Azure

Utilisation de Azure Bastion et protection par un NSG

Dans un précédent article, je vous avais présenté en 2019 l’arrivée d’une nouvelle fonctionnalité de Azure, à savoir Bastion. Azure Bastion vous permet de vous connecter au SSH et/ou RDP à vos serveurs Linux et/ou Windows sans avoir à ouvrir les ports sur Internet c’est-à-dire sans avoir besoin de créer de « endpoint« .

Utilisation de Azure Bastion

Le principe est simple… Une fois que vous avez déployé ce composant vous pouvez vous connecter et administrer vos différents serveurs directement via l’interface web embarquée du portail Azure. Il n’y a donc pas non plus besoin d’un outil externe tel que Remote Desktop, PuTTY… ou d’autres alternatives.

En termes de sécurité, c’est donc idéal car cela signifie que les personnes qui vont gérer vos serveurs devront d’abord se connecter au portail Azure. Ce qui signifie que vous pourrez en amont également protéger et restreindre ces accès via des Conditional Access par exemple. 🙂

(Ads)

Le principe de déploiement est très simple. Vous devez créer un composant Azure Bastion et l’associer à un Subnet bien spécifique. C’est le seul pré-requis : vous devez disposer d’un subnet qui porte le nom de AzureBastionSubnet (respectez la convention de nommage). Si vous n’en avez pas déjà un, celui-ci sera créé lors de la génération de votre objet Azure Bastion – mais vous pouvez également le créer préalablement.

Configuration de votre subnet AzureBastionSubnet

Une fois que c’est fait, vous pourrez alors accéder à vos machines virtuelles directement depuis l’interface web du portail Azure. Le principe est très simple, vous sélectionnez la VM désirée dans l’interface du portail, puis sur le bouton tout en haut Connect vous aurez la possibilité d’utiliser l’option Bastion.

Connection à votre VM via Azure Bastion

Une fois que vous avez cliqué sur cette option, vous pourrez alors saisir les identifiants à présenter à la machine virtuelle. Point intéressant, vous pouvez utiliser des identifiants d’un domaine Active Directory ou bien des identifiants locaux d’une VM – cela fonctionne dans les 2 cas.

Connexion à votre VM Windows via Azure Bastion

Dans mon cas, j’accède à une VM Windows donc si je clique sur le bouton Connect. Je peux ensuite voir l’interface graphique et le bureau de ma VM Windows.

Aperçu du bureau de ma VM Windows directement via mon navigateur

Vous verrez que les performances sont très agréables et je n’ai jamais observé de latences particulières de mon côté. De mon point de vue, c’est une vraie solution qui me permet d’éviter d’avoir à ouvrir des ports sur Internet et de pouvoir protéger les accès à mes ressources depuis le portail Azure ! 😉

(Ads)

Protéger votre Azure Bastion par un NSG

Dans certains cas de figure, vous pouvez souhaiter protéger votre Azure Bastion par un Network Security Group. Selon la façon dont vous mettez en place votre infrastructure – ce n’est pas un impératif. Cela étant, typiquement dans mon organisation l’équipe SoC détecte la non protection d’un Azure Bastion par un NSG. Je dois donc nécessairement affecter un NSG à mon subnet AzureBastionSubnet.

Mais pour que votre Azure Bastion fonctionne correctement, il faut que le NSG que vous allez créer dispose de la bonne configuration sinon vous ne pourrez pas affecter votre NSG au subnet de votre Azure Bastion. Dans ce cas, vous aurez probablement le message d’erreur ci-dessous :

Impossible d’associer notre NSG à notre subnet

Du coup, comment savoir quelles sont les bonnes ouvertures de flux à configurer au niveau de votre NSG ? Et bien, vous retrouverez toutes les informations sur le lien suivant : https://docs.microsoft.com/en-us/azure/bastion/bastion-nsg.

Au niveau des règles Inbound, vous devrez avoir au moins cette configuration :

Source: Configuration NSG – Inbound pour Azure Bastion – Microsoft

Au niveau des règles Outbound, vous devrez également avoir les règles ci-dessous :

A partir du moment où vous mettez cette configuration en place, votre Azure Bastion fonctionnera sans problème même avec votre nouveau NSG. 🙂

Design NSG pour Azure Bastion

Je vous invite à consulter la documentation officielle sur le site de Microsoft en suivant ce lien. 🙂

(Ads)
Share
Published by
Gibard

Recent Posts

Discord prépare son entrée en Bourse : une nouvelle ère pour la plateforme des gamers

Depuis sa création en 2015, Discord est devenue une plateforme incontournable dans le monde du…

2 jours ago

Utilisation de Azure Firewall pour protéger votre infrastructure Cloud

Exemple d'utilisation de Azure Firewall Aujourd'hui, je vous propose un exercice simple en mode pas-à-pas…

3 jours ago

Nouveau MacBook Air : Puce M4 et coloris bleu ciel au rendez-vous

Nouveau MacBook Air M4 dans la nouvelle couleur bleue Apple a récemment dévoilé le nouveau…

4 jours ago

WordPress vs Drupal : quel CMS choisir pour un débutant ?

WordPress vs Drupal : quel CMS choisir pour un débutant ? (image générée par intelligence…

1 semaine ago

Opérer de façon durable dans Azure : participez à notre conférence

Opérer de façon durable dans Azure : participez à notre conférence AZUG FR x Devoteam…

1 semaine ago

Microsoft teste des applications Office gratuites mais avec de la publicité

Microsoft teste des applications Office gratuites mais avec de la publicité Microsoft explore une nouvelle…

1 semaine ago