Подключение к средам в частном порядке

Эталонная архитектура безопасна по проектированию. Он использует многоуровневый подход к безопасности для устранения распространенных рисков кражи данных, вызванных клиентами. Некоторые функции можно использовать в сети, удостоверении, данных и уровне служб для определения определенных элементов управления доступом и предоставления пользователям только необходимых данных. Даже если некоторые из этих механизмов безопасности завершаются сбоем, функции помогают обеспечить безопасность данных на платформе корпоративного масштаба.

Сетевые функции, такие как частные конечные точки и отключенный доступ к общедоступной сети, могут значительно сократить область атаки платформы данных в организации. Даже если эти функции включены, необходимо предпринять дополнительные меры предосторожности для успешного подключения к службам, таким как учетные записи хранения Azure, рабочие области Azure Synapse или Машинное обучение Azure из общедоступного Интернета.

В этом документе описаны наиболее распространенные варианты подключения к службам в целевой зоне управления данными или целевой зоне данных простым и безопасным способом.

Общие сведения об узле Azure Bastion и прыжковых серверах

Самым простым решением является размещение точки перехода в виртуальной сети зоны приземления управления данными или зоны приземления данных с целью подключения к службам данных через частные конечные точки. Jumpbox — это виртуальная машина Azure под управлением Linux или Windows, к которой пользователи могут подключаться через протокол удаленного рабочего стола (RDP) или Secure Shell (SSH).

Ранее виртуальные машины Jumpbox должны были размещаться с общедоступными IP-адресами для включения сеансов RDP и SSH из Интернета. Группы безопасности сети (NSG) можно использовать для дальнейшего блокировки трафика, чтобы разрешить подключения только из ограниченного набора общедоступных IP-адресов. Однако этот подход означает, что общедоступный IP-адрес должен быть предоставлен из среды Azure, что увеличило область атаки организации. Кроме того, клиенты могут использовать правила DNAT в брандмауэре Azure для предоставления порта SSH или RDP виртуальной машины общедоступному Интернету, что приводит к аналогичным рискам безопасности.

Сегодня вместо публичного предоставления виртуальной машины можно полагаться на Бастион Azure в качестве более безопасной альтернативы. Бастион Azure обеспечивает безопасное удаленное подключение с портала Azure к виртуальным машинам Azure по протоколу TLS. Бастион Azure должен быть настроен в выделенной подсети (подсети с именем AzureBastionSubnet) в целевой зоне данных Azure или целевой зоне управления данными Azure. Затем его можно использовать для подключения к любой виртуальной машине в этой виртуальной сети или одноранговой виртуальной сети непосредственно с портала Azure. На любой виртуальной машине не требуется устанавливать дополнительные клиенты или агенты. Вы можете снова использовать NSG, чтобы разрешать RDP и SSH только из Бастиона Azure.

Бастион Azure предоставляет несколько других основных преимуществ безопасности, в том числе:

• Трафик, инициированный бастионом Azure, на целевую виртуальную машину остается в виртуальной сети клиента.
• Вы получаете защиту от сканирования портов, так как порты RDP, порты SSH и общедоступные IP-адреса не предоставляются для виртуальных машин.
• Бастион Azure помогает защитить от эксплойтов нулевого дня. Он находится на границе виртуальной сети. Так как это платформа как услуга (PaaS), платформа Azure постоянно обновляет Бастион Azure.
• Служба интегрируется с собственными устройствами безопасности для виртуальной сети Azure, например брандмауэром Azure.
• Бастион Azure можно использовать для мониторинга удаленных подключений и управления ими.

Дополнительные сведения см. в статье Что такое Бастион Azure?.

Развёртывание

Чтобы упростить процесс для пользователей, существует шаблон Bicep/ARM, который поможет быстро создать эту настройку в целевой зоне управления данными или целевой зоне данных. Используйте шаблон, чтобы создать следующую настройку в подписке:

Чтобы развернуть Bastion-хост самостоятельно, нажмите кнопку Развернуть в Azure:

развертывание

При развертывании Azure Bastion и прыжкового сервера с помощью кнопки "Развернуть в Azure" можно предоставить тот же префикс и ту же среду, которые вы используете в целевой зоне данных или целевой зоне управления данными. Это развертывание не имеет конфликтов и дополняет вашу целевую зону данных или целевую зону управления данными. Вы можете вручную добавить другие виртуальные машины, чтобы разрешить пользователям работать в среде.

Подключение к виртуальной машине

После развертывания вы заметите, что две дополнительные подсети создаются в виртуальной сети целевой зоны данных.

Кроме того, вы найдете новую группу ресурсов в подписке, которая включает ресурс Бастиона Azure и виртуальную машину:

Чтобы подключиться к виртуальной машине с помощью Бастиона Azure, выполните следующие действия.

1. Выберите виртуальную машину (например, dlz01-dev-бастион), выберите Connect, а затем выберите Бастион.

   

2. Нажмите синюю кнопку "Использовать бастион".

3. Введите свои учетные данные и выберите Подключиться.

   

   Сеанс RDP открывается на новой вкладке браузера, с которой можно начать подключение к службам данных.

4. Войдите на портал Azure .

5. Перейдите в рабочую область Azure Synapse {prefix}-{environment}-product-synapse001 в группе ресурсов {prefix}-{environment}-shared-product для изучения данных.

   

6. В рабочей области Azure Synapse загрузите пример набора данных из коллекции (например, набор данных такси Нью-Йорка), а затем выберите Создать скрипт SQL для запроса строк TOP 100.

   

Если все виртуальные сети соединены через пиринг, для доступа ко всем зонам размещения данных и зонам управления данными требуется только один джампбокс в одной из зон размещения данных.

Сведения о том, почему мы рекомендуем использовать эту настройку сети, см. рекомендации по архитектуре сети. Для каждой целевой зоны данных рекомендуется использовать максимум одну службу Бастиона Azure. Если больше пользователей требуют доступа к среде, можно добавить дополнительные виртуальные машины Azure в целевую зону данных.

Использование подключений типа "точка — сеть"

Кроме того, можно подключить пользователей к виртуальной сети с помощью подключений типа "точка — сеть". Azure-родным решением для этого подхода будет настройка VPN-шлюза, чтобы разрешить VPN-подключения между пользователями и VPN-шлюзом через зашифрованный туннель. После установления подключения пользователи могут приватно подключаться к службам, размещенным в виртуальной сети в клиенте Azure.

Рекомендуется настроить VPN-шлюз в виртуальной сети концентратора архитектуры концентратора и периферийной архитектуры. Подробные пошаговые инструкции по настройке VPN-шлюза см. в руководстве по созданию портала шлюза.

Использование подключений типа "сеть — сеть"

Если пользователи уже подключены к локальной сетевой среде и подключение должно быть расширено в Azure, вы можете использовать подключения типа "сеть — сеть" для соединения локальной сети и концентратора подключений Azure. Как и vpn-туннельное подключение, подключение типа "сеть — сеть" позволяет расширить подключение к среде Azure. Это позволяет пользователям, подключенным к корпоративной сети, защищённо подключаться к службам, размещённым в виртуальной сети в арендуемой среде Azure.

Рекомендуемый подход Azure к такому подключению — это использование ExpressRoute. Мы рекомендуем настроить шлюз ExpressRoute в виртуальной сети концентратора архитектуры концентратора и периферии. Подробные пошаговые инструкции по настройке подключения ExpressRoute см. в Руководстве: Создание и изменение пиринга для канала ExpressRoute с помощью портала Azure.

Дальнейшие действия

вопросы и ответы по масштабированию предприятия