Qu’est-ce qu’Azure Bastion ?
Azure Bastion est un service PaaS entièrement managé que vous approvisionnez pour vous connecter en toute sécurité aux machines virtuelles via une adresse IP privée. Il fournit une connectivité RDP/SSH sécurisée et fluide à vos machines virtuelles, directement au travers du protocole TLS depuis le Portail Azure ou via un SSH natif ou un client RDP déjà installé sur votre ordinateur local. Quand vous vous connectez via Azure Bastion, vos machines virtuelles n’ont pas besoin d’adresse IP publique, d’agent ou de logiciel client spécial.
Bastion fournit une connectivité RDP et SSH sécurisée à toutes les machines virtuelles du réseau virtuel pour lequel il est approvisionné. Azure Bastion protège vos machines virtuelles contre l’exposition des ports RDP/SSH au monde extérieur, tout en fournissant un accès sécurisé à l’aide de RDP/SSH.
Le diagramme suivant montre les connexions aux machines virtuelles via un déploiement Bastion qui utilise une référence SKU De base ou Standard.
Principaux avantages
| Avantage | Description |
|---|---|
| RDP et SSH par le biais du portail Azure | Vous pouvez accéder directement à la session RDP et SSH directement dans le portail Azure via une expérience fluide en un seul clic. |
| Session à distance sur TLS et traversée de pare-feu pour RDP/SSH | Azure Bastion utilise un client web basé sur HTML5 qui est automatiquement diffusé sur votre appareil local. Votre session RDP/SSH utilise TLS sur le port 443. Le trafic peut ainsi traverser les pare-feu de façon plus sécurisée. Bastion prend en charge TLS 1.2. Les versions antérieures de TLS ne sont pas prises en charge. |
| Aucune adresse IP publique n’est nécessaire sur la machine virtuelle Azure. | Azure Bastion ouvre la connexion RDP/SSH à votre machine virtuelle Azure en utilisant l’adresse IP privée sur votre machine virtuelle. Vous n’avez pas besoin d’une adresse IP publique sur votre machine virtuelle. |
| Aucune contrainte liée à la gestion des groupes de sécurité réseau (NSG) | Vous n’avez pas besoin d’appliquer des groupes de sécurité réseau sur le sous-réseau Azure Bastion. Comme Azure Bastion se connecte à vos machines virtuelles par le biais d’une adresse IP privée, vous pouvez configurer vos groupes de sécurité réseau pour autoriser RDP/SSH depuis Azure Bastion uniquement. Vous n’avez plus à gérer les groupes de sécurité réseau chaque fois que vous devez vous connecter de manière sécurisée à vos machines virtuelles. Pour plus d’informations sur les groupes de sécurité réseau, consultez Groupes de sécurité réseau. |
| Vous n’avez pas besoin de gérer un hôte Bastion distinct sur une machine virtuelle | Azure Bastion est un service PaaS de plateforme entièrement géré d’Azure, renforcé en interne pour vous fournir une connectivité RDP/SSH sécurisée. |
| Protection contre l’analyse des ports | Vos machines virtuelles sont protégées contre l’analyse des ports par des utilisateurs malveillants, car vous n’avez pas besoin de les exposer à Internet. |
| Renforcement de la sécurité à un seul endroit | Azure Bastion résidant au périmètre de votre réseau virtuel, vous n’avez pas à vous soucier du durcissement de la sécurité de chacune des machines virtuelles de votre réseau virtuel. |
| Protection contre les exploits zero-day | La plateforme Azure protège contre les exploits du jour zéro en assurant une sécurité durcie permanente et à jour pour Azure Bastion. |
Références (SKU)
Azure Bastion offre plusieurs niveaux de référence SKU. La table suivante présente les fonctionnalités et les références SKU correspondantes.
| Fonction | Référence SKU Développeur | Référence De base | Référence Standard |
|---|---|---|---|
| Se connecter pour cibler les machines virtuelles dans les mêmes réseaux virtuels | Oui | Oui | Oui |
| Se connecter pour cibler les machines virtuelles dans les réseaux virtuels appairés | Non | Oui | Oui |
| Prise en charge de connexions simultanées | Non | Oui | Oui |
| Accéder aux clés privées des machines virtuelles Linux dans Azure Key Vault (AKV) | Non | Oui | Oui |
| Se connecter à une machine virtuelle Linux avec SSH | Oui | Oui | Oui |
| Se connecter à une machine virtuelle Windows avec RDP | Oui | Oui | Oui |
| Se connecter à une machine virtuelle Linux avec RDP | No | Non | Oui |
| Se connecter à une machine virtuelle Windows avec SSH | No | Non | Oui |
| Spécifier le port d’entrée personnalisé | No | Non | Oui |
| Se connecter à des machines virtuelles à l’aide de Azure CLI | No | Non | Oui |
| Mise à l’échelle de l’hôte | No | Non | Oui |
| Charger ou télécharger des fichiers | No | Non | Oui |
| Authentification Kerberos | Non | Oui | Oui |
| Lien partageable | No | Non | Oui |
| Se connecter aux machines virtuelles via une adresse IP | No | Non | Oui |
| Sortie audio de la machine virtuelle | Oui | Oui | Oui |
| Désactiver le copier/coller (clients web) | No | Non | Oui |
Pour plus d’informations sur les références SKU, notamment sur la mise à niveau d’une référence SKU et des informations sur la nouvelle référence SKU développeur (actuellement en préversion), consultez l’article Paramètres de configuration.
Architecture
Cette section s’applique à tous les niveaux de référence SKU, à l’exception de la référence SKU développeur, qui est déployée différemment. Azure Bastion est déployé sur un réseau virtuel et prend en charge l’appairage de réseaux virtuels. Plus précisément, Azure Bastion gère la connectivité RDP/SSH aux machines virtuelles créées dans les réseaux virtuels locaux ou homologués.
RDP et SSH font partie des moyens fondamentaux par lesquels vous pouvez vous connecter à vos charges de travail exécutées dans Azure. L’exposition des ports RDP/SSH sur Internet est déconseillée car considérée comme une surface de menace importante. Cela est surtout dû aux vulnérabilités du protocole. Pour contenir cette surface de menace, vous pouvez déployer des hôtes Bastion (également appelés serveurs de saut) du côté public de votre réseau périphérique. Les serveurs hôte Bastion sont conçus et configurés pour faire face aux attaques. Les serveurs Bastion fournissent également une connectivité RDP et SSH aux charges de travail situées derrière le bastion, ainsi qu’à l’intérieur du réseau.
Actuellement, par défaut, les nouveaux déploiements Bastion ne prennent pas en charge les redondances de zone. Les bastions précédemment déployés peuvent ou non être redondants interzone. Les exceptions sont les déploiements Bastion en Corée Centre et Asie Sud-Est qui prennent en charge les redondances de zone.
Cette figure représente l’architecture d’un déploiement Azure Bastion. Ce diagramme ne s’applique pas à la référence SKU développeur. Dans ce diagramme :
- L’hôte Bastion est déployé dans le réseau virtuel qui contient le sous-réseau AzureBastionSubnet avec un préfixe minimum /26.
- L’utilisateur se connecte au portail Azure à l’aide de n’importe quel navigateur HTML5.
- L’utilisateur sélectionne la machine virtuelle à laquelle se connecter.
- D’un simple clic, la session RDP/SSH s’ouvre dans le navigateur.
- Aucune adresse IP publique n’est requise sur la machine virtuelle Azure.
Mise à l’échelle de l’hôte
Azure Bastion prend en charge la mise à l’échelle manuelle des hôtes. Vous pouvez configurer le nombre d’instances d’hôte (unités d’échelle) afin de gérer le nombre de connexions RDP/SSH simultanées qu’Azure Bastion peut prendre en charge. Le fait d’augmenter le nombre d’instances de l’hôte permet à Azure Bastion de gérer davantage de sessions simultanées. La diminution du nombre d’instances réduit le nombre de sessions simultanées prises en charge. Azure Bastion prend en charge jusqu’à 50 instances d’hôte. Cette fonctionnalité est disponible uniquement pour la référence SKU Azure Bastion standard.
Pour plus d’informations, consultez l’article Paramètres de configuration.
Tarifs
La tarification d’Azure Bastion est une combinaison de tarification horaire basée sur les SKU et les instances (unités d'échelle), plus les taux de transfert de données. La tarification horaire commence à partir du moment où Bastion est déployé, quelle que soit l’utilisation des données sortantes. Pour obtenir les dernières informations de tarification, consultez la page de tarification Azure Bastion .
Nouveautés
Abonnez-vous au flux RSS, puis consultez les dernières mises à jour des fonctionnalités Azure Bastion dans la page Mises à jour Azure.
FAQ Bastion
Pour accéder aux questions fréquentes (FAQ), consultez la FAQBastion.
Étapes suivantes
- Démarrage rapide : Déployer Bastion automatiquement : référence SKU de base
- Démarrage rapide : Déployer Bastion automatiquement – Référence SKU développeur
- Tutoriel : Déployer Bastion à l’aide de paramètres spécifiés
- Module Learn : présentation d’Azure Bastion
- Découvrir les autres fonctionnalités de réseau clés d’Azure
- En savoir plus sur la sécurité du réseau Azure