Kdy použít Azure Bastion
V této lekci prozkoumáte použití služby Azure Bastion a určíte, jestli je to vhodná volba pro bezpečné připojení ke vzdálenému virtuálnímu počítači. Azure Bastion vyhodnotíte na základě následujících kritérií:
- Zabezpečení
- Snadná správa
- Integrace s jinými aplikacemi
Správa istrátory musí záviset na vzdálené správě a údržbě prostředků Azure organizace, které zahrnují virtuální počítače a aplikace nainstalované na těchto virtuálních počítačích. Je důležité zvážit možnost bezpečného připojení k těmto prostředkům a aplikacím bez jejich vystavení na internetu. Azure Bastion můžete použít k vzdálenému připojení a správě hostovaných virtuálních počítačů bez vystavení portů pro správu na internetu. Někteří správci tento požadavek vyřešili pomocí jump serverů, které se někdy označují jako jump boxy. V této lekci určíte, jestli azure Bastion může nahradit přeskakovací pole jako metodu poskytování zabezpečeného vzdáleného přístupu pro správu.
Poznámka:
Jump box je virtuální počítač Azure s veřejnou IP adresou, která je přístupná z internetu.
V typickém scénáři jump boxu:
- Virtuální počítače vaší organizace jsou nakonfigurované jenom s privátními IP adresami a nejsou přístupné přímo z internetu.
- Jump box se nasadí do stejné virtuální sítě jako virtuální počítače, které správci chtějí vzdáleně spravovat pomocí protokolu RDP a SSH.
- Skupina zabezpečení sítě spravuje tok síťového provozu mezi internetem, jump boxem a cílovými virtuálními počítači.
- Správa istrátory se připojují k jump boxu pomocí protokolu RDP pomocí veřejné IP adresy.
Důležité
Vzhledem k tomu, že se ke jump boxu připojíte pomocí protokolu RDP na veřejné IP adrese, může dojít k ohrožení zabezpečení jump boxu.
Jump box je virtuální počítač se serverovým operačním systémem, takže potřebujete:
- Udržujte virtuální počítač v aktualizovaném stavu pomocí oprav a dalších aktualizací.
- Nakonfigurujte příslušné skupiny zabezpečení sítě, aby pomohly zabezpečit tok provozu ve virtuální síti mezi jump boxem a cílovými virtuálními počítači.
Kritéria pro rozhodnutí
Pokud chcete zjistit, jestli je jump box nebo Azure Bastion lepší volbou pro vzdálenou správu prostředků Azure vaší organizace, zvažte kritéria, jako je zabezpečení, snadná správa a integrace. Tady je analýza těchto kritérií.
| Kritéria | Analýza |
|---|---|
| Zabezpečení | Azure Bastion nezpřístupňuje protokol RDP/SSH ve své veřejné IP adrese. Na rozdíl od jump boxu azure Bastion podporuje pouze připojení chráněná protokolem TLS z webu Azure Portal. Pomocí služby Azure Bastion nemusíte konfigurovat skupiny zabezpečení sítě, které pomáhají zabezpečit tok provozu. |
| Snadná správa | Azure Bastion je plně spravovaná služba PaaS. Nejedná se o virtuální počítač jako jump box, který vyžaduje pravidelné aktualizace. K používání služby Azure Bastion nepotřebujete klienta ani agenta, ani na něj nemusíte instalovat opravy a aktualizace. Nemusíte také instalovat ani udržovat žádný jiný software v konzolách pro správu. |
| Integrace | Azure Bastion můžete integrovat s dalšími nativními službami zabezpečení v Azure, jako je Azure Firewall. Jump servery tuto možnost nemají. |
Poznámka:
Azure Bastion nasadíte na virtuální síť (nebo v partnerské virtuální síti) místo předplatného, účtu nebo virtuálního počítače.
Použití kritérií
Azure Bastion řeší klíčový cíl povolení zabezpečené vzdálené správy hostovaných virtuálních počítačů. Jako spravovaná služba nemusíte aktualizovat Azure Bastion ani ručně konfigurovat skupiny zabezpečení sítě a související nastavení. Azure Bastion představuje nejlepší řešení pro zajištění zabezpečené vzdálené správy virtuálních počítačů hostovaných v Azure.
Zvažte použití služby Azure Bastion, pokud máte vzdálené virtuální počítače hostované v Azure ke správě a:
- K těmto virtuálním počítačům se musíte připojit pomocí protokolu RDP/SSH.
- Nechcete udržovat metodu, pomocí které se připojujete k těmto vzdáleným virtuálním počítačům.
- Nechcete konfigurovat nastavení skupiny zabezpečení sítě pro povolení vzdálené správy.
- Chcete se vyhnout použití jump boxů.
Při určování počtu hostitelů Služby Azure Bastion k nasazení zvažte, že potřebujete jednu pro virtuální síť (nebo peered virtual network). Azure Bastion nemusíte nasazovat na virtuální počítač ani na podsíť.