Securiser vos Machines Virtuelles Azure avec Azure Bastion

AZURE BASTION est un nouveau service PAAS que vous provisionnez dans votre Réseau virtuel. Il permet de se connecter de façon sécurisé en RDP/SSH a vos machines virtuelles hébergées sur Azure directement à partir du portail AZURE à travers un tunnel crypte en SSL et la bonne nouvelle vous n’avez plus besoin d’une IP Publique pour vous connecter à vos machines.

Faisons un peu d’histoire pour rappeller les bonnes pratiques de connexion a distance aux machines virtuelles Azure

AVANT AZURE BASTION

Avant Azure bastion il était habituel d’avoir toutes ses ressources dans un reseau virtuel et un reseau de management avec une machine (Jumpbox) qui est exposée sur Internet a travers une IP Publique pour gerer ses ressources . Une espèce de réseau de management

Ou de facon ideale vous etablissiez un VPN entre votre Système d’information local et votre reseau virtuel Azure . c ;est ce quon appelle la configuration Hybride comme sur l’image ci-dessous .

Si je veux gerer les ressources dans mon reseau de Production je me connecte a une Machine du managment subnet et a partir de la je peux aller vers mes ressources.

Ce n’est pas obligatoire Mais meme dans cette configuration On pourrait avoir pour une raison ou autre les machines du reseau de management exposees sur Internet a travers une IP Publique et donc un attaquant pourrait identifier cette IP publique et mener une attaque de type Brute Force pour compromettre le reseau de Management

Si vous faites bien les choses vous pourriez configurer un NSG (network Security Group ) avec filtrage sur les IP sources ou alors utiliser le JIT (Just in Time Administration).

Mais vous avez encore votre IP Publique exposee malgre toutes les precautions mentionnees plus haut. Une solution plus radicale serait de supprimer carrement cette IP Publique : C’est ca AZURE BASTION

Dans la deuxieme partie nous verrons plus en detail comment ca marche

 

Commentaire (1)

  • Securiser vous machines avec azure bastion (partie 2) | Solution de transformation digitale| 4 octobre 2019

    […] Nous allons dans ce billet vous montrer comment mettre en oeuvre azure bastion que nous avons presente ici […]

  • Répondre

    Votre adresse de messagerie ne sera pas publiée.

    Please wait...

    S'abonner à la newsletter

    Voulez-vous être averti lorsque notre article est publié? Entrez votre adresse e-mail et nom ci-dessous pour être le premier à savoir.