Cloud

Azure Bastion Premium : L’enregistrement des sessions est désormais possible

Nouveau SKU pour Azure Bastion

Azure Bastion Premium, récemment introduit, offre un ensemble de fonctionnalités de sécurité renforcées pour les environnements Azure sensibles. Cette nouvelle SKU s’adresse aux organisations qui ont des exigences strictes en matière de conformité et de sécurité ou qui gèrent des workloads critiques.

Sommaire

Nouveau SKU pour Azure Bastion Activation de l’enregistrement vidéo avec un Storage Account Visualiser les enregistrements effectués par Azure Bastion Rappel des fonctionnalités Azure Bastion selon le choix de SKU : Developer, Basic, Standard, Premium

L’une des nouvelles options d’Azure Bastion Premium est sa capacité à enregistrer les sessions. Cela permet de suivre en détail les activités des utilisateurs qui accèdent aux machines virtuelles via Bastion. Les enregistrements des sessions peuvent être consultés à des fins d’audit, de dépannage ou de réponse aux incidents.

Rappel de l’arhictecture type pour Azure Bastion

Je ne reprends les détails de la mise en place d’un Azure Bastion – je l’ai déjà détaillé dans un précédent article. Un des avantages principaux est de ne pas avoir à ouvrir les flux sur votre VM Windows ou Linux. Vous vous connectez directement par le web via le portail Azure.

Activation de l’enregistrement vidéo avec un Storage Account

Afin de pouvoir utiliser l’option d’enregistrement des sessions vous devez dans un premier temps provisionner votre Azure Bastion avec l’option Premium (SKU). Cela se fait simplement via le menu déroulant lors de la création de Azure Bastion (ou à postériori en upgradant votre Bastion).

Attention toutefois, il est impossible de « downgrade » votre Bastion une fois qu’il est créé – si besoin vous devrez le supprimer pour le recréer depuis 0.

Dans les options avancées, vous aurez alors la possibilité de choisir parmi plusieurs options avancées – et notamment l’enregistrement des sessions ou encore le lien partageable.

Une fois que l’option est activée. Vous devrez créer un Storage Account avec un nouveau Container/Blob au sein duquel les enregistrements seront conservés lorsque vos administrateurs vont utiliser Azure Bastion pour leurs tâches d’administration. Pour ce faire, c’est très simple, créez un nouveau Storage Account en gardant globalement les options par défaut puis définissez une nouvelle URL SAS.

Veillez à ce que la date de début et la date d’expiration soient correctes. Vous pouvez utiliser l’option HTTPS only (pas besoin du HTTP non secure). Enfin, au niveau des permissions veillez à choisir les options suivantes comme indiquées dans la doc officielle de Microsoft (voir en bas d’article): READ, CREATE, WRITE, LIST.

Une fois que vous avez l’URL. Il vous suffit de copier-coller l’URL dans la partie Sessions recordings de votre Azure Bastion. Si l’URL est incorrecte, vous ne pourrez pas valider.

Vous devrez également créer la partie CORS au niveau de votre Storage Account. Les réglages doivnet être les mêmes que dans la capture d’écran ci-dessous.

La configuration est à présent terminée.

Il ne vous reste plus qu’à vous connecter sur votre Bastion pour simuler quelques connexions. Dans la partie suivante, nous allons voir comment visualiser les sessions. ☁️

Visualiser les enregistrements effectués par Azure Bastion

Une fois que tout est en place, vous pourrez voir les enregistrements des sessions effectués via votre Azure Bastion, dans la section Session recordings. Pour chaque session, vous aurez un fichier ainsi qu’un lien « View recording » afin d’ouvrir une nouvelle page au sein du portail Azure et pourrez visualiser les actions qui ont été effectuées par votre administrateur.

Etrangement, vous pouvez visualiser les replays de vos Admins directement depuis le portail Azure. Vous retrouverez également les fichiers directement dans le Blob de votre Storage Account correspondant. Cependant, je ne suis pas parvenu à lire les fichiers directement avec VLC même en renommant les fichiers téléchargés en AVI, MP4, etc. Cela dit, c’est encore une fonctionnalité en preview donc affaire à suivre.

Rappel des fonctionnalités Azure Bastion selon le choix de SKU : Developer, Basic, Standard, Premium

Feature	Developer SKU	Basic SKU	Standard SKU	Premium SKU
Connect to target VMs in same virtual network	Yes	Yes	Yes	Yes
Connect to target VMs in peered virtual networks	No	Yes	Yes	Yes
Support for concurrent connections	No	Yes	Yes	Yes
Access Linux VM Private Keys in Azure Key Vault (AKV)	No	Yes	Yes	Yes
Connect to Linux VM using SSH	Yes	Yes	Yes	Yes
Connect to Windows VM using RDP	Yes	Yes	Yes	Yes
Connect to Linux VM using RDP	No	No	Yes	Yes
Connect to Windows VM using SSH	No	No	Yes	Yes
Specify custom inbound port	No	No	Yes	Yes
Connect to VMs using Azure CLI	No	No	Yes	Yes
Host scaling	No	No	Yes	Yes
Upload or download files	No	No	Yes	Yes
Kerberos authentication	No	Yes	Yes	Yes
Shareable link	No	No	Yes	Yes
Connect to VMs via IP address	No	No	Yes	Yes
VM audio output	Yes	Yes	Yes	Yes
Disable copy/paste (web-based clients)	No	No	Yes	Yes
Session recording	No	No	No	Yes
Private-only deployment	No	No	No	Yes