Azure Bastion 정보
원격 호스트된 VM을 안전하게 관리하는 것이 중요합니다. 먼저 보안 원격 관리를 정의한 후, Azure Bastion의 기능을 검토합니다. 이 개요는 Azure Bastion이 요구 사항에 적합한지를 결정하는 데 도움이 됩니다.
보안 원격 관리란?
보안 원격 관리는 해당 리소스를 보안 위험에 공개하지 않고도 원격 리소스에 연결하는 기능입니다. 특히 인터넷을 통해 리소스에 액세스하는 경우에는 이런 유형의 연결은 어려울 수 있습니다.
관리자가 원격 VM에 연결하는 경우 일반적으로 RDP 또는 SSH를 사용하여 관리 목표를 달성합니다. 문제는 호스트된 VM에 연결하기 위해 공용 IP 주소에 연결해야 한다는 것입니다. 그러나 RDP 및 SSH(3389 및 22)에서 사용하는 IP 포트를 인터넷에 공개하는 것은 심각한 보안 위험을 야기하므로 매우 바람직하지 않습니다.
Azure Bastion 정의
Azure Bastion은 완전 관리형 Platform as a Service(PaaS)로 Azure Portal을 통해 직접 Azure VM에 안전하고 원활한 RDP 및 SSH 액세스를 제공하는 데 도움이 됩니다.
Azure Bastion:
- 공격에 견디도록 설계 및 구성되었습니다.
- Bastion 뒤의 Azure 워크로드에 RDP 및 SSH 연결을 제공합니다.
다음 표에서는 Azure Bastion을 배포한 후 사용할 수 있는 기능에 대해 설명합니다.
| 장점 | 설명 |
|---|---|
| Azure Portal을 통한 RDP 및 SSH | 단 한 번의 클릭으로 원활한 환경을 사용하여 Azure Portal에서 RDP 및 SSH 세션을 가져올 수 있습니다. |
| RDP/SSH를 위한 TLS 및 방화벽 통과를 통한 원격 세션 | Azure Bastion은 자동으로 로컬 디바이스로 스트리밍되는 HTML5 기반 웹 클라이언트를 사용합니다. RDP/SSH 세션은 포트 443에서 TLS를 통해 진행됩니다. 이렇게 하면 트래픽이 방화벽을 더 안전하게 통과할 수 있습니다. Bastion은 TLS 1.2 이상을 지원합니다. 이전 TLS 버전은 지원되지 않습니다. |
| Azure VM에 공용 IP 주소가 필요하지 않습니다. | Azure Bastion은 VM에서 개인 IP 주소를 사용하여 Azure VM에 대한 RDP/SSH 연결을 엽니다. 가상 머신에서 공용 IP 주소가 필요하지 않습니다. |
| NSG(네트워크 보안 그룹) 관리의 번거로움이 없음 | Azure Bastion 서브넷에 NSG를 적용할 필요가 없습니다. Azure Bastion은 개인 IP를 통해 가상 머신에 연결하므로 Azure Bastion의 RDP/SSH만 허용하도록 NSG를 구성할 수 있습니다. 이렇게 하면 가상 머신에 안전하게 연결하기 위해 매번 NSG를 관리하는 번거로움이 사라집니다. |
| VM에서 별도의 베스천 호스트를 관리할 필요가 없습니다. | Azure Bastion은 안전한 RDP/SSH 연결을 제공하기 위해 내부적으로 강화된 Azure의 완전 관리형 플랫폼 PaaS 서비스입니다. |
| 포트 검색으로부터 보호 | VM을 인터넷에 공개할 필요가 없기 때문에 사기 및 악성 해커의 포트 검색으로부터 VM을 보호할 수 있습니다. |
| 단일 지점에서 강화 | Azure Bastion은 가상 네트워크의 경계에 위치하므로 가상 네트워크의 각 VM을 강화할 필요가 없습니다. |
| 제로 데이 공격으로부터 보호 | Azure 플랫폼은 Azure Bastion을 강화하고 항상 최신 상태로 유지함으로써 제로 데이 공격으로부터 보호합니다. |
원격 관리 포트 공개를 방지하는 방법
Azure Bastion을 구현하면 해당 관리 포트를 공용 인터넷에 공개하지 않고도 RDP 또는 SSH를 사용하여 구성된 Azure 가상 네트워크 내에서 Azure VM을 관리할 수 있습니다. Azure Bastion을 사용하여 다음을 수행할 수 있습니다.
- Azure VM에 쉽게 연결할 수 있습니다. Azure Portal에서 RDP 및 SSH 세션을 직접 연결합니다.
- 관리 포트를 인터넷에 공개하지 않습니다. Azure VM에 로그인하고 개인 IP 주소를 사용하는 SSH 및 RDP를 사용하여 공용 인터넷 공개를 방지합니다.
- 광범위한 기존 네트워크 인프라 재구성을 방지합니다. 포트 443에서 TLS를 통해 최신 HTML5 기반 웹 클라이언트를 사용하여 기존 방화벽과 보안 경계를 통합하고 통과합니다.
- 로그인을 단순화합니다. Azure VM에 로그인할 때 인증을 위해 SSH 키를 사용합니다.
팁
Azure Key Vault에 모든 SSH 개인 키를 저장하여 중앙 집중식 키 스토리지를 지원할 수 있습니다.