Mi az az Azure Bastion?
Létfontosságú, hogy biztonságosan felügyelhesse és felügyelhesse a távoli üzemeltetésű virtuális gépeket. Először definiáljuk a biztonságos távfelügyeletet, majd tekintsük át az Azure Bastion funkcióit. Ez az áttekintés segít eldönteni, hogy az Azure Bastion megfelel-e a követelményeknek.
Mi a biztonságos távfelügyelet?
A biztonságos távfelügyelet lehetővé teszi a távoli erőforrásokhoz való csatlakozást anélkül, hogy biztonsági kockázatoknak teszi ki az erőforrást. Az ilyen típusú kapcsolatok néha kihívást jelenthetnek, különösen akkor, ha az erőforrás az interneten keresztül érhető el.
Amikor a rendszergazdák távoli virtuális gépekhez csatlakoznak, általában RDP-t vagy SSH-t használnak a felügyeleti célok eléréséhez. A probléma az, hogy egy üzemeltetett virtuális géphez való csatlakozáshoz csatlakoznia kell a nyilvános IP-címéhez. Az RDP és az SSH (3389 és 22) által használt IP-portok az interneten való felfedése azonban rendkívül nem kívánatos, mivel jelentős biztonsági kockázatokat jelent.
Azure Bastion-definíció
Az Azure Bastion egy teljes körűen felügyelt platform szolgáltatásként (PaaS), amely segít biztonságos és zökkenőmentes RDP- és SSH-hozzáférést biztosítani az Azure-beli virtuális gépekhez közvetlenül az Azure Portalon keresztül.
Azure Bastion:
- Úgy lett kialakítva és konfigurálva, hogy ellenálljon a támadásoknak.
- RDP- és SSH-kapcsolatot biztosít az Azure-számítási feladatokhoz a megerősített környezet mögött.
Az alábbi táblázat az Azure Bastion üzembe helyezése után elérhető funkciókat ismerteti.
| Haszon | Ismertetés |
|---|---|
| RDP és SSH az Azure Portalon | Az RDP- és SSH-munkamenetet közvetlenül az Azure Portalon érheti el egyetlen kattintással, zökkenőmentesen. |
| Távoli munkamenet TLS-en keresztül és tűzfalbejárás RDP/SSH esetén | Az Azure Bastion egy HTML5-alapú webes ügyfelet használ, amely automatikusan streamel a helyi eszközre. Az RDP/SSH-munkamenet a 443-as porton található TLS-en keresztül van. Ez lehetővé teszi, hogy a forgalom biztonságosabban haladjon át a tűzfalakon. A Bastion támogatja a TLS 1.2-t és újabb verziót. A régebbi TLS-verziók nem támogatottak. |
| Nincs szükség nyilvános IP-címre az Azure-beli virtuális gépen | Az Azure Bastion megnyitja az RDP-/SSH-kapcsolatot az Azure-beli virtuális géppel a virtuális gépen található privát IP-cím használatával. Nincs szüksége nyilvános IP-címre a virtuális gépen. |
| Nincs gond a hálózati biztonsági csoportok (NSG-k) kezelésével | Nem kell NSG-ket alkalmaznia az Azure Bastion alhálózatra. Mivel az Azure Bastion privát IP-címen keresztül csatlakozik a virtuális gépekhez, konfigurálhatja az NSG-ket, hogy csak az Azure Bastionból engedélyezze az RDP/SSH-t. Ez eltávolítja az NSG-k kezelésének minden olyan szakaszát, amikor biztonságosan csatlakoznia kell a virtuális gépekhez. |
| Nincs szükség külön megerősített gazdagép kezelésére egy virtuális gépen | Az Azure Bastion az Azure-ból származó teljes körűen felügyelt PaaS-szolgáltatás, amely belsőleg van megerősítve, hogy biztonságos RDP-/SSH-kapcsolatot biztosítson. |
| Portvizsgálat elleni védelem | A virtuális gépeket a rosszindulatú és rosszindulatú felhasználók védik a portkeresés ellen, mert nem kell a virtuális gépeket az interneten keresztül elérhetővé tenni. |
| Csak egy helyen történő megkeményedés | Az Azure Bastion a virtuális hálózat peremén helyezkedik el, így nem kell aggódnia a virtuális hálózat egyes virtuális gépeinek megerősítése miatt. |
| Védelem a nulladik napi biztonsági rések ellen | Az Azure platform védelmet nyújt a nulladik napi kihasználtság ellen az Azure Bastion megerősítésével és mindig naprakész állapotban tartásával. |
A távfelügyeleti portok felfedésének elkerülése
Az Azure Bastion implementálásával rdp vagy SSH használatával kezelheti az Azure-beli virtuális gépeket egy konfigurált Azure-beli virtuális hálózaton belül anélkül, hogy közzé kellene tennie ezeket a felügyeleti portokat a nyilvános interneten. Az Azure Bastion használatával a következőt teheti:
- Csatlakozás egyszerűen az Azure-beli virtuális gépekre. Csatlakozás RDP- és SSH-munkameneteket közvetlenül az Azure Portalon.
- Kerülje a felügyeleti portok internetes felfedését. Jelentkezzen be azure-beli virtuális gépeibe, és kerülje a nyilvános internetes kitettséget úgy, hogy csak magánhálózati IP-címekkel rendelkező SSH-t és RDP-t használ.
- Kerülje a meglévő hálózati infrastruktúra átfogó újrakonfigurálását. A meglévő tűzfalak és biztonsági szegélyek integrálása és bejárása egy modern HTML5-alapú webes ügyfélprogram használatával tLS-en keresztül a 443-as porton.
- Egyszerűsítse a bejelentkezést. Az Azure-beli virtuális gépekre való bejelentkezéskor használja az SSH-kulcsokat a hitelesítéshez.
Tipp.
Az összes SSH titkos kulcsát mentheti az Azure Key Vaultban a központi kulcstárolás támogatásához.