Udostępnij za pośrednictwem

Nawiązywanie połączenia ze środowiskami prywatnie

  • Artykuł

Architektura referencyjna jest bezpieczna zgodnie z projektem. Wykorzystuje wielowarstwowe podejście zabezpieczeń w celu ograniczenia typowych zagrożeń eksfiltracji danych zgłaszanych przez klientów. Niektóre funkcje można używać w sieci, tożsamości, danych i warstwie usługi, aby zdefiniować określone mechanizmy kontroli dostępu i uwidocznić tylko wymagane dane dla użytkowników. Nawet jeśli niektóre z tych mechanizmów zabezpieczeń kończą się niepowodzeniem, funkcje pomagają zapewnić bezpieczeństwo danych w obrębie platformy w skali przedsiębiorstwa.

Funkcje sieci, takie jak prywatne punkty końcowe i wyłączony dostęp do sieci publicznej, mogą znacznie zmniejszyć obszar ataków platformy danych w organizacji. Nawet w przypadku włączenia tych funkcji należy podjąć dodatkowe środki ostrożności, aby pomyślnie nawiązać połączenie z usługami, takimi jak konta usługi Azure Storage, obszary robocze usługi Azure Synapse lub usługa Azure Machine Learning z publicznego Internetu.

W tym dokumencie opisano najbardziej typowe opcje nawiązywania połączenia z usługami w strefie docelowej zarządzania danymi lub strefy docelowej danych w prosty i bezpieczny sposób.

Omówienie hostów i serwerów przesiadkowych usługi Azure Bastion

Najprostszym rozwiązaniem jest hostowanie jumpboxa w sieci wirtualnej strefy docelowej zarządzania danymi lub strefy docelowej danych, aby połączyć się z usługami danych za pośrednictwem prywatnych punktów końcowych. Serwer przesiadkowy to maszyna wirtualna platformy Azure z systemem Linux lub Windows, z którą użytkownicy mogą łączyć się za pośrednictwem protokołu RDP (Remote Desktop Protocol) lub Secure Shell (SSH).

Wcześniej maszyny wirtualne typu jumpbox musiały mieć publiczne adresy IP, aby umożliwić sesje RDP i SSH z publicznej sieci. Sieciowe grupy zabezpieczeń mogą służyć do dalszego blokowania ruchu w celu zezwolenia na połączenia tylko z ograniczonego zestawu publicznych adresów IP. Jednak takie podejście oznaczało, że publiczny adres IP musiał zostać ujawniony ze środowiska platformy Azure, co zwiększyło obszar ataków organizacji. Alternatywnie klienci mogą używać reguł DNAT w usłudze Azure Firewall, aby uwidocznić port SSH lub RDP maszyny wirtualnej do publicznego Internetu, co prowadzi do podobnych zagrożeń bezpieczeństwa.

Obecnie zamiast uwidaczniać maszynę wirtualną publicznie, możesz polegać na usłudze Azure Bastion jako bezpieczniejszej alternatywie. Usługa Azure Bastion zapewnia bezpieczne połączenie zdalne z witryny Azure Portal do maszyn wirtualnych platformy Azure za pośrednictwem protokołu Transport Layer Security (TLS). Usługa Azure Bastion powinna zostać skonfigurowana w dedykowanej podsieci (podsieci o nazwie AzureBastionSubnet) w strefie docelowej danych platformy Azure lub strefie docelowej zarządzania danymi platformy Azure. Następnie możesz użyć jej do nawiązania połączenia z dowolną maszyną wirtualną w tej sieci wirtualnej lub w równorzędnej sieci wirtualnej bezpośrednio z portalu Azure. Na dowolnej maszynie wirtualnej nie trzeba instalować dodatkowych klientów ani agentów. Możesz ponownie użyć sieciowych grup zabezpieczeń, aby zezwolić na połączenia RDP i SSH wyłącznie z usługi Azure Bastion.

Diagram architektury sieci usługi Azure Bastion.

Usługa Azure Bastion oferuje kilka innych podstawowych korzyści zabezpieczeń, w tym:

  • Ruch inicjowany z usługi Azure Bastion do docelowej maszyny wirtualnej pozostaje w sieci wirtualnej klienta.
  • Uzyskujesz ochronę przed skanowaniem portów, ponieważ porty RDP, porty SSH i publiczne adresy IP nie są publicznie widoczne dla maszyn wirtualnych.
  • Usługa Azure Bastion pomaga chronić przed atakami typu zero-day. Znajduje się na obrzeżu sieci wirtualnej. Ponieważ jest to platforma jako usługa (PaaS), platforma Azure utrzymuje aktualność usługi Azure Bastion.
  • Usługa integruje się z natywnymi urządzeniami zabezpieczeń dla sieci wirtualnej platformy Azure, takimi jak Usługa Azure Firewall.
  • Usługa Azure Bastion może służyć do monitorowania połączeń zdalnych i zarządzania nimi.

Aby uzyskać więcej informacji, zobacz Co to jest usługa Azure Bastion?.

Wdrażania

Aby uprościć proces dla użytkowników, istnieje szablon Bicep/ARM, który może pomóc w szybkim utworzeniu tej konfiguracji wewnątrz strefy docelowej zarządzania danymi lub strefy docelowej danych. Użyj szablonu, aby utworzyć następującą konfigurację w ramach subskrypcji:

Diagram architektury usługi Azure Bastion.

Aby samodzielnie wdrożyć hosta usługi Bastion, wybierz przycisk Wdróż na platformie Azure:

Wdrażanie do Azure

Podczas wdrażania usługi Azure Bastion i jumpboxa za pośrednictwem przycisku Wdróż na platformie Azure możesz podać ten sam prefiks i środowisko używane w strefie docelowej danych lub strefie docelowej zarządzania danymi. To wdrożenie nie powoduje konfliktów i pełni rolę dodatku do strefy przechowywania danych lub strefy zarządzania danymi. Możesz ręcznie dodać inne maszyny wirtualne, aby umożliwić większą liczbę użytkowników do pracy w środowisku.

Nawiązywanie połączenia z maszyną wirtualną

Po wdrożeniu zauważysz, że dwie dodatkowe podsieci są tworzone w sieci wirtualnej strefy docelowej danych.

zrzut ekranu przedstawiający podsieci usługi Azure Bastion i Jumpbox.

Ponadto znajdziesz nową grupę zasobów w ramach subskrypcji, która obejmuje zasób usługi Azure Bastion i maszynę wirtualną:

Zrzut ekranu przedstawiający listę grup zasobów usługi Azure Bastion.

Aby nawiązać połączenie z maszyną wirtualną przy użyciu usługi Azure Bastion, wykonaj następujące kroki:

  1. Wybierz maszynę wirtualną (na przykład dlz01-dev-bastion), wybierz pozycję Connect, a następnie wybierz pozycję Bastion.

    Zrzut ekranu przedstawiający okienko Przegląd służące do nawiązywania połączenia z maszyną wirtualną przy użyciu usługi Azure Bastion.

  2. Wybierz niebieski przycisk Użyj Bastion.

  3. Wprowadź swoje poświadczenia, a następnie wybierz pozycję Połącz.

    Zrzut ekranu przedstawiający okienko

    Sesja protokołu RDP zostanie otwarta na nowej karcie przeglądarki, z której można rozpocząć nawiązywanie połączenia z usługami danych.

  4. Zaloguj się do portalu Azure.

  5. Przejdź do obszaru roboczego {prefix}-{environment}-product-synapse001 Azure Synapse w grupie zasobów {prefix}-{environment}-shared-product na potrzeby eksploracji danych.

    Zrzut ekranu przedstawiający obszar roboczy usługi Synapse w witrynie Azure Portal.

  6. W obszarze roboczym usługi Azure Synapse załaduj przykładowy zestaw danych z kolekcji (na przykład zestaw danych NYC Taxi), a następnie wybierz pozycję Nowy skrypt SQL, aby zapytać TOP 100 wierszy.

    Zrzut ekranu przedstawiający okienko usługi Synapse Analytics służące do nawiązywania połączenia z nowym skryptem SQL.

Jeśli wszystkie sieci wirtualne są połączone ze sobą, do uzyskania dostępu do usług we wszystkich strefach docelowych danych i strefach docelowych zarządzania danymi wystarczy jeden punkt dostępowy.

Aby dowiedzieć się, dlaczego zalecamy tę konfigurację sieci, zobacz Zagadnienia dotyczące architektury sieci. Zalecamy maksymalnie jedną usługę Azure Bastion na strefę docelową danych. Jeśli więcej użytkowników wymaga dostępu do środowiska, możesz dodać dodatkowe maszyny wirtualne platformy Azure do strefy docelowej danych.

Używanie połączeń punkt-lokacja

Alternatywnie można połączyć użytkowników z siecią wirtualną przy użyciu połączeń punkt-lokacja. Rozwiązaniem natywnym dla platformy Azure jest skonfigurowanie bramy sieci VPN w celu umożliwienia połączeń sieci VPN między użytkownikami a bramą sieci VPN za pośrednictwem szyfrowanego tunelu. Po nawiązaniu połączenia użytkownicy mogą zacząć łączyć się prywatnie z usługami hostowanymi w sieci wirtualnej w dzierżawie platformy Azure.

Zalecamy skonfigurowanie bramy sieci VPN w sieci wirtualnej centralnej w architekturze centralno-promienistej. W celu uzyskania szczegółowych wskazówek krok po kroku dotyczących konfigurowania bramy sieci VPN, zobacz Samouczek: tworzenie portalu bramy.

Używanie połączeń typu lokacja-lokacja

Jeśli użytkownicy są już połączeni z korporacyjnym środowiskiem sieci lokalnej i łączność powinna zostać rozszerzona na platformę Azure, możesz użyć połączeń między lokalizacjami, aby połączyć lokalną sieć z hubem łączności platformy Azure. Podobnie jak połączenie tunelu VPN, połączenie typu lokacja-lokacja umożliwia rozszerzenie łączności ze środowiskiem platformy Azure. Dzięki temu użytkownicy połączeni z siecią korporacyjną mogą prywatnie łączyć się z usługami hostowanymi w sieci wirtualnej w ramach tenanta platformy Azure.

Zalecaną metodą natywną dla platformy Azure do takiej łączności jest użycie usługi ExpressRoute. Zalecamy skonfigurowanie bramy usługi ExpressRoute w sieci wirtualnej piasty architektury piasty i szprych. Aby uzyskać szczegółowe wskazówki krok po kroku dotyczące konfigurowania łączności usługi ExpressRoute, zobacz Samouczek: tworzenie i modyfikowanie peeringu dla obwodu usługi ExpressRoute przy użyciu Azure portal.

Następne kroki

— często zadawane pytania dotyczące skali przedsiębiorstwa