Che cos'è Azure Bastion?
È fondamentale poter amministrare e gestire in modo sicuro le macchine virtuali ospitate in remoto. Per iniziare, definire la gestione remota sicura e quindi esaminare le funzionalità di Azure Bastion. Questa panoramica consente di decidere se Azure Bastion è una scelta adatta alle proprie esigenze.
Che cos'è la gestione remota sicura?
La gestione remota sicura è la possibilità di connettersi a una risorsa remota senza esporre tale risorsa a rischi per la sicurezza. Questo tipo di connessione può talvolta risultare complessa, soprattutto se l'accesso alla risorsa avviene tramite Internet.
Quando gli amministratori si connettono a macchine virtuali remote, in genere usano RDP o SSH per raggiungere gli obiettivi amministrativi. Il problema è che per connettersi a una macchina virtuale ospitata, è necessario connettersi al relativo indirizzo IP pubblico. Tuttavia, esporre le porte IP usate da RDP e SSH (3389 e 22) a Internet è altamente indesiderato, perché presenta notevoli rischi per la sicurezza.
Definizione di Azure Bastion
Azure Bastion è una piattaforma distribuita come servizio (PaaS) completamente gestita che consente di offrire accesso RDP e SSH sicuro e semplice alle macchine virtuali di Azure direttamente tramite il portale di Azure.
Azure Bastion:
- È progettato e configurato per resistere agli attacchi.
- Offre connettività RDP e SSH ai carichi di lavoro di Azure dietro il bastion.
Nella tabella seguente vengono descritte le funzionalità disponibili dopo la distribuzione di Azure Bastion.
| Vantaggio | Descrizione |
|---|---|
| RDP e SSH tramite il portale di Azure | È possibile accedere direttamente alle sessioni RDP e SSH nel portale di Azure con una semplice esperienza con singolo clic. |
| Sessione remota su TLS e attraversamento del firewall per RDP/SSH | Azure Bastion usa un client Web basato su HTML5 che viene trasmesso automaticamente al dispositivo locale. La sessione RDP/SSH usa TLS sulla porta 443. Ciò consente al traffico di attraversare i firewall in modo più sicuro. Il bastion supporta TLS 1.2 e versioni successive. Le versioni precedenti di TLS non sono supportate. |
| Nessun indirizzo IP pubblico richiesto nella macchina virtuale di Azure | Azure Bastion apre la connessione RDP/SSH alla macchina virtuale di Azure usando un indirizzo IP privato nella macchina virtuale. Non è necessario un indirizzo IP pubblico nella macchina virtuale. |
| Nessun problema di gestione dei gruppi di sicurezza di rete (NSG) | Non è necessario applicare alcun gruppo di sicurezza di rete alla subnet di Azure Bastion. Dato che Azure Bastion si connette alle macchine virtuali tramite un indirizzo IP privato, è possibile configurare i gruppi di sicurezza di rete per consentire la connettività RDP/SSH solo da Azure Bastion. In questo modo non è più necessario gestire gruppi di sicurezza di rete ogni volta che occorre connettersi in modo sicuro alle macchine virtuali. |
| Nessuna necessità di gestire un host bastion separato in una macchina virtuale | Azure Bastion è un servizio PaaS completamente gestito dalla piattaforma di Azure con protezione avanzata internamente per offrire connettività RDP/SSH sicura. |
| Protezione dall'analisi delle porte | Le macchine virtuali sono protette dall'analisi delle porte da parte di utenti non autorizzati e malintenzionati perché non è necessario esporle a Internet. |
| Protezione avanzata in un'unica posizione | Azure Bastion è collocato sul perimetro della rete virtuale, pertanto non è necessario preoccuparsi della protezione avanzata di ognuna delle macchine virtuali nella rete virtuale. |
| Protezione da exploit zero-day | La piattaforma Azure protegge dagli exploit zero-day gestendo automaticamente la protezione avanzata di Azure Bastion e mantenendo sempre aggiornato il servizio. |
Come evitare l'esposizione di porte di gestione remota
Implementando Azure Bastion, è possibile gestire le macchine virtuali di Azure all'interno di una rete virtuale di Azure configurata usando RDP o SSH, senza dover esporre tali porte di gestione alla rete Internet pubblica. Usando Azure Bastion, è possibile:
- Connettersi facilmente alle macchine virtuali di Azure. Connettere le sessioni RDP e SSH direttamente nel portale di Azure.
- Evitare di esporre le porte di gestione a Internet. Accedere alle macchine virtuali di Azure ed evitare l'esposizione pubblica a Internet usando SSH e RDP solo con indirizzi IP privati.
- Evitare una riconfigurazione completa dell'infrastruttura di rete esistente. Integrare e attraversare i firewall e i perimetri di sicurezza esistenti usando un client Web moderno basato su HTML5 su TLS sulla porta 443.
- Semplificare l'accesso. Usare le chiavi SSH per l'autenticazione quando si accede alle macchine virtuali di Azure.
Suggerimento
È possibile salvare tutte le chiavi private SSH in Azure Key Vault per supportare l'archiviazione centralizzata delle chiavi.