Udostępnij za pośrednictwem


Stosowanie zasad zero trust do szyfrowania komunikacji sieciowej opartej na platformie Azure

Ten artykuł zawiera wskazówki dotyczące stosowania zasad zerowej relacji zaufania do szyfrowania komunikacji sieciowej z środowiskami platformy Azure i między środowiskami platformy Azure w następujący sposób.

Zasada zerowego zaufania Definicja Met by
Jawną weryfikację Zawsze uwierzytelniaj się i autoryzuj na podstawie wszystkich dostępnych punktów danych. Używanie zasad dostępu warunkowego dla połączeń usługi Azure VPN Gateway i protokołu Secure Shell (SSH) i protokołu RDP (Remote Desktop Protocol) dla połączeń między użytkownikami i maszynami wirtualnymi.
Używanie dostępu z jak najmniejszą liczbą uprawnień Ogranicz dostęp użytkowników za pomocą zasad just in time i Just-Enough-Access (JIT/JEA), zasad adaptacyjnych opartych na ryzyku i ochrony danych. Konfigurowanie urządzeń microsoft Enterprise Edge (MSEE) do używania statycznego klucza skojarzenia łączności (CAK) dla usługi Azure ExpressRoute z portami bezpośrednimi i używania tożsamości zarządzanej do uwierzytelniania zasobów obwodu usługi ExpressRoute.
Zakładanie naruszeń zabezpieczeń Zminimalizuj promień wybuchu i dostęp segmentu. Zweryfikuj kompleksowe szyfrowanie i korzystaj z analizy, aby uzyskać widoczność, zwiększyć wykrywanie zagrożeń i poprawić ochronę. Ochrona ruchu sieciowego za pomocą metod szyfrowania i protokołów zapewniających poufność, integralność i autentyczność przesyłanych danych.

Używanie usługi Azure Monitor do udostępniania metryk wydajności i alertów sieci usługi ExpressRoute.

Za pomocą usługi Azure Bastion można zarządzać poszczególnymi sesjami z usługi Bastion i usuwać lub wymuszać rozłączenie.

Ten artykuł jest częścią serii artykułów , które pokazują, jak zastosować zasady zerowego zaufania dla sieci platformy Azure.

Poziomy szyfrowania ruchu sieciowego to:

  • Szyfrowanie warstwy sieciowej

    • Zabezpieczanie i weryfikowanie komunikacji z Internetu lub sieci lokalnej do sieci wirtualnych i maszyn wirtualnych platformy Azure

    • Zabezpieczanie i weryfikowanie komunikacji w sieciach wirtualnych platformy Azure i w sieciach wirtualnych platformy Azure

  • Szyfrowanie warstwy aplikacji

    • Ochrona aplikacji internetowych platformy Azure
  • Ochrona obciążeń uruchomionych na maszynach wirtualnych platformy Azure

Architektura odwołań

Na poniższym diagramie przedstawiono architekturę referencyjną dla tych wskazówek dotyczących szyfrowania komunikacji między użytkownikami i administratorami lokalnie lub w Internecie oraz składnikami w środowisku platformy Azure na potrzeby kroków opisanych w tym artykule.

Diagram przedstawiający architekturę referencyjną składników sieci platformy Azure z zastosowanymi zasadami szyfrowania i zerowego zaufania.

Na diagramie liczby odpowiadają krokom w poniższych sekcjach.

Co znajduje się w tym artykule?

Zasady zero trust są stosowane w całej architekturze referencyjnej, od użytkowników i administratorów w Internecie lub sieci lokalnej do i w chmurze platformy Azure. W poniższej tabeli opisano zalecenia dotyczące zapewniania szyfrowania ruchu sieciowego w tej architekturze.

Krok Zadanie Stosowane zasady zerowego zaufania
1 Implementowanie szyfrowania warstwy sieciowej. Weryfikowanie jawnie
Użyj najmniej uprzywilejowanego dostępu
Zakładanie naruszeń zabezpieczeń
2 Zabezpieczanie i weryfikowanie komunikacji z sieci lokalnej do sieci wirtualnych platformy Azure. Weryfikowanie jawnie
Zakładanie naruszeń zabezpieczeń
3 Zabezpieczanie i weryfikowanie komunikacji w sieciach wirtualnych platformy Azure i w sieciach wirtualnych platformy Azure. Zakładanie naruszeń zabezpieczeń
100 Zaimplementuj szyfrowanie warstwy aplikacji. Weryfikowanie jawnie
Zakładanie naruszeń zabezpieczeń
5 Ochrona maszyn wirtualnych platformy Azure przy użyciu usługi Azure Bastion. Zakładanie naruszeń zabezpieczeń

Krok 1. Implementowanie szyfrowania warstwy sieciowej

Szyfrowanie warstwy sieciowej ma kluczowe znaczenie podczas stosowania zasad zero trust do środowiska lokalnego i środowiska platformy Azure. Gdy ruch sieciowy przechodzi przez Internet, zawsze należy założyć, że istnieje możliwość przechwycenia ruchu przez osoby atakujące, a dane mogą zostać ujawnione lub zmienione przed dotarciem do miejsca docelowego. Ponieważ dostawcy usług kontrolują sposób kierowania danych przez Internet, chcesz mieć pewność, że prywatność i integralność danych są utrzymywane od momentu opuszczenia sieci lokalnej przez całą drogę do chmury firmy Microsoft.

Na poniższym diagramie przedstawiono architekturę referencyjną implementowania szyfrowania warstwy sieciowej.

Diagram przedstawiający architekturę referencyjną implementacji szyfrowania warstwy sieciowej dla sieci platformy Azure.

W dwóch następnych sekcjach omówiono zabezpieczenia protokołu internetowego (IPsec) i zabezpieczenia kontroli dostępu do multimediów (MACsec), które usługi sieciowe platformy Azure obsługują te protokoły i jak można zapewnić ich wykorzystanie.

IPsec

IPsec to grupa protokołów zapewniających zabezpieczenia komunikacji protokołu internetowego (IP). Uwierzytelnia i szyfruje pakiety sieciowe przy użyciu zestawu algorytmów szyfrowania. IPSec to protokół hermetyzacji zabezpieczeń używany do ustanawiania wirtualnych sieci prywatnych (VPN). Tunel VPN IPsec składa się z dwóch faz, fazy 1 nazywanej trybem głównym i fazą 2 znaną jako tryb szybki.

Faza 1 protokołu IPsec to utworzenie tunelu, w którym elementy równorzędne negocjują parametry skojarzenia zabezpieczeń internetowego programu Exchange (IKE), takie jak szyfrowanie, uwierzytelnianie, skróty i algorytmy Diffie-Hellman. Aby zweryfikować swoje tożsamości, elementy równorzędne wymieniają klucz wstępny. Faza 1 protokołu IPsec może działać w dwóch trybach: tryb główny lub tryb agresywny. Usługa Azure VPN Gateway obsługuje dwie wersje protokołów IKE, IKEv1 i IKEv2 i działają tylko w trybie głównym. Tryb główny zapewnia szyfrowanie tożsamości połączenia między usługą Azure VPN Gateway i urządzeniem lokalnym.

W fazie 2 protokołu IPsec komunikacja równorzędna negocjuje parametry zabezpieczeń na potrzeby transmisji danych. W tej fazie obie elementy równorzędne zgadzają się na algorytmy szyfrowania i uwierzytelniania, wartość okresu istnienia skojarzenia zabezpieczeń (SA) i selektory ruchu (TS), które definiują, jaki ruch jest szyfrowany przez tunel IPsec. Tunel utworzony w fazie 1 służy jako bezpieczny kanał dla tych negocjacji. Protokół IPsec może zabezpieczać pakiety IP przy użyciu protokołu nagłówka uwierzytelniania (AH) lub hermetyzowania protokołu Ładunku zabezpieczeń (ESP). Usługa AH zapewnia integralność i uwierzytelnianie, a esp zapewnia również poufność (szyfrowanie). Faza 2 protokołu IPsec może działać w trybie transportu lub w trybie tunelu. W trybie transportu tylko ładunek pakietu IP jest szyfrowany, podczas gdy w trybie tunelu cały pakiet IP jest szyfrowany i dodawany jest nowy nagłówek IP. Fazę 2 protokołu IPsec można ustanowić na podstawie protokołu IKEv1 lub IKEv2. Bieżąca implementacja protokołu IPsec usługi Azure VPN Gateway obsługuje tylko protokół ESP w trybie tunelu.

Niektóre usługi platformy Azure, które obsługują protokół IPsec, to:

  • Azure VPN Gateway

    • Połączenia sieci VPN typu lokacja-lokacja

    • Połączenia między sieciami wirtualnymi

    • Połączenia typu punkt-lokacja

  • Azure Virtual WAN

    • Lokacje sieci VPN

    • Konfiguracje sieci VPN użytkownika

Nie ma żadnych ustawień, które należy zmodyfikować, aby włączyć protokół IPsec dla tych usług. Są one domyślnie włączone.

Usługa MACsec i usługa Azure Key Vault

MACsec (IEEE 802.1AE) to standard zabezpieczeń sieci, który stosuje zasadę Przyjmij zero zaufania w warstwie łącza danych, zapewniając uwierzytelnianie i szyfrowanie za pośrednictwem łącza Ethernet. MaCsec zakłada, że każdy ruch sieciowy, nawet w tej samej sieci lokalnej, może zostać naruszony lub przechwycony przez złośliwych podmiotów. Program MACsec weryfikuje i chroni każdą ramkę przy użyciu klucza zabezpieczeń współużytkowanego między dwoma interfejsami sieciowymi. Tę konfigurację można wykonać tylko między dwoma urządzeniami obsługującymi protokół MACsec.

Protokół MACsec jest skonfigurowany ze skojarzeniami łączności, które są zestawem atrybutów używanych przez interfejsy sieciowe do tworzenia przychodzących i wychodzących kanałów zabezpieczeń. Po utworzeniu ruch przez te kanały jest wymieniany za pośrednictwem dwóch zabezpieczonych łączy MACsec. Usługa MACsec ma dwa tryby skojarzenia łączności:

  • Tryb klucza skojarzenia łączności statycznej (CAK): zabezpieczone łącza maCsec są ustanawiane przy użyciu klucza wstępnego, który zawiera nazwę klucza skojarzenia łączności (CKN) i przypisany klucz CAK. Te klucze są konfigurowane na obu końcach łącza.
  • Tryb dynamicznego uwierzytelniania CAK: klucze zabezpieczeń są generowane dynamicznie przy użyciu procesu uwierzytelniania 802.1x, które może używać scentralizowanego urządzenia uwierzytelniania, takiego jak serwer usługi radius (Remote Authentication Dial-In User Service).

Urządzenia microsoft Enterprise Edge (MSEE) obsługują statyczny klucz CAK przez przechowywanie CAK i CKN w usłudze Azure Key Vault podczas konfigurowania usługi Azure ExpressRoute przy użyciu portów bezpośrednich. Aby uzyskać dostęp do wartości w usłudze Azure Key Vault, skonfiguruj tożsamość zarządzaną w celu uwierzytelniania zasobu obwodu usługi ExpressRoute. Takie podejście jest zgodne z zasadą Użyj najmniejszego uprzywilejowanego dostępu zero trust, ponieważ tylko autoryzowane urządzenia mogą uzyskiwać dostęp do kluczy z usługi Azure Key Vault. Aby uzyskać więcej informacji, zobacz Konfigurowanie protokołu MACsec na portach usługi ExpressRoute Direct.

Krok 2. Zabezpieczanie i weryfikowanie komunikacji z sieci lokalnej do sieci wirtualnych platformy Azure

Ponieważ migracja do chmury staje się bardziej rozpowszechniona w różnych skalach, łączność hybrydowa odgrywa kluczową rolę. Ważne jest, aby nie tylko zabezpieczyć i chronić, ale także weryfikować i monitorować komunikację sieciową między siecią lokalną a platformą Azure.

Na poniższym diagramie przedstawiono architekturę referencyjną zabezpieczania i weryfikowania komunikacji z sieci lokalnej do sieci wirtualnych platformy Azure.

Diagram przedstawiający architekturę referencyjną w celu zabezpieczenia i zweryfikowania komunikacji z sieci lokalnej do sieci wirtualnych platformy Azure.

Platforma Azure oferuje dwie opcje łączenia sieci lokalnej z zasobami w sieci wirtualnej platformy Azure:

  • Usługa Azure VPN Gateway umożliwia utworzenie tunelu sieci VPN typu lokacja-lokacja przy użyciu protokołu IPsec w celu szyfrowania i uwierzytelniania komunikacji sieciowej między siecią w biurach centralnych lub zdalnych a siecią wirtualną platformy Azure. Umożliwia również poszczególnym klientom nawiązanie połączenia punkt-lokacja w celu uzyskania dostępu do zasobów w sieci wirtualnej platformy Azure bez urządzenia sieci VPN. W celu zapewnienia zgodności z protokołem Zero Trust skonfiguruj zasady uwierzytelniania identyfikatora entra firmy Microsoft i dostępu warunkowego dla połączeń usługi Azure VPN Gateway, aby zweryfikować tożsamość i zgodność połączonych urządzeń. Aby uzyskać więcej informacji, zobacz Używanie bramy sieci VPN microsoft Tunnel z zasadami dostępu warunkowego.

  • Usługa Azure ExpressRoute zapewnia połączenie prywatne o wysokiej przepustowości, które umożliwia rozszerzenie sieci lokalnej na platformę Azure przy użyciu pomocy dostawcy łączności. Ponieważ ruch sieciowy nie jest przesyłany przez publiczny Internet, dane nie są domyślnie szyfrowane. Aby zaszyfrować ruch za pośrednictwem usługi ExpressRoute, skonfiguruj tunel IPsec. Należy jednak pamiętać, że w przypadku uruchamiania tuneli IPsec za pośrednictwem usługi ExpressRoute przepustowość jest ograniczona do przepustowości tunelu i może być konieczne uruchomienie wielu tuneli w celu dopasowania do przepustowości obwodu usługi ExpressRoute. Aby uzyskać więcej informacji, zobacz Połączenia sieci VPN typu lokacja-lokacja za pośrednictwem prywatnej komunikacji równorzędnej usługi ExpressRoute — Azure VPN Gateway.

    Jeśli używasz portów usługi ExpressRoute Direct, możesz zwiększyć bezpieczeństwo sieci, włączając uwierzytelnianie podczas ustanawiania elementów równorzędnych BGP lub konfigurowanie protokołu MACsec w celu zabezpieczenia komunikacji w warstwie 2. Usługa MACsec zapewnia szyfrowanie ramek Ethernet, zapewniając poufność danych, integralność i autentyczność między routerem brzegowym a routerem brzegowym firmy Microsoft.

    Usługa Azure ExpressRoute obsługuje również usługę Azure Monitor dla metryk wydajności sieci i alertów.

Szyfrowanie może chronić dane przed nieautoryzowanym przechwyceniem, ale wprowadza również dodatkową warstwę przetwarzania na potrzeby szyfrowania i odszyfrowywania ruchu sieciowego, który może mieć wpływ na wydajność. Ruch sieciowy przechodzący przez Internet może być również nieprzewidywalny, ponieważ musi podróżować przez wiele urządzeń sieciowych, które mogą powodować opóźnienie sieci. Aby uniknąć problemów z wydajnością, firma Microsoft zaleca korzystanie z usługi ExpressRoute, ponieważ oferuje niezawodną wydajność sieci i alokację przepustowości, którą można dostosować dla obciążenia.

Podczas podejmowania decyzji między usługą Azure VPN Gateway lub usługą ExpressRoute należy wziąć pod uwagę następujące pytania:

  1. Jakiego rodzaju pliki i aplikacje uzyskujesz dostęp między siecią lokalną a platformą Azure? Czy wymagana jest spójna przepustowość do przesyłania dużych ilości danych?
  2. Czy potrzebujesz spójnego i małego opóźnienia, aby aplikacje działały optymalnie?
  3. Czy musisz monitorować wydajność sieci i kondycję łączności hybrydowej?

Jeśli udzielono odpowiedzi na dowolne z tych pytań, usługa Azure ExpressRoute powinna być podstawową metodą łączenia sieci lokalnej z platformą Azure.

Istnieją dwa typowe scenariusze, w których usługa ExpressRoute i usługa Azure VPN Gateway mogą współistnieć:

  • Brama Azure VPN Gateway może służyć do łączenia oddziałów z platformą Azure przy jednoczesnym połączeniu głównego biura przy użyciu usługi ExpressRoute.
  • Możesz również użyć usługi Azure VPN Gateway jako połączenia kopii zapasowej z platformą Azure dla biura centralnego, jeśli usługa ExpressRoute ma awarię.

Krok 3. Zabezpieczanie i weryfikowanie komunikacji w sieciach wirtualnych platformy Azure i w sieciach wirtualnych platformy Azure

Ruch na platformie Azure ma podstawowy poziom szyfrowania. W przypadku ruchu między sieciami wirtualnymi w różnych regionach firma Microsoft używa protokołu MACsec do szyfrowania i uwierzytelniania ruchu komunikacji równorzędnej w warstwie łącza danych.

Na poniższym diagramie przedstawiono architekturę referencyjną zabezpieczania i weryfikowania komunikacji w sieciach wirtualnych platformy Azure i w tych sieciach.

Diagram przedstawiający architekturę referencyjną na potrzeby zabezpieczania i weryfikowania komunikacji w sieciach wirtualnych platformy Azure i w sieciach wirtualnych platformy Azure.

Jednak samo szyfrowanie nie wystarczy, aby zapewnić zero trust. Należy również zweryfikować i monitorować komunikację sieci w sieciach wirtualnych platformy Azure i w sieciach wirtualnych platformy Azure. Dalsze szyfrowanie i weryfikacja między sieciami wirtualnymi są możliwe za pomocą usługi Azure VPN Gateway lub wirtualnych urządzeń sieciowych (WUS), ale nie jest to powszechna praktyka. Firma Microsoft zaleca projektowanie topologii sieci w celu korzystania ze scentralizowanego modelu inspekcji ruchu, który może wymuszać szczegółowe zasady i wykrywać anomalie.

Aby zmniejszyć nakład pracy związany z konfigurowaniem bramy sieci VPN lub urządzenia wirtualnego, włącz funkcję szyfrowania sieci wirtualnej dla niektórych rozmiarów maszyn wirtualnych w celu szyfrowania i weryfikowania ruchu między maszynami wirtualnymi na poziomie hosta, w sieci wirtualnej i między wirtualnymi sieciami równorzędnymi.

Krok 4. Implementowanie szyfrowania w warstwie aplikacji

Szyfrowanie warstwy aplikacji odgrywa kluczowy czynnik dla usługi Zero Trust, który nakazuje szyfrowanie wszystkich danych i komunikacji podczas interakcji użytkowników z aplikacjami internetowymi lub urządzeniami. Szyfrowanie warstwy aplikacji zapewnia, że tylko zweryfikowane i zaufane jednostki mogą uzyskiwać dostęp do aplikacji internetowych lub urządzeń.

Na poniższym diagramie przedstawiono architekturę referencyjną do implementowania szyfrowania w warstwie aplikacji.

Diagram przedstawiający architekturę referencyjną do implementowania szyfrowania w warstwie aplikacji.

Jednym z najpopularniejszych przykładów szyfrowania w warstwie aplikacji jest Protokół Secure (HTTPS) funkcji Hypertext Transfer Protocol, który szyfruje dane między przeglądarką internetową a serwerem internetowym. Protokół HTTPS używa protokołu Transport Layer Security (TLS) do szyfrowania komunikacji klient-serwer i używa certyfikatu cyfrowego TLS do weryfikowania tożsamości i wiarygodności witryny internetowej lub domeny.

Innym przykładem zabezpieczeń warstwy aplikacji jest protokół Secure Shell (SSH) i protokół RDP (Remote Desktop Protocol), który szyfruje dane między klientem a serwerem. Te protokoły obsługują również zasady uwierzytelniania wieloskładnikowego i dostępu warunkowego w celu zapewnienia, że tylko autoryzowane i zgodne urządzenia lub użytkownicy mogą uzyskiwać dostęp do zasobów zdalnych. Zobacz Krok 5, aby uzyskać informacje na temat zabezpieczania połączeń SSH i RDP z maszynami wirtualnymi platformy Azure.

Ochrona aplikacji internetowych platformy Azure

Aby chronić aplikacje internetowe platformy Azure, możesz użyć usługi Azure Front Door lub bramy aplikacja systemu Azure Gateway.

Azure Front Door

Azure Front Door to globalna usługa dystrybucji, która optymalizuje dostarczanie zawartości użytkownikom końcowym za pośrednictwem lokalizacji brzegowych firmy Microsoft. Dzięki funkcjom takim jak zapora aplikacji internetowej (WAF) i usługa Private Link można wykrywać i blokować złośliwe ataki na aplikacje internetowe na brzegu sieci Microsoft, a jednocześnie prywatnie uzyskiwać dostęp do źródeł przy użyciu sieci wewnętrznej firmy Microsoft.

Aby chronić dane, ruch do punktów końcowych usługi Azure Front Door jest chroniony przy użyciu protokołu HTTPS z kompleksową protokołem TLS dla całego ruchu przechodzącego do i z jego punktów końcowych. Ruch jest szyfrowany z klienta do źródła i od źródła do klienta.

Usługa Azure Front Door obsługuje żądania HTTPS i określa, który punkt końcowy w swoim profilu ma skojarzoną nazwę domeny. Następnie sprawdza ścieżkę i określa, która reguła routingu pasuje do ścieżki żądania. Jeśli buforowanie jest włączone, usługa Azure Front Door sprawdza jego pamięć podręczną, aby sprawdzić, czy istnieje prawidłowa odpowiedź. Jeśli nie ma prawidłowej odpowiedzi, usługa Azure Front Door wybiera najlepsze źródło, które może obsłużyć żądaną zawartość. Przed wysłaniem żądania do źródła do żądania można zastosować zestaw reguł, aby zmienić nagłówek, ciąg zapytania lub miejsce docelowe źródła.

Usługa Azure Front Door obsługuje zarówno protokół TLS frontonu, jak i zaplecza. Protokół TLS frontonu szyfruje ruch między klientem a usługą Azure Front Door. Protokół TLS zaplecza szyfruje ruch między usługą Azure Front Door a źródłem. Usługa Azure Front Door obsługuje protokoły TLS 1.2 i TLS 1.3. Usługę Azure Front Door można skonfigurować tak, aby używała niestandardowego certyfikatu TLS lub użyć certyfikatu zarządzanego przez usługę Azure Front Door.

Uwaga

Możesz również użyć funkcji Private Link do łączności z urządzeniami WUS w celu dalszej inspekcji pakietów.

Usługa Azure Application Gateway

aplikacja systemu Azure Gateway to regionalny moduł równoważenia obciążenia, który działa w warstwie 7. Kieruje i dystrybuuje ruch internetowy na podstawie atrybutów adresu URL PROTOKOŁU HTTP. Może kierować i dystrybuować ruch przy użyciu trzech różnych metod:

  • Tylko protokół HTTP: usługa Application Gateway odbiera i kieruje przychodzące żądania HTTP do odpowiedniego miejsca docelowego w postaci niezaszyfrowanej.
  • Kończenie żądań SSL: usługa Application Gateway odszyfrowuje przychodzące żądania HTTPS na poziomie wystąpienia, sprawdza je i kieruje je niezaszyfrowane do miejsca docelowego.
  • Kompleksowe szyfrowanie TLS: usługa Application Gateway odszyfrowuje przychodzące żądania HTTPS na poziomie wystąpienia, sprawdza je i szyfruje je ponownie przed routingiem do miejsca docelowego.

Najbezpieczniejszą opcją jest kompleksowe protokół TLS, który umożliwia szyfrowanie i przesyłanie poufnych danych przez wymaganie użycia certyfikatów uwierzytelniania lub zaufanych certyfikatów głównych. Wymaga również przekazania tych certyfikatów na serwery zaplecza i upewnienia się, że te serwery zaplecza są znane usłudze Application Gateway. Aby uzyskać więcej informacji, zobacz Konfigurowanie kompleksowego protokołu TLS przy użyciu usługi Application Gateway.

Ponadto użytkownicy lokalni lub użytkownicy na maszynach wirtualnych w innej sieci wirtualnej mogą używać wewnętrznego frontonu usługi Application Gateway z tymi samymi możliwościami protokołu TLS. Oprócz szyfrowania firma Microsoft zaleca, aby zawsze włączać zaporę aplikacji internetowej w celu zapewnienia większej ochrony frontonu dla punktów końcowych.

Krok 5. Ochrona maszyn wirtualnych platformy Azure przy użyciu usługi Azure Bastion

Azure Bastion to zarządzana usługa PaaS, która umożliwia bezpieczne łączenie się z maszynami wirtualnymi za pośrednictwem połączenia TLS. Tę łączność można ustanowić w witrynie Azure Portal lub za pośrednictwem natywnego klienta do prywatnego adresu IP na maszynie wirtualnej. Zalety korzystania z usługi Bastion obejmują:

  • Maszyny wirtualne platformy Azure nie potrzebują publicznego adresu IP. Połączenia są za pośrednictwem portu TCP 443 dla protokołu HTTPS i mogą przechodzić przez większość zapór.
  • Maszyny wirtualne są chronione przed skanowaniem portów.
  • Platforma Azure Bastion jest stale aktualizowana i chroniona przed programami wykorzystującymi luki zero-dniowe.

Za pomocą usługi Bastion można kontrolować łączność RDP i SSH z maszyną wirtualną z jednego punktu wejścia. Poszczególne sesje można zarządzać z poziomu usługi Bastion w witrynie Azure Portal. Możesz również usunąć lub wymusić rozłączenie trwającej sesji zdalnej, jeśli podejrzewasz, że użytkownik nie ma łączyć się z tym komputerem.

Na poniższym diagramie przedstawiono architekturę referencyjną używania usługi Azure Bastion do ochrony maszyn wirtualnych platformy Azure.

Diagram przedstawiający architekturę referencyjną używania usługi Azure Bastion do ochrony maszyn wirtualnych platformy Azure.

Aby chronić maszynę wirtualną platformy Azure, wdróż usługę Azure Bastion i rozpocznij korzystanie z protokołów RDP i SSH w celu nawiązania połączenia z maszynami wirtualnymi przy użyciu prywatnych adresów IP.

Następne kroki

Aby uzyskać dodatkowe informacje na temat stosowania usługi Zero Trust do sieci platformy Azure, zobacz:

Informacje

Zapoznaj się z tymi linkami, aby dowiedzieć się więcej o różnych usługach i technologiach wymienionych w tym artykule.