Частное подключение к средам
Исходная архитектура защищена при проектировании. Она использует многоуровневый подход к защите для преодоления общих рисков кражи данных, создаваемых клиентами. Можно использовать определенные функции на уровне сети, удостоверений, данных и служб, чтобы определить конкретные элементы управления доступом и предоставить пользователям только необходимые данные. Даже если некоторые из этих механизмов защиты не срабатывают, эти функции помогают обеспечить целостность данных в системе защиты платформы корпоративного масштаба.
Сетевые функции, такие как частные конечные точки и отключенный доступ к общедоступной сети, могут значительно снизить уязвимость платформы данных организации. Даже если эти функции включены, необходимо принять дополнительные меры предосторожности для успешного подключения к службам, таким как учетные записи хранения Azure, рабочие области Azure Synapse, Azure Purview или Машинное обучение Azure из общедоступного Интернета.
В этом документе приведены самые распространенные варианты подключения к службам в целевой зоне управления данными или целевой зоне данных простым и безопасным способом.
Сведения об узле Бастиона Azure и виртуальная машина jumpbox
Самым простым решением представляется размещение виртуальной машины jumpbox в виртуальной сети целевой зоны управления данными или целевой зоны данных для подключения к службам данных через частные конечные точки. jumpbox — это виртуальная машина Azure, работающая под управлением Linux или Windows, и к которой пользователи могут подключаться по протоколу удаленного рабочего стола (RDP) или Secure Shell (SSH).
Ранее виртуальные машины jumpbox должны были размещаться с общедоступными IP-адресами для включения сеансов RDP и SSH из общедоступного Интернета. Группы безопасности сети (NGS) можно использовать для дальнейшей блокировки трафика, чтобы разрешить подключения только из ограниченного набора общедоступных IP-адресов. Однако этот подход означал, что общедоступный IP-адрес должен предоставляться из среды Azure, что повышало уязвимость организации. С другой стороны, клиенты могли использовать правила DNAT в своем Брандмауэре Azure для предоставления доступа к порту SSH или RDP виртуальной машины по общедоступному Интернету, что может привести к аналогичным угрозам безопасности.
В настоящее время вместо предоставления общего доступа к виртуальной машине можно использовать в качестве более безопасного варианта Бастион Azure. Бастион Azure обеспечивает безопасное удаленное подключение из портала Azure к виртуальным машинам Azure по протоколу TLS. Бастион Azure необходимо настроить в выделенной подсети (подсети с именем AzureBastionSubnet
) в целевой зоне данных Azure или в целевой зоне управления данными Azure. Затем его можно использовать для подключения к любой виртуальной машине в этой виртуальной сети или в одноранговой виртуальной сети непосредственно из портала Azure. На любой виртуальной машине не нужно устанавливать дополнительные клиенты или агенты. Можно снова использовать группы безопасности сети, чтобы разрешить использование протоколов RDP и SSH только из Бастиона Azure.
Бастион Azure предоставляет несколько других основных преимуществ безопасности, в том числе:
- Трафик, инициированный из Бастиона Azure в целевую виртуальную машину, остается в виртуальной сети клиента.
- Осуществляется защита от сканирования портов, так как порты RDP, порты SSH и общедоступные IP-адреса не являются общедоступными для виртуальных машин.
- Бастион Azure помогает защититься от атак, использующих нулевые дни. Он находится по периметру виртуальной сети. Так как эта модель «платформа как услуга» (PaaS), платформа Azure поддерживает Бастион Azure в актуальном состоянии.
- Служба объединяется с собственными устройствами защиты для виртуальной сети Azure, например с помощью Брандмауэра Azure.
- Бастион Azure можно использовать для наблюдения за удаленными подключениями и управления ими.
Подробные сведения см. в статье Что такое Бастион Azure?
Развертывание
Чтобы упростить процесс для пользователей, существует шаблон Bicep/ARM, который поможет вам быстро создать эту настройку в целевой зоне управления данными или целевой зоне данных. Используйте шаблон, чтобы создать следующую настройку в своей подписке:
Чтобы самостоятельно развернуть узел Бастиона, нажмите кнопку Развернуть в Azure:
При развертывании Бастиона Azure и виртуальной машины jumpbox с помощью кнопки Развернуть в Azure можно указать тот же префикс и среду, которые используются в целевой зоне данных или в целевой зоне управления данными. В этом развертывании отсутствуют конфликты, и оно выступает в качестве надстройки для целевой зоны данных или целевой зоны управления данными. Можно вручную добавить другие виртуальные машины, чтобы позволить большему количеству пользователей работать в среде.
Подключение к виртуальной машине
После развертывания можно заметить, что в виртуальной сети целевой зоны данных созданы две дополнительные подсети.
Кроме того, вы найдете новую группу ресурсов в подписке, которая включает ресурс Бастиона Azure и виртуальную машину:
Чтобы подключиться к виртуальной машине с помощью Бастиона Azure, выполните следующие действия:
Выберите виртуальную машину (например, dlz01-dev-бастиона), выберите Подключить, а затем выберите Бастион.
Нажмите синюю кнопку Использовать Бастион.
Введите учетные данные, а затем Подключить.
Сеанс RDP открывается в новой вкладке браузера, с которой можно начать подключение к службам данных.
Войдите на портал Azure.
Перейдите в
{prefix}-{environment}-product-synapse001
рабочую область Azure Synapse{prefix}-{environment}-shared-product
в группе ресурсов для просмотра данных.В рабочей области Azure Synapse загрузите набор данных выборки из коллекции (например, набор данных NYC Taxi), а затем выберите Создать скрипт SQL для запроса
TOP 100
строк.
Если все виртуальные сети входят в пиринг между собой, для доступа к службам во всех целевых зонах данных и в целевых зонах управления данными требуется только одна виртуальная машина jumpbox в одной целевой зоне данных.
Чтобы узнать, почему рекомендуется использовать эту сетевую настройку, ознакомьтесь с рекомендациями по архитектуре сети. Рекомендуется использовать не более одной службы Бастиона Azure на каждую целевую зону данных. Если требуется доступ к среде большему количеству пользователей, можно добавить дополнительные виртуальные машины Azure в целевую зону данных.
Использование подключений "точка — сеть"
Кроме того, можно подключить пользователей к виртуальной сети с помощью подключений "точка — сеть". Для этого подхода в собственном решении Azure необходимо настроить VPN-шлюз, разрешающий VPN-подключения между пользователями и VPN-шлюзом через зашифрованный туннель. После установки подключения пользователи могут подключаться к службам, размещенным в виртуальной сети в клиенте Azure. К этим службам относятся учетные записи хранения Azure, Azure Synapse Analytics и Azure Purview.
Рекомендуется настроить VPN-шлюз в виртуальной сети концентратора архитектуры типа "звезда". Подробные пошаговые инструкции по настройке VPN-шлюза см. в документе Учебник. Создание портала шлюза.
Использование подключения типа "сеть — сеть"
Если пользователи уже подключены к локальной сетевой среде, а подключение необходимо расширить в Azure, можно использовать подключения "сеть — сеть" для подключения к локальной сети и концентратору подключения Azure. Как и VPN-туннельное подключение, подключение типа "сеть — сеть" позволяет расширить возможности подключения к среде Azure. Это позволяет пользователям, подключенным к корпоративной сети, подключаться в частном порядке к службам, размещенным в виртуальной сети в клиенте Azure. К этим службам относятся учетные записи хранения Azure, Azure Synapse и Azure Purview.
Для такого подключения в качестве собственного подхода Azure рекомендуется использовать ExpressRoute. Рекомендуется настроить шлюз ExpressRoute в виртуальной сети концентратора архитектуры типа "звезда". Подробные пошаговые инструкции по настройке подключения ExpressRoute см. в документе Учебник. Создание и изменение пиринга для канала ExpressRoute с помощью портала Azure.
Дальнейшие действия
Часто задаваемые вопросы об архитектуре корпоративного масштаба