configurer vos groupes de sécurité réseau pour autoriser RDP/SSH depuis Azure Bastion uniquement. Vous n’avez plus à gérer les groupes de sécurité réseau chaque fois que vous devez vous connecter de manière sécurisée à vos machines virtuelles. Pour plus d’informations sur les groupes de sécurité réseau, consultez Groupes de sécurité réseau.
Vous n’avez pas besoin de gérer un hôte Bastion distinct sur une machine virtuelle Azure Bastion est un service PaaS de plateforme entièrement géré d’Azure, renforcé en interne pour vous fournir une connectivité RDP/SSH sécurisée.
Protection contre l’analyse des ports Vos machines virtuelles sont protégées contre l’analyse des ports par des utilisateurs malveillants, car vous n’avez pas besoin de les exposer à Internet.
Renforcement de la sécurité à un seul endroit Azure Bastion résidant au périmètre de votre réseau virtuel, vous n’avez pas à vous soucier du durcissement de la sécurité de chacune des machines virtuelles de votre réseau virtuel.
Protection contre les exploits zero-day La plateforme Azure protège contre les exploits du jour zéro en assurant une sécurité durcie permanente et à jour pour Azure Bastion.

Références (SKU)

Azure Bastion présente deux références SKU disponibles : de base et standard. Pour plus d’informations, notamment sur la mise à niveau d’une référence SKU, consultez l’article Paramètres de configuration.

La table suivante présente les fonctionnalités et les références SKU correspondantes.

Fonctionnalité Référence SKU De base Référence SKU standard
Se connecter pour cibler les machines virtuelles dans les réseaux virtuels appairés Disponible Disponible
Accéder aux clés privées des machines virtuelles Linux dans Azure Key Vault (AKV) Disponible Disponible
Se connecter à une machine virtuelle Linux avec SSH Disponible Disponible
Se connecter à une machine virtuelle Windows avec RDP Disponible Disponible
Sortie audio de la machine virtuelle Disponible Disponible
Mise à l’échelle de l’hôte N/A Disponible
Spécifier le port d’entrée personnalisé N/A Disponible
Se connecter à une machine virtuelle Linux avec RDP N/A Disponible
Se connecter à une machine virtuelle Windows avec SSH N/A Disponible
Charger ou télécharger des fichiers N/A Disponible
Désactiver le copier/coller N/A Disponible

Architecture

Azure Bastion est déployé sur un réseau virtuel et prend en charge l’appairage de réseaux virtuels. Plus précisément, Azure Bastion gère la connectivité RDP/SSH aux machines virtuelles créées dans les réseaux virtuels locaux ou homologués.

RDP et SSH font partie des moyens fondamentaux par lesquels vous pouvez vous connecter à vos charges de travail exécutées dans Azure. L’exposition des ports RDP/SSH sur Internet est déconseillée car considérée comme une surface de menace importante. Cela est surtout dû aux vulnérabilités du protocole. Pour contenir cette surface de menace, vous pouvez déployer des hôtes Bastion (également appelés serveurs de saut) du côté public de votre réseau périphérique. Les serveurs hôte Bastion sont conçus et configurés pour faire face aux attaques. Les serveurs Bastion fournissent également une connectivité RDP et SSH aux charges de travail situées derrière le bastion, ainsi qu’à l’intérieur du réseau.

Diagram showing the Azure Bastion architecture.

Cette figure représente l’architecture d’un déploiement Azure Bastion. Dans ce diagramme :

  • L’hôte Bastion est déployé dans le réseau virtuel qui contient le sous-réseau AzureBastionSubnet avec un préfixe minimum /26.
  • L’utilisateur se connecte au portail Azure à l’aide de n’importe quel navigateur HTML5.
  • L’utilisateur sélectionne la machine virtuelle à laquelle se connecter.
  • D’un simple clic, la session RDP/SSH s’ouvre dans le navigateur.
  • Aucune adresse IP publique n’est requise sur la machine virtuelle Azure.

Mise à l’échelle de l’hôte

Azure Bastion prend en charge la mise à l’échelle manuelle des hôtes. Vous pouvez configurer le nombre d’instances d’hôte (unités d’échelle) afin de gérer le nombre de connexions RDP/SSH simultanées qu’Azure Bastion peut prendre en charge. Le fait d’augmenter le nombre d’instances de l’hôte permet à Azure Bastion de gérer davantage de sessions simultanées. La diminution du nombre d’instances réduit le nombre de sessions simultanées prises en charge. Azure Bastion prend en charge jusqu’à 50 instances d’hôte. Cette fonctionnalité est disponible uniquement pour la référence SKU Azure Bastion standard.

Pour plus d’informations, consultez l’article Paramètres de configuration.

Tarifs

Le tarif d’Azure Bastion implique une combinaison de tarifs horaires basés sur la référence SKU, les unités d’échelle et les taux de transfert de données. Pour des informations sur les prix, consultez la page Tarification .

Nouveautés

Abonnez-vous au flux RSS, puis consultez les dernières mises à jour des fonctionnalités Azure Bastion dans la page Mises à jour Azure.

FAQ Bastion

Pour accéder aux questions fréquentes (FAQ), consultez la FAQBastion.

Étapes suivantes