Quand utiliser Azure Bastion
Dans cette unité, vous explorez les utilisations d’Azure Bastion et déterminer s’il s’agit d’un choix approprié pour la connexion sécurisée à une machine virtuelle distante. Vous évaluez Azure Bastion sur la base des critères suivants :
- Sécurité
- Gestion facile
- Intégration à d’autres applications
Les administrateurs doivent s’appuyer sur la gestion à distance pour l’administration et la maintenance des ressources Azure d’une organisation, notamment les machines virtuelles et les applications installées sur celles-ci. Il est important de prendre en compte la possibilité de se connecter de manière sécurisée à ces ressources et applications sans les exposer à Internet. Vous pouvez utiliser Azure Bastion pour vous connecter à distance aux machines virtuelles hébergées et les gérer sans exposer les ports de gestion à Internet. Toutefois, certains administrateurs utilisent pour cela des serveurs de sauts, parfois appelés « jumpboxes ». Dans cette unité, vous déterminez si Azure Bastion peut remplacer les serveurs de saut (jumpboxes) en tant que méthode pour fournir un accès sécurisé à la gestion à distance.
Notes
Une jumpbox est une machine virtuelle Azure avec une adresse IP publique, accessible à partir d’Internet.
Dans un scénario de jumpbox classique :
- Les machines virtuelles de votre organisation sont configurées uniquement avec des adresses IP privées, et ne sont pas directement accessibles à partir d’Internet.
- La jumpbox est déployée dans le même réseau virtuel que les machines virtuelles que les administrateurs souhaitent gérer à distance à l’aide de RDP et SSH.
- Un groupe de sécurité réseau gère le flux de trafic réseau entre Internet, la jumpbox et les machines virtuelles cibles.
- Les administrateurs se connectent à la jumpbox avec RDP à l’aide de l’adresse IP publique.
Important
Étant donné que vous vous connectez à votre jumpbox avec RDP sur une adresse IP publique, la sécurité de la jumpbox peut être compromise.
La jumpbox est une machine virtuelle exécutant un système d’exploitation de serveur. Vous devez donc :
- Tenir la machine virtuelle à jour avec les correctifs et autres mises à jour.
- Configurer les groupes de sécurité réseau appropriés pour aider à sécuriser le flux de trafic au sein du réseau virtuel entre la jumpbox et les machines virtuelles cibles.
Critères de décision
Pour déterminer si une jumpbox ou Azure Bastion est la meilleure option pour gérer à distance les ressources Azure de votre organisation, considérez des critères tels que la sécurité, la facilité de gestion et l’intégration. Voici une analyse de ces critères.
Critères | Analyse |
---|---|
Sécurité | Azure Bastion n’expose pas RDP/SSH sur son IP publique. Contrairement à une jumpbox, Azure Bastion ne prend en charge que les connexions protégées par TLS à partir du portail Azure. Avec Azure Bastion, vous n’avez pas besoin de configurer de groupes de sécurité réseau pour aider à sécuriser le flux de trafic. |
Simplicité de gestion | Azure Bastion est un service PaaS de plateforme entièrement managé. Il ne s’agit pas d’une machine virtuelle telle qu’une jumpbox, qui nécessite des mises à jour régulières. Vous n’avez pas besoin d’un client ou d’un agent pour utiliser Azure Bastion. Vous n’avez pas non plus besoin d’y appliquer des correctifs et des mises à jour. Par ailleurs, vous n’avez pas besoin d’installer ou de gérer d’autres logiciels sur les consoles de gestion. |
Intégration | Vous pouvez intégrer Azure Bastion à d’autres services de sécurité natifs dans Azure, tels que le Pare-feu Azure. Les serveurs de saut ne sont pas dotés de cette option. |
Notes
Vous déployez Azure Bastion par réseau virtuel (ou réseau virtuel appairé) plutôt que par abonnement, compte ou machine virtuelle.
Appliquer les critères
Azure Bastion remplit l’objectif clé qui consiste à sécuriser la gestion à distance des machines virtuelles hébergées. Étant donné qu’il s’agit d’un service managé, vous n’avez pas besoin de mettre à jour Azure Bastion ni de configurer manuellement des groupes de sécurité réseau et les paramètres associés. Azure Bastion représente la meilleure solution pour sécuriser la gestion à distance des machines virtuelles hébergées sur Azure.
Utilisez plutôt Azure Bastion lorsque vous devez gérer des machines virtuelles distantes hébergées sur Azure et que :
- Vous devez vous connecter à ces machines virtuelles à l’aide de RDP/SSH.
- Vous ne souhaitez pas assurer la maintenance de la méthode par laquelle vous vous connectez à ces machines virtuelles distantes.
- Vous ne souhaitez pas configurer les paramètres de groupe de sécurité réseau pour activer la gestion à distance.
- Vous souhaitez éviter d’utiliser des jumpboxes.
Lorsque vous déterminez le nombre d’hôtes Azure Bastion à déployer, pensez qu’il en faut un par réseau virtuel (ou réseau virtuel appairé). Vous n’avez pas besoin de déployer Azure Bastion sur la base de chaque machine virtuelle ou sous-réseau.