你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
以私密方式连接到环境
参考体系结构在设计上是安全的。 它采用多层安全方法来克服客户提出的常见数据外泄风险。 可使用网络、标识、数据和服务层上的某些功能来定义特定的访问控制,并仅向用户公开所需的数据。 即使其中一些安全机制失败,这些功能也可帮助保护企业级平台中的数据安全。
专用终结点和禁用的公用网络访问等网络功能可大大减少组织数据平台的攻击面。 即使启用了这些功能,也需要采取额外的预防措施,才能从公共 Internet 成功连接到 Azure 存储帐户、Azure Synapse 工作区、Azure Purview 或 Azure 机器学习等服务。
本文档介绍以简单安全的方式连接到数据管理登陆区域或数据登陆区域内的服务的最常见选项。
关于 Azure Bastion 主机和 jumpbox
最简单的解决方案是在数据管理登陆区域或数据登陆区域的虚拟网络上托管 jumpbox,从而通过专用终结点连接到数据服务。 jumpbox 是运行 Linux 或 Windows 的 Azure 虚拟机 (VM),用户可通过远程桌面协议 (RDP) 或安全外壳 (SSH) 连接到它。
以前,jumpbox VM 必须托管有公共 IP 才能从公共 Internet 启用 RDP 和 SSH 会话。 可使用网络安全组 (NSG) 来进一步锁定流量,仅允许来自一组有限的公共 IP 的连接。 不过,此方法意味着必须从 Azure 环境中公开公共 IP,这增加了组织的攻击面。 或者,客户可能已经使用其 Azure 防火墙中的 DNAT 规则向公共 Internet 公开 VM 的 SSH 或 RDP 端口,这可能会带来类似的安全风险。
目前,可依赖 Azure Bastion 作为更安全的替代方法,而不是公共地公开 VM。 通过 Azure Bastion,可通过传输层安全性 (TLS) 从 Azure 门户安全地远程连接到 Azure VM。 应在 Azure 数据登陆区域或 Azure 数据管理登陆区域中的专用子网(名为 AzureBastionSubnet
的子网)上设置 Azure Bastion。 然后,可使用它直接从 Azure 门户连接到该虚拟网络或对等互连的虚拟网络上的任何 VM。 无需在任何 VM 上安装额外的客户端或代理。 可再次使用 NSG,从而仅允许来自 Azure Bastion 的 RDP 和 SSH。
Azure Bastion 提供一些其他的核心安全优势,其中包括:
- 从 Azure Bastion 发起的流向目标 VM 的流量保留在客户虚拟网络中。
- 由于不会为 VM 公共地公开 RDP 端口、SSH 端口和公共 IP 地址,因此可防止端口扫描。
- Azure Bastion 有助于防范零天攻击。 它位于虚拟网络的外围。 它是平台即服务 (PaaS),因此 Azure 平台将 Azure Bastion 保持在最新状态。
- 该服务与 Azure 虚拟网络的本机安全设备(例如 Azure 防火墙)集成。
- Azure Bastion 可用于监视和管理远程连接。
有关详细信息,请参阅什么是 Azure Bastion?。
部署
为了简化用户流程,可使用 Bicep/ARM 模板在数据管理登陆区域或数据登陆区域中快速创建此设置。 使用模板在订阅内创建以下设置:
若要自行部署 Bastion 主机,请选择“部署到 Azure”按钮:
通过“部署到 Azure”按钮部署 Azure Bastion 和 jumpbox 时,可提供在数据登陆区域或数据管理登陆区域中使用的相同前缀和环境。 此部署没有冲突,它充当数据登陆区域或数据管理登陆区域的加载项。 可手动添加其他 VM,来允许更多用户在环境中工作。
连接到 VM
部署后,你会注意到已在数据登陆区域虚拟网络上创建了两个额外的子网。
此外,你将在订阅中找到一个新的资源组,其中包括 Azure Bastion 资源和一个虚拟机:
若要使用 Azure Bastion 连接到 VM,请执行下列操作:
选择 VM(例如 dlz01-dev-bastion),选择“连接”,然后选择“Bastion”。
选择蓝色的“使用堡垒”按钮。
输入凭据,然后选择“连接”。
RDP 会话将在新的浏览器标签页上打开,你可在这里开始连接到数据服务。
登录到 Azure 门户。
转到
{prefix}-{environment}-shared-product
资源组中的 Azure Synapse 工作区{prefix}-{environment}-product-synapse001
来探索数据。在 Azure Synapse 工作区中,从库加载一个示例数据集(例如“纽约出租车数据集”),然后选择“新建 SQL 脚本”来查询
TOP 100
行。
如果所有虚拟网络已彼此对等互连,那么只需要一个数据登陆区域中的一个 jumpbox,就能跨所有数据登陆区域和数据管理登陆区域访问服务。
若要了解我们为什么建议此网络设置,请参阅网络体系结构注意事项。 建议每个数据登陆最多有一个 Azure Bastion 服务。 如果更多用户需要访问环境,可向数据登陆区域添加额外的 Azure VM。
使用点到站点连接
或者,可使用点到站点连接将用户连接到虚拟网络。 此方法的 Azure 本机解决方案是设置一个 VPN 网关,来允许用户与 VPN 网关之间通过加密隧道进行 VPN 连接。 建立连接后,用户可开始以私密方式连接到托管在 Azure 租户内的虚拟网络上的服务。 这些服务包括 Azure 存储帐户、Azure Synapse Analytics 和 Azure Purview。
建议在中心辐射型体系结构的中心虚拟网络中设置 VPN 网关。 有关设置 VPN 网关的详细分步指南,请参阅教程:创建网关门户。
使用站点到站点连接
如果用户已连接到本地网络环境,并且连接应扩展到 Azure,可使用站点到站点连接来连接本地和 Azure 连接中心。 与 VPN 隧道连接一样,通过站点到站点连接可将连接扩展到 Azure 环境。 这样一来,连接到企业网络的用户可以私密方式连接到托管在 Azure 租户内的虚拟网络上的服务。 这些服务包括 Azure 存储帐户、Azure Synapse 和 Azure Purview。
对于这种连接,推荐的 Azure 本机方法是使用 ExpressRoute。 建议在中心辐射型体系结构的中心虚拟网络中设置 ExpressRoute 网关。 有关设置 ExpressRoute 连接的详细分步指南,请参阅教程:使用 Azure 门户创建和修改 ExpressRoute 线路的对等互连。