Qu’est-ce qu’Azure Bastion ?
Il est essentiel de pouvoir administrer et gérer de manière sécurisée les machines virtuelles distantes hébergées. Pour commencer, nous allons définir ce qu’est la gestion à distance sécurisée, puis nous passerons en revue les fonctionnalités d’Azure Bastion. Cette vue d’ensemble vous permet de déterminer si Azure Bastion est adapté à vos besoins.
Qu’est-ce que la gestion à distance sécurisée ?
La gestion à distance sécurisée est la capacité à se connecter à une ressource distante sans exposer cette ressource à des risques de sécurité. Ce type de connexion peut parfois être difficile, en particulier si la ressource est accessible sur Internet.
Lorsque les administrateurs se connectent à des machines virtuelles distantes, ils utilisent généralement le protocole RDP ou SSH pour atteindre leurs objectifs administratifs. Le problème est que, pour vous connecter à une machine virtuelle hébergée, vous devez vous connecter à son adresse IP publique. Toutefois, l’exposition des ports IP utilisés par les protocoles RDP et SSH (3389 et 22) à Internet n’est pas du tout souhaitable, car elle présente des risques de sécurité significatifs.
Définition d’Azure Bastion
Azure Bastion est une plateforme en tant que service (PaaS) complètement managée qui permet de fournir un accès sécurisé et fluide à vos machines virtuelles Azure, directement par le biais du portail Azure.
Azure Bastion :
- Est conçu et configuré pour résister aux attaques.
- Fournit une connectivité RDP et SSH à vos charges de travail Azure derrière le bastion.
Le tableau suivant décrit les fonctionnalités disponibles après le déploiement d’Azure Bastion.
| Avantage | Description |
|---|---|
| RDP et SSH par le biais du portail Azure | Vous pouvez accéder directement à la session RDP et SSH directement dans le portail Azure via une expérience fluide en un seul clic. |
| Session à distance sur TLS et traversée de pare-feu pour RDP/SSH | Azure Bastion utilise un client web basé sur HTML5 qui est automatiquement diffusé sur votre appareil local. Votre session RDP/SSH utilise TLS sur le port 443. Le trafic peut ainsi traverser les pare-feu de façon plus sécurisée. Bastion prend en charge TLS 1.2 et versions ultérieures. Les versions antérieures de TLS ne sont pas prises en charge. |
| Aucune adresse IP publique n’est nécessaire sur la machine virtuelle Azure. | Azure Bastion ouvre la connexion RDP/SSH à votre machine virtuelle Azure en utilisant l’adresse IP privée sur votre machine virtuelle. Vous n’avez pas besoin d’une adresse IP publique sur votre machine virtuelle. |
| Aucune contrainte liée à la gestion des groupes de sécurité réseau (NSG) | Vous n’avez pas besoin d’appliquer des groupes de sécurité réseau sur le sous-réseau Azure Bastion. Comme Azure Bastion se connecte à vos machines virtuelles par le biais d’une adresse IP privée, vous pouvez configurer vos groupes de sécurité réseau pour autoriser RDP/SSH depuis Azure Bastion uniquement. Vous n’avez plus à gérer les groupes de sécurité réseau chaque fois que vous devez vous connecter de manière sécurisée à vos machines virtuelles. |
| Vous n’avez pas besoin de gérer un hôte Bastion distinct sur une machine virtuelle | Azure Bastion est un service PaaS de plateforme entièrement géré d’Azure, renforcé en interne pour vous fournir une connectivité RDP/SSH sécurisée. |
| Protection contre l’analyse des ports | Vos machines virtuelles sont protégées contre l’analyse des ports par des utilisateurs malveillants, car vous n’avez pas besoin de les exposer à Internet. |
| Renforcement de la sécurité à un seul endroit | Azure Bastion résidant au périmètre de votre réseau virtuel, vous n’avez pas à vous soucier du durcissement de la sécurité de chacune des machines virtuelles de votre réseau virtuel. |
| Protection contre les exploits zero-day | La plateforme Azure protège contre les exploits du jour zéro en assurant une sécurité durcie permanente et à jour pour Azure Bastion. |
Comment éviter l’exposition des ports de gestion à distance ?
En implémentant Azure Bastion, vous pouvez gérer les machines virtuelles Azure au sein d’un réseau virtuel Azure configuré à l’aide de RDP ou SSH, sans avoir à exposer ces ports de gestion sur l’Internet public. En utilisant Azure Bastion, vous pouvez :
- Vous connecter facilement à vos machines virtuelles Azure. Connectez vos sessions RDP et SSH directement dans le portail Azure.
- Éviter d’exposer des ports de gestion à Internet. Connectez-vous à vos machines virtuelles Azure et évitez l’exposition à l’Internet public en utilisant SSH et RDP avec des adresses IP privées uniquement.
- Éviter une reconfiguration complète de votre infrastructure réseau existante. Intégrez et traversez les pare-feu et les périmètres de sécurité existants à l’aide d’un client web moderne basé sur HTML5 via le protocole TLS sur le port 443.
- Simplifier la connexion. Utilisez vos clés SSH pour l’authentification lors de la connexion à vos machines virtuelles Azure.
Conseil
Vous pouvez enregistrer toutes vos clés privées SSH dans Azure Key Vault pour prendre en charge le stockage de clés centralisé.