Descrivere Azure Bastion

  • 6 minuti

Si supponga di aver configurato più reti virtuali che usano una combinazione di gruppi di sicurezza di rete e Firewall di Azure per proteggere e filtrare l'accesso agli asset e alle risorse, incluse le macchine virtuali. Si è così protetti dalle minacce esterne, ma è necessario consentire agli sviluppatori e ai data scientist, che lavorano in remoto, l'accesso diretto a tali macchine virtuali.

In un modello tradizionale sarebbe necessario esporre le porte RDP (Remote Desktop Protocol) e/o SSH (Secure Shell) a Internet. Questi protocolli possono essere usati per ottenere l'accesso remoto alle macchine virtuali. Questo processo crea una minaccia di superficie significativa che può essere sfruttata da utenti malintenzionati che ricercano attivamente computer accessibili con porte di gestione aperte, ad esempio RDP o SSH. Quando una VM viene compromessa, viene usata come punto di ingresso per attaccare altre risorse nell'ambiente.

Azure Bastion

Azure Bastion è un servizio distribuito che consente di connettersi a una macchina virtuale usano un browser e il portale di Azure. Azure Bastion è un nuovo servizio PaaS completamente gestito dalla piattaforma di cui si effettua il provisioning all'interno della rete virtuale. Azure Bastion offre connettività RDP e SSH sicura e trasparente alle macchine virtuali direttamente dal portale di Azure tramite TLS (Transport Layer Security). Quando ci si connette tramite Azure Bastion, per le macchine virtuali non è necessario un indirizzo IP pubblico, un agente o un software client speciale.

Diagramma che illustra come un utente può creare una connessione Desktop remoto a una macchina virtuale di Azure usando Azure Bastion.

Bastion offre connettività RDP e SSH sicura per tutte le macchine virtuali nella rete virtuale e nelle reti virtuali con peering in cui viene effettuato il provisioning del servizio. L'utilizzo di Azure Bastion consente di proteggere le macchine virtuali dall'esposizione delle porte RDP/SSH all'esterno, offrendo al tempo stesso l'accesso sicuro tramite RDP/SSH.

La distribuzione di Azure Bastion è per rete virtuale con supporto per peering di reti virtuali, non per sottoscrizione, account o macchina virtuale. Dopo aver effettuato il provisioning del servizio Azure Bastion nella rete virtuale, l'esperienza RDP/SSH è disponibile per tutte le macchine virtuali all'interno della stessa rete virtuale e alle reti virtuali con peering.

Vantaggi principali di Azure Bastion

Di seguito sono riportati i vantaggi principali di Azure Bastion:

  • RDP e SSH direttamente nel portale di Azure: è possibile accedere alla sessione RDP e SSH direttamente nel portale di Azure con un singolo clic.
  • Sessione remota su TLS e attraversamento del firewall per RDP/SSH: dal portale di Azure una connessione alla macchina virtuale aprirà un client Web basato su HTML5 di cui viene eseguito automaticamente lo streaming nel dispositivo locale. Si otterrà la connessione RDP (Remote Desktop Protocol) e SSH (Secure Shell) per attraversare i firewall aziendali in modo sicuro. La connessione viene resa sicura tramite il protocollo TLS (Transport Layer Security) per stabilire la crittografia.
  • Nessun indirizzo IP pubblico richiesto nella macchina virtuale di Azure: Azure Bastion apre la connessione RDP/SSH alla macchina virtuale di Azure usando l'indirizzo IP privato nella macchina virtuale. Non è necessario un indirizzo IP pubblico.
  • Non occorre gestire gruppi di sicurezza di rete: Azure Bastion è un servizio PaaS completamente gestito dalla piattaforma di Azure con protezione avanzata internamente per offrire connettività RDP/SSH sicura. Non è necessario applicare alcun gruppo di sicurezza di rete per una subnet di Azure Bastion.
  • Protezione dalla scansione delle porte: non essendo necessario esporle alla rete Internet pubblica, le macchine virtuali sono protette dall'analisi delle porte eseguita da utenti non autorizzati e malintenzionati all'esterno della rete virtuale.
  • Protezione avanzata in un'unica posizione per la protezione da exploit zero-day: Azure Bastion è un servizio PaaS completamente gestito dalla piattaforma. Essendo collocato sul perimetro della rete virtuale, non è necessario preoccuparsi della protezione avanzata di ognuna delle macchine virtuali nella rete virtuale. La piattaforma Azure protegge dagli exploit zero-day gestendo automaticamente la protezione avanzata di Azure Bastion e mantenendo sempre aggiornato il servizio.

Usare Azure Bastion per stabilire una connettività RDP e SSH sicura con le macchine virtuali in Azure.

Azure Bastion offre più livelli di SKU. Per altre informazioni su Azure Bastion, incluse le funzionalità presentii negli SKU disponibili, vedere la documentazione collegata intitolata "Informazioni su Azure Bastion", nella sezione Altre informazioni dell'unità di riepilogo e risorse.