Accueil > Azure Bastion Premium : Tout sur l’enregistrement de sessions
David Frappart
16 janvier 2025
AzureCloud

Azure Bastion Premium : Tout sur l’enregistrement de sessions

Azure Bastion Premium :l tout sur l'enregistrement des sessions

Dans cet article, nous allons explorer une des fonctionnalités phares d’Azure Bastion Premium : l’enregistrement de sessions. Attendue de longue date, cette fonctionnalité est désormais disponible.

Notre agenda sera le suivant :

  • Revue rapide des concepts de Azure Bastion
  • Description du sku Premium
  • Test de l’enregistrement de session

Concepts Fondamentaux d’Azure Bastion 

Comme son nom l’indique, Azure Bastion est un service managé conçu pour offrir un accès sécurisé aux machines virtuelles Azure via SSH ou RDP, sans nécessiter d’exposition publique par une adresse IP.

 

Sans Azure Bastion, deux options s’offrent à vous :

 

  • Attribuer une adresse IP publique à la machine virtuelle et autoriser les flux RDP/SSH.
  • Configurer une connexion VPN entre le réseau virtuel de la VM et celui du client.

 

Option de configuration Bastion Premium
Option de configuration Bastion Premium
Les fondamentaux de Azure Bastion
Les fondamentaux de Azure Bastion

Beaucoup de documentions sont disponibles sur Azure Bastion. Voici les principaux points à retenir :

 

  • Un hôte Bastion est déployé dans un sous-réseau dédié nommé AzureBastionSubnet, avec une taille minimale de /26.
  • Les utilisateurs accèdent à Bastion via une adresse IP publique associée et des API Azure, nécessitant une authentification Entra ID et une configuration RBAC adéquate.
  • Lorsque des NSG (Network Security Groups) sont utilisés, certains flux d’infrastructure doivent être autorisés pour garantir le fonctionnement de Bastion.

 

Les différents SKUs

Azure Bastion propose quatre SKUs : Developer, Basic, Standard et Premium. Le tableau ci-dessous permet de comparer les fonctionnalités, en fonction des SKUs :

Tableau Bastion Premium Features
Tableau Bastion Premium Features

En termes de tarification, voici les coûts associés à chaque SKU :

Tableau de tarification Azure Bastion Premium
Tableau de tarification Azure Bastion Premium

 

Spécificités d’Azure Bastion Premium

Le SKU Premium d’Azure Bastion est en disponibilité générale (GA) depuis novembre 2024. Il introduit des fonctionnalités avancées comme l’enregistrement de session et le déploiement privé. Dans cet article, nous nous concentrerons sur l’enregistrement de session.

Le passage en GA est accompagné d’une mise à jour des différents outils de déploiement. En regardant le site de référence des Template ARM, on peut voir que le SKU premium est bien présent, ce qui n’était pas le cas durant les premiers jours de la preview.

SKU Premium preview
SKU Premium preview

Il est important de noter que cette fonctionnalité n’est pas compatible avec le Native Client d’Azure Bastion.

Incompatibilité avec le Native Client d'Azure Bastion
Incompatibilité avec le Native Client d’Azure Bastion

Test de l’enregistrement de session

Une fois un hôte Bastion configuré avec le SKU Premium, voici les étapes clés pour activer l’enregistrement de session :

 

  1. Configurez les règles CORS du compte de stockage avec le FQDN de l’hôte Bastion.
  2. Générez une SAS (Shared Access Signature) pour un conteneur de stockage afin de stocker les vidéos :
Compte de Stockage Azure
Compte de Stockage Azure

Le stockage des enregistrements de session repose sur un compte de stockage Azure, ce qui est logique dans une approche de service managé. Cela nous évite de gérer la capacité de stockage.

 

Cependant, pour une politique PaaS avec Private Endpoint uniquement, la documentation ne précise pas si un compte de stockage privé est compatible.

 

À noter :  Azure Bastion ne fait pas parti des services trustés qui pourrait être autorisé par le pare-feu du storage.

 

Côté configuration, il faut activer CORS avec le FQDN de l’hôte Bastion, puis définir une SAS sur un conteneur de stockage, qui sera utilisé pour enregistrer les vidéos de session.

Configuration Bastion premium CORS
Configuration Bastion premium CORS

On spécifie ensuite une SAS sur un container de storage qui servira d’emplacement de stockage pour les vidéos d’enregistrement de sessions.

 

Générateur SaS Bastion Premium
Générateur SaS Bastion Premium

Bastion_Premium

La SAS requiert les droits READ, WRITE, LIST et CREATE. Il convient également de configurer une date d’expiration en accord avec les exigences de sécurité et les contraintes opérationnelles, notamment l’exploitation des videos.

Configuration sur l’hôte Bastion

Une fois les configurations effectuées, l’enregistrement de session peut être activé sur l’hôte Bastion. Après avoir accédé à des serveurs via Bastion, les vidéos seront disponibles dans le portail Azure.

 

 

Après quelques manipulations sur des serveurs à travers notre hôte Bastion, les vidéos sont visibles dans le portail.

 

Résultat vidéo sur Bastion Premium

 

Pour conclure

La fonctionnalité d’enregistrement est enfin disponible sur Azure Bastion, et en GA depuis novembre 2024.

 

Avec cette fonctionnalité, Azure Bastion devient une solution managée complète, offrant des avantages significatifs pour les environnements où la sécurité impose une analyse post mortem des sessions utilisateurs.

 

À considérer pour vos prochains projets Azure!

 

Nos autres articles
Commentaires
Laisser un commentaire

Restez au courant des dernières actualités !
Le meilleur de l’actualité sur le Cloud, le DevOps, l’IT directement dans votre boîte mail.