Qu’est-ce qu’Azure Bastion ?
Azure Bastion est un service PaaS entierement gere qui fournit une connectivite RDP et SSH securisee aux machines virtuelles directement via le portail Azure — sans adresses IP publiques. En eliminant les jump boxes et passerelles VPN, Bastion reduit considerablement la surface d’attaque avec un acces navigateur natif via TLS sur le port 443.
Fonctionnement et Niveaux SKU
Bastion est deploye dans un sous-reseau dedie (AzureBastionSubnet, minimum /26). Basic SKU pour 25 sessions simultanees, Standard SKU avec mise a l’echelle et support client natif, Premium SKU avec enregistrement de session et deploiement prive.
Avantages de Securite
Aucune exposition IP publique, protection contre le scan de ports, integration Azure AD, acces conditionnel et journalisation complete dans Azure Monitor. Les VM restent entierement privees.
Bonnes Pratiques et Tarification
Utilisez un sous-reseau dedie /26, Standard SKU pour la production, configurez les NSG et surveillez via Azure Monitor. Facturation a l’heure de deploiement plus transfert de donnees.
Configurations Avancées d’Azure Bastion
Les SKU Standard et Premium d’Azure Bastion ouvrent des scénarios entreprise puissants au-delà de l’accès par navigateur. Le client natif permet mstsc.exe pour RDP, PuTTY pour SSH et les tunnels Azure CLI pour la redirection de ports TCP. Les liens partageables offrent des URL temporaires pour l’accès aux VM sans portail Azure — idéaux pour le support fournisseur et l’accès contractuel temporaire avec des expirations de 1 heure à 7 jours.
Enregistrement de Session et Conformité
Le SKU Premium capture chaque session RDP et SSH dans un compte Azure Storage pour SOC 2, HIPAA et FedRAMP. Les enregistrements peuvent être examinés via le portail ou intégrés avec des solutions SIEM pour analyse automatisée.
Modèles d’Architecture Réseau
Dans un design hub-spoke, déployez Bastion une fois dans le VNet hub et atteignez les VM dans tous les VNets spoke via le peering — réduction de coûts de 60-80%. Le SKU Premium supporte le déploiement privé uniquement sans IP publique via ExpressRoute ou VPN Gateway.
Optimisation des Coûts et Mise à l’Échelle
Pour les environnements de développement : l’automatisation du déploiement pendant les heures de bureau uniquement économise ~58%. Le SKU Standard supporte 2-50 unités de mise à l’échelle avec ~20 sessions RDP simultanées chacune.
Durcissement de la Sécurité
- Sous-réseau dédié /26 nommé AzureBastionSubnet
- Azure DDoS Protection activé
- Paramètres de diagnostic vers Log Analytics et Sentinel
- Azure AD MFA via Conditional Access
- Règles NSG : Entrant 443 depuis Internet, Sortant vers VirtualNetwork 3389/22
Fonctionnalités et Capacités Clés
Les capacités fondamentales suivantes rendent cette technologie essentielle pour les infrastructures cloud modernes :
Browser-Based Access
Full RDP and SSH sessions directly in Azure portal with HTML5 — no public IPs, no client software, no NSG rule changes required on target VMs
Native Client Support
Standard SKU enables CLI tunnels (az network bastion tunnel) for mstsc.exe, PuTTY, database tools, and file transfer through arbitrary TCP ports
Shareable Links
Time-limited URLs granting VM access without Azure portal or Azure AD accounts — configurable expiration from 1 hour to 7 days for vendor support
Session Recording
Premium SKU captures complete RDP/SSH sessions to Azure Storage for SOC 2, HIPAA, and FedRAMP compliance audit trails
Private-Only Deployment
Premium removes the Bastion public IP entirely — access flows through ExpressRoute or VPN Gateway for zero-public-IP architectures
Cas d’Utilisation Concrets
Des organisations de divers secteurs utilisent cette technologie dans des environnements de production :
Hub-Spoke Networks
Deploy Bastion once in hub VNet, reach VMs in all spoke VNets through peering — 60-80% cost reduction compared to per-spoke deployment
Regulated Industries
A bank uses Premium session recording for all production server access, satisfying PCI-DSS requirement 10.2 for audit trails of privileged access
DevOps Workflows
Development teams use native client tunnels for VS Code Remote SSH, database management with SSMS, and log streaming through custom TCP ports
Vendor Management
IT teams generate 4-hour shareable links for external support engineers, eliminating the need for VPN credentials or temporary Azure AD accounts
Bonnes Pratiques et Recommandations
Sur la base de déploiements en entreprise et d’expérience en production, ces recommandations vous aideront à maximiser la valeur :
- Always use a dedicated /26 or larger subnet named exactly AzureBastionSubnet — this naming convention is mandatory
- Enable Azure DDoS Protection Standard on the Bastion VNet to protect the public endpoint from volumetric attacks
- Configure Diagnostic Settings to send BastionAuditLogs to Log Analytics for integration with Microsoft Sentinel SIEM
- Enforce Azure AD MFA through Conditional Access policies — Bastion supports MFA prompt before establishing sessions
- Use scale units appropriately: each unit handles ~20 RDP or ~40 SSH concurrent sessions. Monitor and auto-scale during incidents
- For dev/test environments, automate Bastion deploy/delete on business hours schedule to save ~58% of compute costs
Questions Fréquemment Posées
How much does Azure Bastion cost?
Basic SKU starts at ~$0.19/hour (~$140/month). Standard adds native client, shareable links, and scaling at ~$0.29/hour base plus ~$0.088/hour per additional scale unit. Premium adds session recording at ~$0.42/hour. Dev/test automation can reduce costs significantly.
Can I use Azure Bastion across subscriptions?
Yes, through VNet peering. Deploy Bastion in a hub VNet in one subscription and peer with spoke VNets in other subscriptions. Ensure peering allows gateway transit and NSGs permit traffic between subnets on ports 443, 3389, and 22.
What is the difference between Bastion and a jump box?
Bastion is fully managed with no OS patching, built-in DDoS protection, and session recording. Jump boxes require VM management, security hardening, and manual audit logging. Bastion costs more but eliminates operational overhead and reduces attack surface.
