Ceux qui me connaissent savent qu’Azure Bastion est un produit que j’apprécie particulièrement dans Azure. J’en ai d’ailleurs déjà parlé à 2 reprises sur le blog durant sa phase de preview et ainsi afin de décrire la manière de le mettre en place et de l’utiliser au sein de votre environnement.
- Présentation de Azure Bastion pour accéder à vos VM Windows ou Linux
- Provisionner votre Azure Bastion automatiquement avec Azure Automation
Rappel de ce qu’est Azure Bastion
Pour résumer : l’intérêt du service Azure Bastion est de pouvoir accéder à vos machines virtuelles Linux ou Windows sur leur port d’administration respectivement 22/TCP pour le SSH ou 3389/TCP pour le Remote Desktop (RDP) directement via le portail Azure. En effet, plutôt que d’ouvrir les ports au niveau de votre virtual network / subnet ainsi que son NSG associé – nous allons utiliser Azure Bastion qui vous permet d’administrer vos VMs directement depuis votre navigateur Internet préféré. 🤓
La mise en place est assez simple, vous devez créer un subnet au sein de votre Virtual Network qui porte le nom AzureBastionSubnet et qui soit au minimum de range /26. Une fois que c’est fait, il ne vous reste alors plus qu’à créer un nouvel objet Azure Bastion directement depuis le portail Azure.
Evidemment, je vais me répéter par rapport aux anciens articles mais cette solution permet de résoudre le problème de l’ouverture des ports (sur Internet ou même sur un réseau LAN). Si Defender for Cloud et Just-In-Time VM Access permettent de pouvoir ouvrir les ports uniquement de manière temporaire – l’avantage d’Azure Bastion c’est qu’il n’y a aucune ouverture de flux à réaliser auprès de votre VNet / NSG.
De plus, l’accès est alors possible depuis le portail Azure ce qui permet d’associer ce mode d’administration à une Conditional Access qui permet de protéger le compte d’administrateur capable d’accéder à nos VMs. Que vous utilisiez Azure Bastion ou une alternative, c’est vraiment une manière d’administrer votre parc informatique qu’il vous faut utiliser pour optimiser votre posture de sécurité. 🛡️
Le problème : Azure Bastion est un service onéreux !💲
Si vous l’utilisez à grande échelle ou que vous le laissez fonctionner de manière permanente, alors c’est un service qui est cher en particulier pour des environnements de non-Production où l’on peut souhaiter limiter les coûts ! 💰 – Considérant que le service met environ 10 à 15 minutes pour se provisionner lorsque vous le créez, il est également exclu de le créer à la demande car cela ralentirait le travail d’un administrateur dans des scénarios de potentielle urgence.
Nouveau niveau de service : Azure Bastion Developer
Microsoft a récemment annoncé un nouveau prix pour l’utilisation de Azure Bastion. Jusqu’alors il existait en mode Basic ou Standard qui proposait plusieurs fonctionnalités avancées comme :
- Pas de limitation sur le nombre de session connectée
- Native Client support (pour se connecter avec l’appli RDP)
- Authentification Kerberos
- Lien de partage
- …
Vous pouvez retrouver un tableau qui reprend les différentes options présentes dans chaque niveau en consultant le tableau officiel sur le site de Microsoft via ce lien. Je vous mets également un screenshot ci-dessous mais c’est mieux de suivre le site MS pour les évolutions futures ! 🙂
Attention toutefois, au moment où je rédige cet article, le SKU Developer pour Azure Bastion n’est pas supporté dans toutes les localisation de Azure. Si cette option vous intéresse, vous devez utiliser les datacenters ci-dessous (mais on imagine que la liste devrait grossir dans le futur).
- EUAP USA Centre
- USA Est 2 (EUAP)
- Centre-USA Ouest
- Centre-Nord des États-Unis
- USA Ouest
- Europe Nord
Le niveau « Developer » peut être activé au moment de la création de votre Azure Bastion. Veillez simplement à positionner votre VNet et Azure Bastion dans une localisation similaire. A noter également, le niveau Developer n’impose pas la création d’une IP Publique (ce qui est un plus en termes de coût).
Sinon pour le reste, cela fonctionne toujours pareil. Choisissez votre VM et utilisez l’option « Connect via Bastion » pour vous connecter directement depuis le portail Azure. Il ne vous reste alors plus qu’à saisir vos identifiants ! 🤓
Plus d’infos sur l’annonce officielle par Microsoft :
