Fermer

novembre 19, 2019

Utilisation d'Azure Bastion en tant qu'hôte pour les ordinateurs virtuels


Microsoft Azure, l’un des principaux fournisseurs de cloud, a récemment lancé l’aperçu d’une nouvelle offre de plate-forme en tant que service appelée «Azure Bastion» . Ce service fournit une plate-forme pour la gestion et le déploiement des ordinateurs virtuels, ce qui signifie que vous n’avez pas besoin de maintenir une base pour le faire.

Le mot «bastion» lui-même signifie un ajustement pour la défense ou un lieu sûr. Azure Bastion permet d'activer le scénario de la boîte de jonction sans exposer directement le système au Web.

Avant de passer à Azure Bastion, nous devons comprendre pourquoi ce service a été présenté alors qu'il existe de nombreuses approches pour sécuriser vos ordinateurs virtuels Azure RDP /. Connexion SSH.

Vous utilisez peut-être actuellement Azure Jumpbox, dans lequel vous transmettez RDP à votre serveur de saut pour communiquer avec vos ordinateurs virtuels de manière privée.

 Azure Vnet

Le problème, c’est que vous devrez peut-être créer une adresse IP publique et l’attribuer directement au serveur. Vous pouvez également le faire via un équilibreur de charge ou un pare-feu. Pour sécuriser cela, vous devez effectuer une traduction d'adresses réseau (NAT) ou activer l'accès Just-in-Time aux ordinateurs virtuels. Lorsque vous communiquez via une adresse IP publique, vous devrez peut-être ouvrir publiquement un port pour votre connexion RDP / SSH. Cela crée une échappatoire pour les attaquants d'entrer dans votre environnement. Même s’il est trop difficile de résoudre ce problème, cela est possible grâce aux méthodes de balayage des ports et de force brutale.

Le problème ne se pose pas pour Azure Bastion car il n’est pas nécessaire de désigner une adresse IP publique sur vos ordinateurs virtuels. Au lieu de cela, vous ne pouvez communiquer avec vos machines virtuelles de production par le biais du portail qu'avec l'adresse IP privée de votre machine virtuelle.

Passage suivant vers Azure Bastion


Conditions préalables pour Azure Bastion

L'aperçu de Azure Bastion se limite aux régions suivantes:

  • Est des États-Unis
  • Ouest des États-Unis
  • Centre-sud des États-Unis
  • Europe de l'Ouest
  • Australie-Est
  • Japon-Est

En plus de se trouver dans ces régions, votre bastion Azure doit être virtuellement réseau avec le nom de sous-réseau «AzureBastionSubnet» avec un préfixe d’au moins / 27. De plus, aucun groupe de sécurité réseau (NSG) ou route ne doit y être associé. Plus important encore, pour chaque réseau virtuel, vous devez créer un bastion différent pour accéder aux ordinateurs virtuels de votre réseau virtuel.

Fonctionnement d’Azure Bastion

Lorsque vous créez Azure Bastion pour votre réseau virtuel et tentez de associer via Bastion, une autre session démarrera sur votre navigateur HTML5 dans un onglet sur SSL sur le port 443. La session SSL ne peut pas commencer sans preuve publique reconnaissable. AzureBastionSubnet a donc son propre sous-réseau surveillé et une adresse IP ouverte qui mènera votre session Bastion à SSL sur 443.

 Fonctionnement de l'azur Bastion

S'agissant d'un service de prévisualisation pour l'instant, vous devez vous inscrire pour cela en entrant la commande PowerShell sous-jacente en tant que administrateur.

Installez le module Azure PowerShell et connectez-vous à votre compte Azure:

 Install-Module AzureRM
Set-ExecutionPolicy Unrestricted
Module d'importation AzureRM
Connect-AzureRmAccount

Enregistrez votre abonnement avec un aperçu et vérifiez pour AzureBastionHost:

 Register-AzureRmProviderFeature -FeatureName AllowBastionHost -ProviderNamespace Microsoft.Network
Register-AzureRmResourceProvider -ProviderNamespace Microsoft.Network
Get-AzureRmProviderFeature -ProviderNamespace Microsoft.Network

Allez maintenant au bastion Azure – portail de prévisualisation . Connectez-vous avec votre abonnement et cliquez sur Créez une ressource, sélectionnez Bastion puis cliquez sur Créez Bastion .

.  Aperçu du bastion

 Aperçu du bastion 2

Configurez Bastion en sélectionnant le groupe de ressources pour lequel vous souhaitez créer un Bastion. Vous pouvez également en créer un nouveau. Entrez le nom de votre instance – assurez-vous que le nom que vous saisissez n'est pas «Bastion».

 Créez un Bastion

Comme je vous l'ai dit dans les conditions préalables , vous devriez avoir un sous-réseau nommé " AzureBastionSubnet ". Créez un sous-réseau Bastion pour votre réseau virtuel. Une fois cela fait, il choisira automatiquement le sous-réseau en choisissant le réseau virtuel.

Ne vous trompez pas avec l’option IP publique. L'adresse IP que vous allez utiliser ici sera utilisée pour la connexion SSL et non pour vos ordinateurs virtuels.

 Révisez et créez

Cliquez sur Évaluez + créez . Il vous montrera le résumé, y compris des informations telles que le nom, l'abonnement, le groupe de ressources, la région, le réseau VNET, le sous-réseau et les adresses IP publiques. Cliquez sur Créer . «Votre déploiement est terminé»

Essayez maintenant de connecter vos machines virtuelles à l’intérieur de votre réseau virtuel. Ici, vous sélectionnerez Bastion . Cliquez dessus, entrez le nom d'utilisateur et le mot de passe de votre machine virtuelle, puis connectez-vous. Un autre onglet s'ouvrira avec votre session RDP / SSH.

 Rdp Ssh

 Connect to Vm

. Woohoo! Vous pouvez voir le bureau de la machine virtuelle sur votre navigateur. Une autre chose que vous pouvez voir dans la moitié gauche de la fenêtre est le presse-papier. Dans le Presse-papiers, vous pouvez dupliquer votre contenu (uniquement du texte) depuis votre ordinateur local vers les ordinateurs virtuels.






Source link