Delen via

Privé verbinding maken met omgevingen

  • Artikel

De referentiearchitectuur is standaard beveiligd. Het maakt gebruik van een meerlaagse beveiligingsbenadering om veelvoorkomende risico's voor gegevensexfiltratie te beperken die worden veroorzaakt door klanten. U kunt bepaalde functies op een netwerk-, identiteits-, gegevens- en servicelaag gebruiken om specifieke besturingselementen voor toegang te definiëren en alleen vereiste gegevens beschikbaar te maken voor uw gebruikers. Zelfs als sommige van deze beveiligingsmechanismen mislukken, helpen de functies om gegevens binnen het platform op ondernemingsniveau veilig te houden.

Netwerkfuncties zoals privé-eindpunten en uitgeschakelde openbare netwerktoegang kunnen de kwetsbaarheid voor aanvallen van een gegevensplatform binnen een organisatie aanzienlijk verminderen. Zelfs als deze functies zijn ingeschakeld, moet u extra voorzorgsmaatregelen nemen om verbinding te maken met services zoals Azure-opslagaccounts, Azure Synapse-werkruimten of Azure Machine Learning via het openbare internet.

In dit document worden de meest voorkomende opties beschreven voor het maken van verbinding met services in een landingszone voor gegevensbeheer of gegevenslandingszone op een eenvoudige en veilige manier.

Overzicht van Azure Bastion-host en jumpboxes

De eenvoudigste oplossing is het hosten van een jumpbox op het virtuele netwerk van de gegevensbeheerlandingszone of datalandingszone om verbinding te maken met de gegevensservices via privé-eindpunten. Een jumpbox is een virtuele Azure-machine (VM) waarop Linux of Windows wordt uitgevoerd waarmee gebruikers verbinding kunnen maken via Remote Desktop Protocol (RDP) of Secure Shell (SSH).

Voorheen moesten jumpbox-VM's worden gehost met openbare IP-adressen om RDP- en SSH-sessies via het openbare internet in te schakelen. Netwerkbeveiligingsgroepen (NSG's) kunnen worden gebruikt om verkeer verder te vergrendelen om verbindingen van slechts een beperkte set openbare IP-adressen toe te staan. Deze benadering betekende echter dat een openbaar IP-adres moest worden blootgesteld vanuit de Azure-omgeving, waardoor de kwetsbaarheid voor aanvallen van een organisatie werd verhoogd. Klanten kunnen ook DNAT-regels in hun Azure Firewall gebruiken om de SSH- of RDP-poort van een VIRTUELE machine beschikbaar te maken voor het openbare internet, wat leidt tot vergelijkbare beveiligingsrisico's.

Tegenwoordig kunt u, in plaats van een virtuele machine openbaar te maken, vertrouwen op Azure Bastion als veiliger alternatief. Azure Bastion biedt een beveiligde externe verbinding vanuit Azure Portal naar Azure-VM's via Tls (Transport Layer Security). Azure Bastion moet worden ingesteld op een speciaal subnet (subnet met de naam AzureBastionSubnet) in de Azure-landingszone of Azure-gegevensbeheerlandingszone. U kunt deze vervolgens gebruiken om rechtstreeks vanuit Azure Portal verbinding te maken met een virtuele machine in dat virtuele netwerk of een gekoppeld virtueel netwerk. Er hoeven geen extra clients of agents te worden geïnstalleerd op een virtuele machine. U kunt NSG's opnieuw gebruiken om alleen RDP en SSH vanuit Azure Bastion toe te staan.

diagram van azure Bastion-netwerkarchitectuur.

Azure Bastion biedt enkele andere belangrijke beveiligingsvoordelen, waaronder:

  • Verkeer dat vanuit Azure Bastion naar de doel-VM wordt geïnitieerd, blijft binnen het virtuele netwerk van de klant.
  • U krijgt bescherming tegen poortscans omdat RDP-poorten, SSH-poorten en openbare IP-adressen niet openbaar worden weergegeven voor VM's.
  • Azure Bastion helpt u te beschermen tegen zero-day-aanvallen. Deze bevindt zich aan de perimeter van uw virtuele netwerk. Omdat het een PaaS (Platform as a Service) is, houdt het Azure-platform Azure Bastion up-to-date.
  • De service kan worden geïntegreerd met systeemeigen beveiligingsapparaten voor een virtueel Azure-netwerk, zoals Azure Firewall.
  • Azure Bastion kan worden gebruikt voor het bewaken en beheren van externe verbindingen.

Voor meer informatie, zie Wat is Azure Bastion?.

Implementatie

Om het proces voor gebruikers te vereenvoudigen, is er een Bicep/ARM-sjabloon waarmee u deze opstelling snel kunt maken in uw landingszone voor gegevensbeheer of gegevenslandingszone. Gebruik de sjabloon om de volgende installatie in uw abonnement te maken:

diagram van Azure Bastion-architectuur.

Als u de Bastion-host zelf wilt implementeren, selecteert u de knop Implementeren in Azure:

implementeren in Azure

Wanneer u Azure Bastion en een jumpbox implementeert via de knop Implementeren in Azure, kunt u hetzelfde voorvoegsel en dezelfde omgeving opgeven die u gebruikt in uw landingszone of landingszone voor gegevensbeheer. Deze implementatie heeft geen conflicten en fungeert als een invoegtoepassing voor uw gegevenslandingszone of de landingszone voor gegevensbeheer. U kunt handmatig andere VM's toevoegen zodat meer gebruikers in de omgeving kunnen werken.

Verbinding maken met de VIRTUELE machine

Na de implementatie ziet u dat er twee extra subnetten worden gemaakt in het virtuele netwerk van de gegevenslandingszone.

Schermopname van de Azure Bastion- en Jumpbox-subnetten.

Daarnaast vindt u een nieuwe resourcegroep in uw abonnement, waaronder de Azure Bastion-resource en een virtuele machine:

schermopname van een lijst met Azure Bastion-resourcegroepen.

Voer de volgende stappen uit om verbinding te maken met de virtuele machine met behulp van Azure Bastion:

  1. Selecteer de virtuele machine (bijvoorbeeld dlz01-dev-bastion), selecteer Verbinding makenen selecteer vervolgens Bastion-.

    schermopname van het deelvenster Overzicht voor het maken van verbinding met een virtuele machine met behulp van Azure Bastion.

  2. Selecteer de blauwe knop Gebruik Bastion.

  3. Voer uw inloggegevens in en selecteer Verbinding maken.

    Schermafbeelding van het deelvenster 'Aansluiten met Azure Bastion' om verbinding te maken met uw virtuele machine door in te loggen met uw referenties.

    De RDP-sessie wordt geopend op een nieuw browsertabblad, waaruit u verbinding kunt maken met uw gegevensservices.

  4. Meld u aan bij de Azure Portal.

  5. Ga naar de {prefix}-{environment}-product-synapse001 Azure Synapse-werkruimte in de {prefix}-{environment}-shared-product resourcegroep voor gegevensverkenning.

    schermopname van de Synapse-werkruimte in Azure Portal.

  6. Laad in de Azure Synapse-werkruimte een voorbeeldgegevensset uit de galerie (bijvoorbeeld de gegevensset NYC Taxi) en selecteer vervolgens New SQL Script om een query uit te voeren op TOP 100 rijen.

    schermopname van het deelvenster Synapse Analytics voor het maken van verbinding met een nieuw SQL-script.

Als alle virtuele netwerken met elkaar zijn gekoppeld, is slechts één jumpbox in één gegevenslandingszone vereist voor toegang tot diensten in alle gegevenslandingszones en landingszones voor gegevensbeheer.

Zie Overwegingen voor netwerkarchitectuurvoor meer informatie over waarom we deze netwerkinstallatie aanbevelen. U wordt aangeraden maximaal één Azure Bastion-service per gegevenslandingszone te gebruiken. Als meer gebruikers toegang nodig hebben tot de omgeving, kunt u extra Azure-VM's toevoegen aan de landingszone voor gegevens.

Punt-naar-site-verbindingen gebruiken

U kunt gebruikers ook verbinden met het virtuele netwerk met behulp van punt-naar-site-verbindingen. Een systeemeigen Azure-oplossing voor deze benadering is het instellen van een VPN-gateway om VPN-verbindingen tussen gebruikers en de VPN-gateway via een versleutelde tunnel toe te staan. Nadat u de verbinding tot stand hebt gebracht, kunnen gebruikers privé verbinding maken met services die worden gehost op het virtuele netwerk in de Azure-tenant.

U wordt aangeraden de VPN-gateway in te stellen in het virtuele hubnetwerk van de hub-and-spoke-architectuur. Zie Zelfstudie: Een gatewayportal makenvoor gedetailleerde stapsgewijze instructies voor het instellen van een VPN-gateway.

Site-naar-site-verbindingen gebruiken

Als gebruikers al zijn verbonden met de on-premises netwerkomgeving en de connectiviteit moet worden uitgebreid naar Azure, kunt u site-naar-site-verbindingen gebruiken om verbinding te maken met de on-premises en Azure-connectiviteitshub. Net als bij een VPN-tunnelverbinding kunt u met de site-naar-site-verbinding de connectiviteit met de Azure-omgeving uitbreiden. Hierdoor kunnen gebruikers die zijn verbonden met het bedrijfsnetwerk privé verbinding maken met services die worden gehost op het virtuele netwerk in de Azure-tenant.

De aanbevolen, systeemeigen Azure-benadering voor dergelijke connectiviteit is het gebruik van ExpressRoute. U wordt aangeraden een ExpressRoute-gateway in te stellen in het virtuele hubnetwerk van de hub-and-spoke-architectuur. Zie Zelfstudie: Peering voor een ExpressRoute-circuit maken en wijzigen met behulp van de Azure-portalvoor gedetailleerde, stapsgewijze instructies voor het instellen van ExpressRoute-connectiviteit.

Volgende stappen

Veelgestelde vragen op ondernemingsniveau