Azure Bastion apporte confort et sécurité à la gestion des VM

Serveur de rebond : plus sûr, mais pas dénué de défauts

En l’absence de configuration hybride avec un VPN point-à-point ou un circuit ExpressRoute, il peut être tentant de faire appel au service d’équilibrage de charge d’Azure, combiné à des règles de NAT. Mais c’est loin d’offrir une véritable protection. A tout le mieux, cela peut en donner l’illusion, mais cela s’arrête là.

Une méthode courante consiste à déployer une machine virtuelle dédiée au rôle de serveur de rebond au sein de son réseau virtuel cible sur Azure. Le serveur de rebond n’est rien de plus qu’une VM spécialement créée qui est généralement exposée à Internet, mais dont le trafic entrant et sortant est fortement limité par des groupes de sécurité réseau (NSG). Les administrateurs sont autorisés à accéder au serveur de rebond et une fois qu’ils se sont connectés, ils peuvent sauter de là vers n’importe quelle autre VM de l’infrastructure réseau virtuelle pour n’importe quelle tâche d’administration.

Ce que fait Azure Bastion

Cette approche est sûre, mais combien d’entreprises ont l’expertise pour en assurer la parfaite mise en œuvre ? Des compétences de niveau intermédiaire à avancé sont nécessaires, dans la gestion du trafic réseau, des règles de contrôle d’accès, des plans d’adressage, ou encore de la passerelle RDS pour supporter plusieurs connexions simultanées. Pour les organisations qui n’ont pas ces compétences, Microsoft propose désormais Azure Bastion.

Azure Bastion est une appliance de réseau virtuelle administrée, qui simplifie le déploiement de serveurs de rebond dans les réseaux virtuels. En substance, il suffit de déposer un hôte Azure Bastion dans son sous-réseau, puis d’effectuer une configuration NSG et c’est fini.

Les organisations qui utilisent Azure Bastion bénéficient des avantages suivants :

• Plus d’adresses IP publiques pour les VMs sur Azure.
• Tunnélisation du trafic RDP et SSH sur une connexion standard TLS/SSL sans VPN.
• Protection contre les attaques par balayage de ports sur les machines virtuelles.

Configurer Azure Bastion

Azure Bastion nécessite un réseau virtuel dans une même région. Il est notamment disponible dans les régions États-Unis et Europe de l’Ouest d’Azure. Un sous-réseau vide nommé AzureBastionSubnet est également nécessaire. A ce stade, n’activez pas d’hôtes de service, de tables de routage ou de délégations sur ce sous-réseau spécifique. Plus loin dans ce tutoriel, vous pourrez définir ou modifier un NSG sur chaque sous-réseau associé à une VM pour personnaliser le flux réseau.

Comme Azure Bastion supporte plusieurs connexions simultanées, dimensionnez le sous-réseau AzureBastionSubnet avec au moins un espace /27 d’adressage IPv4. Il s’agit là de donner à Azure Bastion la possibilité d’opérer automatiquement une mise à l’échelle, suivant une méthode similaire à celle utilisée avec Azure Application Gateway.

Ensuite, accédez à l’écran de configuration Azure Bastion et cliquez sur Add pour démarrer le déploiement. Le processus de déploiement est trivial si le réseau virtuel et le sous-réseau AzureBastionSubnet sont en place.

A ce stade, vous établissez votre connexion administrative via Connect dans le portail Azure. Naviguez jusqu’à la vue d’ensemble d’une VM et cliquez sur Connect, avant de passer à l’onglet Bastion.

Dans l’onglet Bastion, indiquez un nom d’utilisateur et un mot de passe administrateur, puis cliquez une nouvelle fois sur Connect. La session d’administration RDP ou SSH s’ouvre dans un nouvel onglet du navigateur.

Il est possible de partager les données du presse-papiers, entre la connexion hébergée par Azure Bastion et le système local. Pour terminer la session d’administration, il suffit de fermer l’onglet correspondant.

Personnaliser Azure Bastion

Pour configurer Azure Bastion pour votre organisation, créez ou personnalisez un NSG existant afin de contrôler le trafic entre le sous-réseau Azure Bastion et les sous-réseaux de vos machines virtuelles.

Microsoft fournit des règles NSG par défaut pour permettre le trafic entre sous-réseaux au sein de votre réseau virtuel.
En passant la licence Azure Security Center à Standard, il est possible de profiter d’une option plus efficace et plus puissante, en enrôlant les machines virtuelles dans un accès juste-à-temps (JIT) : des règles dynamiques NSG assurent le verrouillage des ports d’administration des machines virtuelles, sauf si un administrateur demande explicitement à y accéder.

En combinant l’accès JIT avec Azure Bastion, le workflow de connexion à une VM se décrit ainsi : demande d’accès à une VM ; puis après approbation, passage par Azure Bastion pour établir la connexion.

Azure Bastion est proposé suivant un coût horaire fixe. Microsoft facture également le transfert des données sortantes au-delà de 5 Go. Mais la solution reste un excellent moyen pour sécuriser l’accès administratif aux machines virtuelles Azure.

Avec quelques bémols toutefois :

- Il est nécessaire de déployer un hôte Azure Bastion pour chaque réseau virtuel dans son environnement. Si vous avez trois réseaux virtuels, vous avez besoin de trois hôtes Azure Bastion, ce qui peut devenir onéreux. Microsoft assure que le support du peering entre réseaux virtuels fait partie de la feuille de route. Une fois que cette fonctionnalité sera implémentée, un unique hôte Bastion sera nécessaire dans un réseau virtuel de hub.

- Il n’y a pas de support pour les ports d’accès distants PowerShell, mais Microsoft supporte RDP, ce qui va à l’encontre de son refrain invitant à éviter l’interface graphique de administrer les serveurs.

- La documentation de Microsoft manque encore de détails architecturaux pour aider les administrateurs à déterminer ce qu’ils peuvent faire avec Azure Bastion, à savoir par exemple si une stratégie de groupe de session RDP existante peut être combinée avec Azure Bastion.