Tierney - stock.adobe.com
Sécuriser l'accès à RDP à une VM Azure avec un serveur de rebond
Un serveur de rebond peut constituer un outil pratique pour améliorer la sécurité d’un déploiement sur Microsoft Azure. Et cela notamment parce qu’il cache l'adresse IP publique automatiquement associée aux machines virtuelles.
Il existe de nombreuses façons d'accéder à un déploiement cloud sur Azure, notamment via un VPN, ou le protocole RDP (Remote Display Protocol), notamment. Quelle que soit la méthode retenue, la sécurité doit toujours être une priorité.
Et justement, une façon de sécuriser l’accès à son déploiement cloud sur Azure consiste à utiliser un serveur de rebond, chargé de fournir l'accès à la machine virtuelle Azure en RDP. Un serveur de rebond est un serveur Windows disposé en frontal des autres serveurs pour ajouter une couche de sécurité évitant l’exposition publique directe des machines virtuelles.
Serveur de rebond et adresses IP publiques
Un serveur Azure peut avoir une adresse IP publique et une adresse IP privée. Comme son nom l’indique, la première permet à quiconque d’accéder au serveur depuis Internet. Cela constitue dès lors un risque de sécurité. Idéalement, il convient de sécuriser ses serveurs en supprimant l'adresse IP publique. Mais cela peut avoir, pour effet, de bloquer l'accès distant au serveur. C'est là que le serveur de rebond devient une option.
Le serveur de rebond permet de se passer d’adresse IP publique pour chaque serveur Azure : seul le serveur de rebond a accès aux machines virtuelles, via leur adresse IP privée ; il est incontournable pour y accéder.
Le serveur de rebond en pratique
Une entreprise dispose d'un déploiement Microsoft Office 365 robuste et bien adapté avec un annuaire Active Directory local synchronisé avec Azure Active Directory via Azure AD Connect. Son informatique dispose également d'un réseau correctement configuré entre les serveurs locaux, et ceux déployés en mode cloud, sur Azure, pour ses équipes de développement et de produits. Le déploiement est sécurisé par un VPN et des pare-feu, de sorte qu'aucune adresse IP publique n'a accès à une machine virtuelle à partir d'ordinateurs connectés par domaine. Tout est en ordre de marche.
Un nouveau projet exige que l'organisation acquière un environnement de test Office 365 pour un projet Microsoft SharePoint. Cet environnement doit répliquer la production aussi fidèlement que possible. Cela signifie qu'il dispose de son propre annuaire Active Directory avec ses propres comptes. Le projet utilisera Azure Active Directory et sera alimenté par Azure AD Connect. L'infrastructure d'Active Directory et d'Azure AD Connect sont compris dans l'abonnement lié à l’environnement de test.
Dans ce scénario, l’environnement de test n'a pas besoin d’être connecté à une infrastructure en local. En fait, pour assurer l'isolement d'Active Directory, il ne doit pas l’être : il s'agit d'un environnement de test qui a vocation à disparaître dans le temps. Le serveur de rebond peut dès lors constituer une bonne approche de sécurité pour fournir un accès sécurisé aux machines virtuelles dans le cloud.
