Conectar-se a ambientes de forma privada
A arquitetura de referência é segura por design. Ele usa uma abordagem de segurança multicamadas para atenuar os riscos comuns de exfiltração de dados gerados pelos clientes. Você pode usar determinados recursos em uma rede, identidade, dados e camada de serviço para definir controles de acesso específicos e expor apenas os dados necessários aos usuários. Mesmo que alguns desses mecanismos de segurança falhem, os recursos ajudarão a manter os dados na plataforma de escala empresarial seguros.
Recursos de rede, como pontos de extremidade privados e acesso de rede pública desabilitado, podem reduzir consideravelmente a superfície de ataque de uma plataforma de dados dentro de uma organização. Mesmo com esses recursos habilitados, você precisa tomar precauções extras para se conectar com êxito a serviços como contas de armazenamento do Azure, workspaces do Azure Synapse ou Azure Machine Learning da Internet pública.
Este documento descreve as opções mais comuns para se conectar a serviços dentro de uma zona de destino de gerenciamento de dados ou zona de destino de dados de maneira simples e segura.
Visão geral do host do Azure Bastion e dos jumpboxes
A solução mais simples é hospedar um jumpbox na rede virtual da zona de destino de gerenciamento de dados ou na zona de destino de dados para se conectar aos serviços de dados por meio de pontos de extremidade privados. Um jumpbox é uma VM (máquina virtual) do Azure que executa o Linux ou o Windows ao qual os usuários podem se conectar por meio do PROTOCOLO RDP (Protocolo de Área de Trabalho Remota) ou SSH (Secure Shell).
Anteriormente, as VMs jumpbox tinham que ser hospedadas com IPs públicos para habilitar sessões RDP e SSH da Internet pública. Os NSGs (grupos de segurança de rede) podem ser usados para bloquear ainda mais o tráfego para permitir conexões de apenas um conjunto limitado de IPs públicos. No entanto, essa abordagem fez com que um IP público tivesse que ser exposto do ambiente do Azure, o que aumentou a superfície de ataque de uma organização. Como alternativa, os clientes podem usar regras DNAT em seu Firewall do Azure para expor a porta SSH ou RDP de uma VM para a Internet pública, o que leva a riscos de segurança semelhantes.
Hoje, em vez de expor uma VM publicamente, você pode contar com o Azure Bastion como uma alternativa mais segura. O Azure Bastion fornece uma conexão remota segura do portal do Azure para VMs do Azure por TLS (Transport Layer Security). O Azure Bastion deve ser configurado em uma sub-rede dedicada (sub-rede com o nome AzureBastionSubnet) na zona de destino de dados do Azure ou na zona de destino de gerenciamento de dados do Azure. Em seguida, você pode usá-la para se conectar a qualquer VM nessa rede virtual ou a uma rede virtual emparelhada diretamente do portal do Azure. Nenhum cliente ou agente adicional precisa ser instalado em nenhuma VM. Você pode usar novamente NSGs para permitir RDP e SSH somente do Azure Bastion.
O Azure Bastion fornece alguns outros benefícios principais de segurança, incluindo:
- O tráfego iniciado do Azure Bastion para a VM de destino permanece na rede virtual do cliente.
- Você obtém proteção contra verificação de porta porque portas RDP, portas SSH e endereços IP públicos não são expostos publicamente para VMs.
- O Azure Bastion ajuda a proteger contra explorações de dia zero. Ele fica no perímetro da rede virtual. Como é uma PaaS (plataforma como serviço), a plataforma do Azure mantém o Azure Bastion atualizado.
- O serviço se integra com dispositivos de segurança nativos para uma rede virtual do Azure, como o Firewall do Azure.
- O Azure Bastion pode ser usado para monitorar e gerenciar conexões remotas.
Para obter mais informações, consulte O que é o Azure Bastion?.
Implantação
Para simplificar o processo para os usuários, há um modelo Bicep/ARM que pode ajudá-lo a criar rapidamente essa configuração dentro de sua zona de destino de gerenciamento de dados ou zona de destino de dados. Use o modelo para criar a seguinte configuração dentro de sua assinatura:
Para implantar o host do Bastion por conta própria, selecione o botão Implantar no Azure:
Ao implantar o Azure Bastion e um jumpbox por meio do botão Implantar no Azure, você pode fornecer o mesmo prefixo e ambiente que usa na zona de destino de dados ou na zona de destino de gerenciamento de dados. Essa implantação não tem conflitos e atua como um complemento para sua zona de destino de dados ou zona de destino de gerenciamento de dados. Você pode adicionar manualmente outras VMs para permitir que mais usuários trabalhem dentro do ambiente.
Conectar-se à VM
Após a implantação, você observará que duas sub-redes extras são criadas na rede virtual da zona de destino de dados.
Além disso, você encontrará um novo grupo de recursos dentro de sua assinatura, que inclui o recurso do Azure Bastion e uma máquina virtual:
Para se conectar à VM usando o Azure Bastion, siga estas etapas:
Selecione a VM (por exemplo, dlz01-dev-bastion), selecione Conectare selecione Bastion.
Selecione o botão azul Usar Bastion.
Insira suas credenciais e selecione Conectar.
A sessão RDP é aberta em uma nova guia do navegador, da qual você pode começar a se conectar aos serviços de dados.
Entre no portal do Azure.
Vá para o ambiente de trabalho do
{prefix}-{environment}-product-synapse001Azure Synapse dentro do grupo de recursos{prefix}-{environment}-shared-productpara exploração de dados.
No workspace do Azure Synapse, carregue um exemplo de conjunto de dados da galeria (por exemplo, o conjunto de dados “Táxi de NYC”) e selecione Novo Script SQL para consultar as
TOP 100linhas.
Se todas as redes virtuais tiverem sido emparelhadas entre si, apenas um jumpbox em uma zona de destino de dados será necessário para acessar serviços em todas as zonas de destino de dados e zonas de destino de gerenciamento de dados.
Para saber por que recomendamos essa configuração de rede, consulte Considerações sobre arquitetura de rede. Recomendamos um máximo de um serviço do Azure Bastion por zona de destino de dados. Se mais usuários precisarem de acesso ao ambiente, você poderá adicionar VMs extras do Azure à zona de destino de dados.
Usar conexões ponto-a-site
Como alternativa, você pode conectar os usuários à rede virtual usando conexões ponto a site. Uma solução nativa do Azure para essa abordagem é configurar um gateway de VPN para permitir conexões VPN entre usuários e o gateway de VPN por meio de um túnel criptografado. Depois de estabelecer a conexão, os usuários podem começar a se conectar privadamente aos serviços hospedados na rede virtual dentro do locatário do Azure.
Recomendamos que você configure o gateway de VPN na rede virtual do hub da arquitetura hub-and-spoke. Para obter diretrizes detalhadas passo a passo sobre como configurar um gateway de VPN, consulte Tutorial: Criar um portal de gateway.
Usar conexões site a site
Se os usuários já estiverem conectados ao ambiente de rede local e a conectividade deve ser estendida ao Azure, você poderá usar conexões site a site para conectar o hub de conectividade local e do Azure. Como uma conexão de túnel VPN, a conexão site a site permite estender a conectividade com o ambiente do Azure. Isso permite que os usuários conectados à rede corporativa se conectem de forma privada aos serviços hospedados na rede virtual dentro do locatário do Azure.
A abordagem nativa do Azure recomendada para essa conectividade é o uso do ExpressRoute. Recomendamos que você configure um gateway do ExpressRoute na rede virtual do hub da arquitetura hub-and-spoke. Para obter diretrizes detalhadas e passo a passo sobre como configurar a conectividade do ExpressRoute, consulte Tutorial: Criar e modificar o emparelhamento para um circuito do ExpressRoute usando o portal do Azure.