Annonce de la sortie de la préversion de Microsoft Azure Bastion

Publié le 18 juin, 2019

Corporate Vice President, Azure Networking

Pour de nombreux clients dans le monde entier, il peut s’avérer difficile de se connecter en toute sécurité de l’extérieur aux charges de travail et aux machines virtuelles sur des réseaux privés. L’exposition des machines virtuelles à l’Internet public pour autoriser la connectivité via le protocole RDP (Remote Desktop Protocol) et Secure Shell (SSH) augmente le périmètre, rendant vos réseaux critiques et les machines virtuelles connectées plus vulnérables et plus difficiles à gérer.

RDP et SSH constituent tous deux une approche fondamentale permettant aux clients de se connecter à leurs charges de travail Azure. Pour se connecter à leurs machines virtuelles, la plupart des clients exposent leurs machines virtuelles à l’Internet public ou déploient un hôte Bastion, tel que jump-server ou jump-boxes.

Aujourd’hui, je suis donc ravi d’annoncer la préversion d’Azure Bastion.

Azure Bastion est un nouveau service PaaS managé qui fournit une connectivité RDP/SSH fluide à vos machines virtuelles à l’aide du protocole SSL (Secure Sockets Layer). Cela s’effectue sans exposer les adresses IP publiques sur vos machines virtuelles. Azure Bastion est configuré directement dans votre réseau virtuel Azure, fournissant un hôte Bastion hôte ou un serveur de saut en tant que service et une connectivité intégrée à toutes les machines virtuelles de votre réseau virtuel en utilisant RDP/SSH directement depuis et via votre navigateur et l’expérience du Portail Azure. Cela peut être exécuté en seulement deux clics et sans avoir à se soucier de la gestion des stratégies de sécurité réseau.

Jusqu’à la préversion, nous avons travaillé avec des centaines de clients dans un large éventail de secteurs d’activité. La préversion a remporté un vif succès auprès de très nombreuses entreprises et, comme pour les autres services Azure exclusifs tels que le Pare-feu Azure, les commentaires ont été unanimes sur ce service : Nous avons besoin d’un moyen simple et intégré de déployer, d’exécuter et de dimensionner des serveurs de saut ou des hôtes Bastion dans notre infrastructure Azure.

Par exemple, un directeur d’équipe Cloud Foundation d’un constructeur allemand de voitures haut de gamme nous a déclaré que son entreprise craignait d’exposer les machines virtuelles cloud avec des ports RDP/SSH directement sur Internet en raison de problèmes potentiels de sécurité et de connexion. Lors de la préversion d’Azure Bastion, l’entreprise a pu utiliser RDP/SSH sur SSL sur nos machines virtuelles, ce qui lui a permis de traverser aisément les pare-feu d’entreprise et, en même temps, de limiter Machines virtuelles Microsoft Azure aux adresses IP privées.

Le déploiement d’un serveur de saut dédié autonome implique souvent le déploiement et la gestion manuels de solutions et de charges de travail spécialisées basées sur IaaS, telles que la passerelle Remote Desktop Services (RDS), la configuration et la gestion de l’authentification, les stratégies de sécurité et les listes de contrôle d’accès (ACL), ainsi que la gestion de la disponibilité, de la redondance et de l’évolutivité de la solution. De plus, la surveillance et l’audit, ainsi que l’obligation permanente de se conformer aux stratégies de l’entreprise, peuvent rapidement faire de l’installation et de la gestion des serveurs de saut une tâche complexe, coûteuse et peu souhaitable.

Azure Bastion est déployé dans votre réseau virtuel fournissant un accès RDP/SSH pour toutes les machines virtuelles autorisées connectées au réseau virtuel.

Architecture Azure Bastion de niveau supérieur

La préversion inclut les fonctionnalités clés disponibles suivantes :

  • RDP et SSH depuis le portail Azure : Ouvrez les sessions RDP et SSH directement et aisément dans le portail Azure en un clic.
  • Session à distance sur SSL et traversée de pare-feu pour RDP/SSH : Les clients web HTML5 sont automatiquement transférés sur votre appareil local, en fournissant les sessions RDP et SSH via SSL sur le port 443. Cela permet de traverser aisément et en toute sécurité les pare-feu d’entreprise.
  • Aucune adresse IP publique requise sur les machines virtuelles Azure : Azure Bastion ouvre la connexion RDP/SSH à votre machine virtuelle Azure en utilisant une adresse IP privée, limitant l’exposition de votre infrastructure à l’Internet public.
  • Gestion simplifiée des règles de sécurité : Configuration simple et unique des groupes de sécurité réseau (NSG) pour autoriser RDP/SSH à partir d’Azure Bastion uniquement.
  • Protection accrue contre l’analyse des ports : L’exposition limitée des machines virtuelles à l’Internet public permet de se protéger contre les menaces, telles que l’analyse des ports externes.
  • La protection contre les exploits du jour zéro est assurée par la centralisation de la sécurité renforcée : Azure Bastion est un service managé géré par Microsoft. Il est continuellement renforcé par l’installation automatique de correctifs et de mises à jour contre les vulnérabilités connues.

Azure Bastion : le chemin à suivre

Comme pour tous les autres services réseau Azure, nous sommes impatients de construire Azure Bastion et d’ajouter de nouvelles fonctionnalités performantes à mesure que nous évoluons vers la disponibilité générale du produit.

L’avenir nous réserve l’intégration d’Azure Active Directory, en ajoutant des fonctionnalités d’authentification unique transparente utilisant les identités Azure Active Directory et Azure Multi-Factor Authentication, et en étendant efficacement l’authentification à 2 facteurs à vos connexions RDP/SSH. Nous cherchons également à ajouter le support des clients RDP/SSH natifs afin que vous puissiez utiliser vos applications client préférées pour vous connecter en toute sécurité à vos machines virtuelles Azure en utilisant Azure Bastion, tout en améliorant l’expérience d’audit des sessions RDP avec enregistrement vidéo en session complète.

Nous vous encourageons à essayer Azure Bastion et nous nous réjouissons de recevoir vos commentaires.