Sdílet prostřednictvím

Připojte se k prostředím privátně

  • Článek

Referenční architektura je zabezpečená návrhem. Používá vícevrsměrný přístup zabezpečení ke zmírnění běžných rizik exfiltrace dat vyvolaných zákazníky. Určité funkce můžete použít v síti, identitě, datech a vrstvě služby k definování konkrétních řízení přístupu a zveřejnění jenom požadovaných dat pro vaše uživatele. I když některé z těchto mechanismů zabezpečení selžou, funkce pomáhají udržovat data v rámci podnikové platformy zabezpečené.

Síťové funkce, jako jsou privátní koncové body a zakázaný přístup k veřejné síti, můžou výrazně snížit prostor pro útoky na datovou platformu v rámci organizace. I když jsou tyto funkce povolené, musíte provést další opatření pro úspěšné připojení ke službám, jako jsou účty úložiště Azure, pracovní prostory Azure Synapse nebo Azure Machine Learning z veřejného internetu.

Tento dokument popisuje nejběžnější možnosti připojení ke službám v cílové zóně správy dat nebo cílové zóně dat jednoduchým a bezpečným způsobem.

Přehled služeb Azure Bastion host a jump boxů

Nejjednodušším řešením je hostovat jumpbox ve virtuální síti cílové zóny správy dat nebo cílové zóny dat pro připojení k datovým službám prostřednictvím privátních koncových bodů. Jumpbox je virtuální počítač Azure s Linuxem nebo Windows, ke kterému se uživatelé můžou připojit přes protokol RDP (Remote Desktop Protocol) nebo Secure Shell (SSH).

Dříve se virtuální počítače jumpboxu musely hostovat s veřejnými IP adresami, aby bylo možné povolit relace RDP a SSH z veřejného internetu. Skupiny zabezpečení sítě (NSG) je možné použít k dalšímu uzamčení provozu, aby bylo možné povolit připojení pouze z omezené sady veřejných IP adres. Tento přístup ale znamená, že veřejná IP adresa musela být zpřístupněná z prostředí Azure, což zvýšilo prostor pro útoky organizace. Případně můžou zákazníci pomocí pravidel DNAT ve službě Azure Firewall zpřístupnit port SSH nebo RDP virtuálního počítače na veřejném internetu, což vede k podobným rizikům zabezpečení.

V současné době můžete místo veřejného zveřejnění virtuálního počítače spoléhat na Azure Bastion jako bezpečnější alternativu. Azure Bastion poskytuje zabezpečené vzdálené připojení z webu Azure Portal k virtuálním počítačům Azure přes protokol TLS (Transport Layer Security). Služba Azure Bastion by měla být nastavená na vyhrazené podsíti (podsíť s názvem AzureBastionSubnet) v cílové zóně Azure nebo cílové zóně správy dat Azure. Pak ho můžete použít k připojení k libovolnému virtuálnímu počítači v této virtuální síti nebo partnerské virtuální síti přímo z webu Azure Portal. Na žádném virtuálním počítači není potřeba instalovat žádné další klienty ani agenty. Skupiny zabezpečení sítě můžete opět použít k povolení protokolů RDP a SSH výhradně ze služby Azure Bastion.

diagramu síťové architektury služby Azure Bastion

Azure Bastion nabízí několik dalších základních výhod zabezpečení, mezi které patří:

  • Provoz iniciovaný ze služby Azure Bastion do cílového virtuálního počítače zůstává v rámci virtuální sítě zákazníka.
  • Získáte ochranu před kontrolou portů, protože porty RDP, porty SSH a veřejné IP adresy nejsou veřejně přístupné pro virtuální počítače.
  • Azure Bastion pomáhá chránit před exploity nulového dne. Nachází se v hranici vaší virtuální sítě. Vzhledem k tomu, že se jedná o platformu jako službu (PaaS), udržuje platforma Azure Bastion aktuální.
  • Služba se integruje s nativními bezpečnostními zařízeními pro virtuální síť Azure, jako je Azure Firewall.
  • Azure Bastion se dá použít k monitorování a správě vzdálených připojení.

Další informace najdete v tématu Co je Azure Bastion?.

Nasazení

Pro zjednodušení procesu pro uživatele existuje šablona Bicep/ARM, která vám pomůže rychle vytvořit toto nastavení v cílové zóně správy dat nebo v cílové zóně dat. Pomocí šablony vytvořte v rámci předplatného následující nastavení:

diagram architektury služby Azure Bastion

Pokud chcete hostitele Bastion nasadit sami, vyberte tlačítko Nasadit do Azure:

Nasadit do Azure

Když nasadíte Azure Bastion a jumpbox prostřednictvím tlačítka Nasadit do Azure, můžete zadat stejnou předponu a prostředí, které používáte v cílové zóně dat nebo cílové zóně správy dat. Toto nasazení nemá žádné konflikty a slouží jako doplněk k cílové zóně dat nebo cílové zóně správy dat. Další virtuální počítače můžete přidat ručně, abyste umožnili více uživatelům pracovat v prostředí.

Připojení k virtuálnímu počítači

Po nasazení si všimnete, že se ve virtuální síti cílové zóny dat vytvoří dvě další podsítě.

snímek obrazovky s podsítěmi Azure Bastion a Jumpbox

Kromě toho v rámci svého předplatného najdete novou skupinu prostředků, která zahrnuje prostředek Služby Azure Bastion a virtuální počítač:

snímek obrazovky se seznamem skupin prostředků Azure Bastion

Pokud se chcete k virtuálnímu počítači připojit pomocí služby Azure Bastion, postupujte takto:

  1. Vyberte virtuální počítač (například dlz01-dev-bastion), vyberte Připojita pak vyberte Bastion.

    snímek obrazovky s podoknem Přehled pro připojení k virtuálnímu počítači pomocí služby Azure Bastion

  2. Vyberte modré tlačítko Použít bastion.

  3. Zadejte svoje přihlašovací údaje a pak vyberte Připojit.

    snímek obrazovky podokna 'Připojit pomocí služby Azure Bastion' pro připojení k vašemu virtuálnímu počítači přihlášením se pomocí přihlašovacích údajů.

    Relace protokolu RDP se otevře na nové kartě prohlížeče, ze které se můžete začít připojovat k datovým službám.

  4. Přihlaste se do Azure portálu.

  5. Otevřete pracovní prostor {prefix}-{environment}-product-synapse001 Azure Synapse uvnitř zdrojové skupiny {prefix}-{environment}-shared-product pro zkoumání dat.

    snímek obrazovky s pracovním prostorem Synapse na webu Azure Portal

  6. V pracovním prostoru Azure Synapse načtěte ukázkovou datovou sadu z galerie (například datovou sadu taxislužby NYC) a pak vyberte Nový skript SQL pro dotazování TOP 100 řádků.

    snímek obrazovky s podoknem Synapse Analytics pro připojení k novému skriptu SQL

Pokud jsou všechny virtuální sítě vzájemně propojené, je vyžadován pouze jeden jumpbox v jedné datové cílové zóně pro přístup ke službám napříč všemi datovými cílovými zónami a cílovými zónami správy dat.

Informace o tom, proč doporučujeme toto nastavení sítě, najdete v tématu Aspekty architektury sítě. Pro cílovou zónu dat doporučujeme maximálně jednu službu Azure Bastion. Pokud více uživatelů vyžaduje přístup k prostředí, můžete do cílové zóny dat přidat další virtuální počítače Azure.

Použití připojení typu point-to-site

Další možností je připojit uživatele k virtuální síti pomocí připojení typu point-to-site. Řešením nativním pro Azure je nastavit bránu VPN tak, aby umožňovala připojení VPN mezi uživateli a bránou VPN přes šifrovaný tunel. Po navázání připojení můžou uživatelé začít soukromě připojovat ke službám hostovaným ve virtuální síti v rámci tenanta Azure.

Doporučujeme nastavit bránu VPN v centrální virtuální síti architektury hub-and-spoke. Podrobné pokyny k nastavení brány VPN najdete v tématu Kurz: Vytvoření portálu brány.

Použijte připojení typu místo-místo

Pokud už jsou uživatelé připojení k místnímu síťovému prostředí a připojení by se mělo rozšířit do Azure, můžete k připojení místního centra a centra připojení Azure použít připojení typu site-to-site. Podobně jako připojení k tunelu VPN umožňuje připojení typu site-to-site rozšířit připojení do prostředí Azure. To umožňuje uživatelům, kteří jsou připojení k podnikové síti, privátní připojení ke službám hostovaným ve virtuální síti v tenantovi Azure.

Doporučeným přístupem nativním pro Azure k těmto možnostem připojení je použití ExpressRoute. Doporučujeme nastavit bránu ExpressRoute ve virtuální síti hubu v rámci architektury hub a paprsek. Podrobné pokyny k nastavení připojení ExpressRoute najdete v tématu Kurz: Vytvoření a úprava partnerského vztahu pro okruh ExpressRoute pomocí webu Azure Portal.

Další kroky

Často kladené dotazy na podnikové úrovni