Co to jest usługa Azure Bastion?
Ważne jest, aby móc bezpiecznie administrować maszynami wirtualnymi hostowanymi zdalnie i zarządzać nimi. Aby rozpocząć, zdefiniujmy bezpieczne zdalne zarządzanie, a następnie przejrzyjmy funkcje usługi Azure Bastion. To omówienie ułatwia podjęcie decyzji, czy usługa Azure Bastion jest odpowiednia dla Twoich wymagań.
Co to jest bezpieczne zdalne zarządzanie?
Bezpieczne zdalne zarządzanie to możliwość nawiązywania połączenia z zasobem zdalnym bez ujawniania tego zasobu na zagrożenia bezpieczeństwa. Ten typ połączenia może czasami być trudny, zwłaszcza jeśli zasób jest uzyskiwany przez Internet.
Gdy administratorzy łączą się ze zdalnymi maszynami wirtualnymi, zazwyczaj używają protokołu RDP lub SSH do osiągnięcia celów administracyjnych. Problem polega na tym, że aby nawiązać połączenie z hostowaną maszyną wirtualną, musisz nawiązać połączenie z jego publicznym adresem IP. Jednak uwidacznianie portów IP używanych przez protokoły RDP i SSH (3389 i 22) do Internetu jest wysoce niepożądane, ponieważ stanowi znaczne zagrożenie bezpieczeństwa.
Definicja usługi Azure Bastion
Azure Bastion to w pełni zarządzana platforma jako usługa (PaaS), która pomaga zapewnić bezpieczny i bezproblemowy dostęp RDP i SSH do maszyn wirtualnych platformy Azure bezpośrednio za pośrednictwem witryny Azure Portal.
Azure Bastion:
- Jest zaprojektowany i skonfigurowany do wytrzymania ataków.
- Zapewnia łączność RDP i SSH z obciążeniami platformy Azure za bastionem.
W poniższej tabeli opisano funkcje, które są dostępne po wdrożeniu usługi Azure Bastion.
Korzyści | opis |
---|---|
Protokół RDP i protokół SSH za pośrednictwem witryny Azure Portal | Możesz przejść do sesji RDP i SSH bezpośrednio w witrynie Azure Portal przy użyciu bezproblemowego środowiska jednokrotnego kliknięcia. |
Sesja zdalna za pośrednictwem protokołu TLS i przechodzenia przez zaporę dla protokołu RDP/SSH | Usługa Azure Bastion używa klienta internetowego opartego na języku HTML5, który jest automatycznie przesyłany strumieniowo do urządzenia lokalnego. Sesja protokołu RDP/SSH odbywa się za pośrednictwem protokołu TLS na porcie 443. Dzięki temu ruch może bezpieczniej przechodzić przez zapory. Usługa Bastion obsługuje protokół TLS 1.2 lub nowszy. Starsze wersje protokołu TLS nie są obsługiwane. |
Na maszynie wirtualnej platformy Azure nie jest wymagany publiczny adres IP | Usługa Azure Bastion otwiera połączenie RDP/SSH z maszyną wirtualną platformy Azure przy użyciu prywatnego adresu IP na maszynie wirtualnej. Nie potrzebujesz publicznego adresu IP na maszynie wirtualnej. |
Brak problemów z zarządzaniem sieciowymi grupami zabezpieczeń | Nie musisz stosować żadnych sieciowych grup zabezpieczeń do podsieci usługi Azure Bastion. Ponieważ usługa Azure Bastion łączy się z maszynami wirtualnymi za pośrednictwem prywatnego adresu IP, możesz skonfigurować sieciowe grupy zabezpieczeń tak, aby zezwalały na używanie protokołu RDP/SSH tylko z usługi Azure Bastion. Eliminuje to problemy z zarządzaniem sieciowymi grupami zabezpieczeń za każdym razem, gdy trzeba bezpiecznie nawiązać połączenie z maszynami wirtualnymi. |
Nie trzeba zarządzać oddzielnym hostem bastionu na maszynie wirtualnej | Azure Bastion to w pełni zarządzana usługa PaaS platformy z platformy Azure, która jest wzmocniona wewnętrznie w celu zapewnienia bezpiecznej łączności RDP/SSH. |
Ochrona przed skanowaniem portów | Maszyny wirtualne są chronione przed skanowaniem portów przez nieautoryzowanych i złośliwych użytkowników, ponieważ nie trzeba ujawniać maszyn wirtualnych w Internecie. |
Wzmacnianie tylko w jednym miejscu | Usługa Azure Bastion znajduje się w obwodzie sieci wirtualnej, więc nie musisz martwić się o wzmocnienie zabezpieczeń każdej maszyny wirtualnej w sieci wirtualnej. |
Ochrona przed programami wykorzystującymi luki zero-dniowe | Platforma Azure chroni przed programami wykorzystującymi luki zero-dniowe, zachowując bezpieczeństwo usługi Azure Bastion i zawsze aktualną dla Ciebie. |
Jak uniknąć uwidaczniania portów zdalnego zarządzania
Implementując usługę Azure Bastion, można zarządzać maszynami wirtualnymi platformy Azure w skonfigurowanej sieci wirtualnej platformy Azure przy użyciu protokołu RDP lub SSH bez konieczności uwidaczniania tych portów zarządzania w publicznym Internecie. Za pomocą usługi Azure Bastion można wykonywać następujące czynności:
- Łatwo nawiąż połączenie z maszynami wirtualnymi platformy Azure. Połącz sesje RDP i SSH bezpośrednio w witrynie Azure Portal.
- Unikaj uwidaczniania portów zarządzania w Internecie. Zaloguj się do maszyn wirtualnych platformy Azure i unikaj publicznej ekspozycji w Internecie przy użyciu protokołów SSH i RDP tylko z prywatnymi adresami IP.
- Unikaj rozległej ponownej konfiguracji istniejącej infrastruktury sieciowej. Integrowanie i przechodzenie przez istniejące zapory i obwody zabezpieczeń przy użyciu nowoczesnego klienta internetowego opartego na języku HTML5 za pośrednictwem protokołu TLS na porcie 443.
- Uproszczenie logowania. Użyj kluczy SSH do uwierzytelniania podczas logowania się do maszyn wirtualnych platformy Azure.
Napiwek
Możesz zapisać wszystkie klucze prywatne SSH w usłudze Azure Key Vault, aby obsługiwać scentralizowany magazyn kluczy.