Teljes felügyelet alapelvek alkalmazása az Azure-alapú hálózati kommunikáció titkosítására

  • Cikk

Ez a cikk útmutatást nyújt a Teljes felügyelet alapelveinek alkalmazásához az Azure-környezetek közötti, onnan és az azure-környezetek közötti hálózati kommunikáció titkosításához az alábbi módokon.

Teljes felügyelet elv Definíció Megfelelteti:
Explicit ellenőrzés Mindig hitelesítse és engedélyezze az összes rendelkezésre álló adatpont alapján. Feltételes hozzáférési szabályzatok használata az Azure VPN Gateway-kapcsolatokhoz, valamint a Secure Shell (SSH) és a Távoli asztali protokoll (RDP) használata a felhasználó–virtuális gép kapcsolatokhoz.
A legkevésbé kiemelt hozzáférés használata Korlátozza a felhasználói hozzáférést a Just-In-Time és a Just-Enough-Access (JIT/JEA), a kockázatalapú adaptív szabályzatokkal és az adatvédelemmel. A Microsoft Enterprise Edge -eszközök (M Standard kiadás E) konfigurálása statikus kapcsolattársítási kulcs (CAK) használatára az Azure ExpressRoute-hoz közvetlen portokkal és felügyelt identitás használatával az ExpressRoute-kapcsolatcsoport erőforrásainak hitelesítéséhez.
A szabálysértés feltételezése Minimalizálja a sugár- és szegmenshozzáférést. Ellenőrizze a teljes körű titkosítást, és használja az elemzést a láthatóság eléréséhez, a fenyegetésészleléshez és a védelem javításához. A hálózati forgalom védelme titkosítási módszerekkel és protokollokkal, amelyek biztosítják az átvitt adatok bizalmasságát, integritását és hitelességét.

Az Azure Monitor használata az ExpressRoute hálózati teljesítménymetrikáinak és riasztásainak biztosítására.

Az Azure Bastion használatával kezelheti az egyes munkameneteket a Bastion szolgáltatásból, és törölheti vagy kényszerítheti a leválasztást.

A hálózati forgalom titkosítási szintjei a következők:

  • Hálózati réteg titkosítása

    • Az internetről vagy a helyszíni hálózatról az Azure-beli virtuális hálózatokra és virtuális gépekre irányuló kommunikáció védelme és ellenőrzése

    • Az Azure-beli virtuális hálózatokon belüli és azon belüli kommunikáció védelme és ellenőrzése

  • Alkalmazásréteg titkosítása

    • Azure-webalkalmazások védelme

  • Azure-beli virtuális gépeken futó számítási feladatok védelme

Referenciaarchitektúra

Az alábbi ábra a jelen Teljes felügyelet útmutató referenciaarchitektúráját mutatja be a felhasználók és rendszergazdák közötti titkosított kommunikációhoz a helyszínen vagy az interneten, valamint az Azure-környezet összetevői között a jelen cikkben ismertetett lépésekhez.

Az Azure hálózatkezelési összetevőinek referenciaarchitektúrája titkosítással és Teljes felügyelet alkalmazott alapelvekkel.

A diagramban a számok a következő szakaszok lépéseinek felelnek meg.

Mi található ebben a cikkben?

Teljes felügyelet alapelvek a referenciaarchitektúra egészére vonatkoznak, az interneten vagy a helyszíni hálózaton lévő felhasználóktól és rendszergazdáktól az Azure-felhőbe és azon belül. Az alábbi táblázat az architektúra hálózati forgalmának titkosítására vonatkozó javaslatokat ismerteti.

Lépés Task Teljes felügyelet alkalmazott elv(ek)
0 Implementálja a hálózati réteg titkosítását. Explicit ellenőrzés
A legkevésbé kiemelt hozzáférés használata
A szabálysértés feltételezése
2 Biztonságossá teheti és ellenőrizheti a helyszíni hálózatról az Azure-beli virtuális hálózatokkal folytatott kommunikációt. Explicit ellenőrzés
A szabálysértés feltételezése
3 Biztonságossá teheti és ellenőrizheti az Azure-beli virtuális hálózatok közötti kommunikációt. A szabálysértés feltételezése
4 Alkalmazásréteg-titkosítás implementálása. Explicit ellenőrzés
A szabálysértés feltételezése
5 Azure-beli virtuális gépek védelme az Azure Bastion használatával. A szabálysértés feltételezése

1. lépés: Hálózati réteg titkosításának megvalósítása

A hálózati réteg titkosítása kritikus fontosságú Teljes felügyelet alapelvek helyszíni és Azure-környezetben történő alkalmazásakor. Amikor a hálózati forgalom az interneten halad át, mindig azt kell feltételeznie, hogy a támadók elfoghatják a forgalmat, és az adatok elérhetővé válhatnak vagy megváltozhatnak, mielőtt elérné a célhelyét. Mivel a szolgáltatók szabályozzák az adatok interneten keresztüli átirányítását, ön gondoskodni szeretne arról, hogy az adatok bizalmassága és integritása megmaradjon attól a pillanattól kezdve, hogy az elhagyja a helyszíni hálózatot egészen a Microsoft felhőjéhez.

Az alábbi ábra a hálózati réteg titkosításának implementálására szolgáló referenciaarchitektúrát mutatja be.

Az Azure-hálózatkezelés hálózati rétegtitkosításának megvalósítására szolgáló referenciaarchitektúra.

A következő két szakaszban az Internet Protocol Security (IPsec) és a Media Access Control Security (MACsec) protokollt ismertetjük, mely Azure hálózati szolgáltatások támogatják ezeket a protokollokat, és hogyan biztosíthatja azok használatát.

IPsec

Az IPsec protokollok egy csoportja, amely biztosítja az Internet Protocol (IP) kommunikáció biztonságát. Titkosítási algoritmusokkal hitelesíti és titkosítja a hálózati csomagokat. Az IPSec a virtuális magánhálózatok (VPN-ek) létrehozásához használt biztonsági beágyazási protokoll. Az IPsec VPN-alagút két fázisból áll, az 1. fázisból, a fő módból és a 2. fázisból, amit gyors módnak neveznek.

Az IPsec 1. fázisa az alagút létrehozása, ahol a társviszonyok egyeztetik az Internet Key Exchange (IKE) biztonsági társításának paramétereit, például a titkosítást, a hitelesítést, a kivonatolást és a Diffie-Hellman algoritmusokat. Identitásaik ellenőrzéséhez a társtársak egy előre megosztott kulcsot cserélnek le. Az IPsec 1. fázisa két módban működhet: fő módban vagy agresszív módban. Az Azure VPN Gateway az IKE, az IKEv1 és az IKEv2 két verzióját támogatja, és csak fő módban működik. A fő mód biztosítja az Azure VPN Gateway és a helyszíni eszköz közötti kapcsolat identitásának titkosítását.

Az IPsec 2. fázisában a társviszonyok egyeztetik az adatátvitel biztonsági paramétereit. Ebben a fázisban mindkét társ egyetért a titkosítási és hitelesítési algoritmusokkal, a biztonsági társítás (SA) élettartam-értékével és a forgalomválasztókkal (TS), amelyek meghatározzák, hogy milyen forgalom van titkosítva az IPsec-alagúton keresztül. Az 1. fázisban létrehozott alagút a tárgyalás biztonságos csatornájaként szolgál. Az IPsec a Hitelesítési fejléc (AH) protokoll vagy a Biztonsági hasznos adatok (ESP) protokoll használatával képes ip-csomagokat biztosítani. Az AH integritást és hitelesítést biztosít, míg az ESP a bizalmasságot (titkosítást) is biztosítja. Az IPsec 2. fázisa szállítási vagy alagút módban is működik. Átviteli módban csak az IP-csomag hasznos adatai lesznek titkosítva, míg alagút módban a teljes IP-csomag titkosítva van, és új IP-fejlécet ad hozzá. A 2. IPsec-fázis az IKEv1 vagy az IKEv2 fölé állítható be. Az Azure VPN Gateway IPsec jelenlegi implementációja csak az ESP-t támogatja alagút módban.

Az IPsec-et támogató Azure-szolgáltatások némelyike a következő:

  • Azure VPN Gateway

    • Webhelyek közötti VPN-kapcsolatok

    • Virtuális hálózatok közötti kapcsolatok

    • Pont–hely kapcsolatok

  • Azure Virtual WAN

    • VPN-webhelyek

    • Felhasználói VPN-konfigurációk

Nincsenek olyan beállítások, amelyeket módosítania kell az IPsec engedélyezéséhez ezekhez a szolgáltatásokhoz. Alapértelmezés szerint engedélyezve vannak.

MACsec és Azure Key Vault

A MACsec (I Enterprise kiadás E 802.1AE) egy hálózati biztonsági szabvány, amely az adatkapcsolati rétegen alkalmazza a biztonsági rések feltételezése Teljes felügyelet alapelvet az Ethernet-kapcsolaton keresztüli hitelesítés és titkosítás biztosításával. A MACsec feltételezi, hogy a hálózati forgalmat akár ugyanabban a helyi hálózaton is feltörhetik vagy elfoghatják rosszindulatú szereplők. A MACsec két hálózati adapter között megosztott biztonsági kulccsal ellenőrzi és védi az egyes kereteket. Ez a konfiguráció csak két MACsec-kompatibilis eszköz között hajtható végre.

A MACsec kapcsolati társításokkal van konfigurálva, amelyek olyan attribútumok, amelyeket a hálózati adapterek a bejövő és kimenő biztonsági csatornák létrehozásához használnak. A létrehozás után az ezen csatornákon keresztüli forgalom két MACsec által védett kapcsolaton keresztül lesz kicserélve. A MACsec két kapcsolattársítási móddal rendelkezik:

  • Statikus kapcsolati társítási kulcs (CAK) mód: A MACsec által védett kapcsolatok egy előre osztott kulccsal jönnek létre, amely tartalmazza a kapcsolattársítási kulcs nevét (CKN) és a hozzárendelt CAK-t. Ezek a kulcsok a hivatkozás mindkét végén konfigurálva vannak.
  • Dinamikus CAK mód: A biztonsági kulcsok dinamikusan jönnek létre a 802.1x hitelesítési folyamattal, amely központosított hitelesítési eszközt, például radius-kiszolgálót használhat.

A Microsoft Enterprise Edge (M Standard kiadás E) eszközök támogatják a statikus CAK-t azáltal, hogy a CAK-t és a CKN-t egy Azure Key Vaultban tárolja, amikor az Azure ExpressRoute-t közvetlen portokkal konfigurálja. Az Azure Key Vault értékeinek eléréséhez konfigurálja a felügyelt identitást az ExpressRoute-kapcsolatcsoport erőforrásának hitelesítéséhez. Ez a megközelítés a Legkevésbé kiemelt hozzáférés használata Teljes felügyelet elvet követi, mivel csak a jogosult eszközök férhetnek hozzá a kulcsokhoz az Azure Key Vaultból. További információ: MACsec konfigurálása ExpressRoute Direct-portokon.

2. lépés: A helyszíni hálózatról az Azure-beli virtuális hálózatokra való kommunikáció védelme és ellenőrzése

Mivel a felhőbe való migrálás egyre elterjedtebbé válik a különböző méretű vállalatoknál, a hibrid kapcsolat kulcsfontosságú szerepet játszik. Fontos, hogy ne csak a biztonságot és a védelmet, hanem a helyszíni hálózat és az Azure közötti hálózati kommunikációt is ellenőrizze és figyelje.

Az alábbi ábra a helyszíni hálózatról az Azure-beli virtuális hálózatokra irányuló kommunikáció biztonságossá tételére és ellenőrzésére szolgáló referenciaarchitektúrát mutatja be.

Referenciaarchitektúra a helyszíni hálózatról az Azure-beli virtuális hálózatok felé történő kommunikáció védelmére és ellenőrzésére.

Az Azure két lehetőséget kínál a helyszíni hálózat azure-beli virtuális hálózat erőforrásaihoz való csatlakoztatására:

  • Az Azure VPN Gateway lehetővé teszi egy helyek közötti VPN-alagút létrehozását az IPsec használatával a hálózat közötti hálózati kommunikáció titkosításához és hitelesítéséhez a központi vagy távoli irodákban, valamint egy Azure-beli virtuális hálózatban. Lehetővé teszi továbbá, hogy az egyes ügyfelek pont–hely kapcsolatot létesíthessenek az Azure-beli virtuális hálózat erőforrásainak VPN-eszköz nélküli eléréséhez. A Teljes felügyelet betartásához konfigurálja az Entra-azonosító hitelesítési és feltételes hozzáférési szabályzatait az Azure VPN Gateway-kapcsolatokhoz a csatlakozó eszközök identitásának és megfelelőségének ellenőrzéséhez. További információ: A Microsoft Tunnel VPN Gateway használata feltételes hozzáférési szabályzatokkal.

  • Az Azure ExpressRoute nagy sávszélességű privát kapcsolatot biztosít, amellyel a helyszíni hálózatot kiterjesztheti az Azure-ra egy kapcsolatszolgáltató segítségével. Mivel a hálózati forgalom nem a nyilvános interneten halad át, az adatok alapértelmezés szerint nem titkosítva lesznek. Az ExpressRoute-on keresztüli forgalom titkosításához konfiguráljon egy IPsec-alagutat. Ne feledje azonban, hogy amikor IPsec-alagutakat futtat az ExpressRoute-on keresztül, a sávszélesség az alagút sávszélességére korlátozódik, és előfordulhat, hogy több alagutat kell futtatnia az ExpressRoute-kapcsolatcsoport sávszélességének megfelelően. További információ: Helyek közötti VPN-kapcsolatok ExpressRoute-beli privát társviszony-létesítésen keresztül – Azure VPN Gateway.

    Ha ExpressRoute Direct portokat használ, növelheti a hálózati biztonságot azáltal, hogy engedélyezi a hitelesítést BGP-társviszonyok létrehozásakor vagy a MACsec konfigurálásával a 2. rétegbeli kommunikáció biztonságossá tételéhez. A MACsec titkosítást biztosít az Ethernet-keretekhez, biztosítva az adatok bizalmasságát, integritását és hitelességét a peremhálózati útválasztó és a Microsoft peremhálózati útválasztója között.

    Az Azure ExpressRoute az Azure Monitort is támogatja a hálózati teljesítménymetrikákhoz és -riasztásokhoz.

A titkosítás védelmet nyújt az adatok jogosulatlan elfogása ellen, de a hálózati forgalom titkosításához és visszafejtéséhez egy további feldolgozási réteget is bevezet, amely hatással lehet a teljesítményre. Az interneten áthaladó hálózati forgalom is kiszámíthatatlan lehet, mert több hálózati eszközön kell áthaladnia, amelyek hálózati késést okozhatnak. A teljesítményproblémák elkerülése érdekében a Microsoft az ExpressRoute használatát javasolja, mert megbízható hálózati teljesítményt és sávszélesség-kiosztást kínál, amelyet testre szabhat a számítási feladathoz.

Amikor az Azure VPN Gateway vagy az ExpressRoute között dönt, vegye figyelembe a következő kérdéseket:

  1. Milyen típusú fájlokat és alkalmazásokat ér el a helyszíni hálózat és az Azure között? Konzisztens sávszélességre van szüksége a nagy mennyiségű adat átviteléhez?
  2. Szüksége van konzisztens és alacsony késésre az alkalmazások optimális végrehajtásához?
  3. Figyelnie kell a hibrid kapcsolat hálózati teljesítményét és állapotát?

Ha bármelyik kérdésre igennel válaszolt, akkor az Azure ExpressRoute-nak kell lennie a helyszíni hálózat Azure-hoz való csatlakoztatásának elsődleges módszerének.

Az ExpressRoute és az Azure VPN Gateway két gyakori forgatókönyvet tartalmazhat:

  • Az Azure VPN Gateway segítségével csatlakoztathatja fiókirodait az Azure-hoz, miközben a főirodát az ExpressRoute-tal csatlakoztatja.
  • Ha az ExpressRoute szolgáltatás leáll, az Azure VPN Gatewayt is használhatja biztonsági mentési kapcsolatként az Azure-hoz a központi irodához.

3. lépés: Az Azure-beli virtuális hálózatokon belüli és azon belüli kommunikáció védelme és ellenőrzése

Az Azure-beli forgalom mögöttes titkosítási szinttel rendelkezik. Amikor a forgalom különböző régiókban lévő virtuális hálózatok között mozog, a Microsoft a MACsec használatával titkosítja és hitelesíti a társviszony-forgalmat az adatkapcsolati rétegben.

Az alábbi ábra a referenciaarchitektúrát mutatja be az Azure-beli virtuális hálózatokon belüli és azon belüli kommunikáció biztonságossá tételéhez és ellenőrzéséhez.

A referenciaarchitektúra az Azure-beli virtuális hálózatokon belüli és azon belüli kommunikáció biztonságossá tételéhez és ellenőrzéséhez.

A titkosítás azonban önmagában nem elegendő a Teljes felügyelet biztosításához. Emellett ellenőriznie és figyelnie kell a hálózati kommunikációt az Azure-beli virtuális hálózatokon belül és az egész hálózaton. A virtuális hálózatok közötti további titkosítás és ellenőrzés az Azure VPN Gateway vagy a hálózati virtuális berendezések (NVA-k) segítségével lehetséges, de nem gyakori eljárás. A Microsoft azt javasolja, hogy a hálózati topológiát úgy tervezzen meg, hogy egy olyan központosított forgalomvizsgálati modellt használjon, amely részletes szabályzatokat kényszeríthet ki, és észlelheti az anomáliákat.

A VPN-átjárók vagy virtuális berendezések konfigurálásának többletterhelésének csökkentése érdekében engedélyezze a virtuális hálózatok titkosítási funkcióját bizonyos virtuális gépek esetében a virtuális gépek titkosításához és ellenőrzéséhez a gazdagép szintjén, a virtuális hálózaton belül és a virtuális hálózatok közötti társviszony-létesítésben.

4. lépés: Titkosítás implementálása az alkalmazásrétegben

Az alkalmazásréteg-titkosítás kulcsfontosságú szerepet játszik a Teljes felügyelet, amely minden adatot és kommunikációt titkosít, amikor a felhasználók webes alkalmazásokkal vagy eszközökkel kommunikálnak. Az alkalmazásréteg-titkosítás biztosítja, hogy csak ellenőrzött és megbízható entitások férhessenek hozzá webalkalmazásokhoz vagy eszközökhöz.

Az alábbi ábra az alkalmazásréteg titkosításának implementálására szolgáló referenciaarchitektúrát mutatja be.

A titkosítás alkalmazásrétegben történő implementálásának referenciaarchitektúrája.

Az alkalmazásréteg titkosításának egyik leggyakoribb példája a Hypertext Transfer Protocol Secure (HTTPS), amely titkosítja az adatokat egy webböngésző és egy webkiszolgáló között. A HTTPS a Transport Layer Security (TLS) protokollt használja az ügyfél-kiszolgáló kommunikáció titkosításához, és egy TLS digitális tanúsítvány használatával ellenőrzi a webhely vagy tartomány identitását és megbízhatóságát.

Az alkalmazásréteg biztonságára egy másik példa a Secure Shell (SSH) és a Távoli asztali protokoll (RDP), amely titkosítja az adatokat az ügyfél és a kiszolgáló között. Ezek a protokollok támogatják a többtényezős hitelesítést és a feltételes hozzáférési szabályzatokat is, hogy csak az engedélyezett és megfelelő eszközök vagy felhasználók férhessenek hozzá a távoli erőforrásokhoz. Az SSH- és RDP-kapcsolatok Azure-beli virtuális gépekhez való védelméről az 5. lépésben olvashat.

Azure-webalkalmazások védelme

Az Azure-webalkalmazások védelméhez használhatja az Azure Front Doort vagy az Azure-alkalmazás Gatewayt.

Azure Front Door

Az Azure Front Door egy globális terjesztési szolgáltatás, amely optimalizálja a tartalomkézbesítést a végfelhasználók számára a Microsoft peremhálózati pontjain keresztül. Az olyan funkciókkal, mint a webalkalmazási tűzfal (WAF) és a Private Link szolgáltatás, a Microsoft-hálózat peremén észlelheti és letilthatja a webalkalmazásokra irányuló rosszindulatú támadásokat, miközben a Microsoft belső hálózatával privát módon férhet hozzá a forrásához.

Az adatok védelme érdekében az Azure Front Door-végpontok felé irányuló forgalom https és végpontok közötti teljes körű TLS használatával van védve. A forgalom titkosítva van az ügyféltől a forrásig és a forrástól az ügyfél felé.

Az Azure Front Door kezeli a HTTPS-kérelmeket, és meghatározza, hogy a profil melyik végpontja rendelkezik a társított tartománynévvel. Ezután ellenőrzi az elérési utat, és meghatározza, hogy melyik útválasztási szabály felel meg a kérés elérési útjának. Ha a gyorsítótárazás engedélyezve van, az Azure Front Door ellenőrzi a gyorsítótárát, hogy van-e érvényes válasz. Ha nincs érvényes válasz, az Azure Front Door kiválasztja a legjobb forrást, amely képes kiszolgálni a kért tartalmat. Mielőtt a kérést elküldené a forrásnak, egy szabálykészlet alkalmazható a kérelemre a fejléc, a lekérdezési sztring vagy a forrás célhelyének módosításához.

Az Azure Front Door támogatja az előtérbeli és a háttérbeli TLS-t is. Az előtérbeli TLS titkosítja az ügyfél és az Azure Front Door közötti forgalmat. A háttérbeli TLS titkosítja az Azure Front Door és a forrás közötti forgalmat. Az Azure Front Door támogatja a TLS 1.2-t és a TLS 1.3-at. Az Azure Front Door konfigurálható egyéni TLS-tanúsítvány használatára, vagy az Azure Front Door által felügyelt tanúsítvány használatára.

Feljegyzés

A Privát kapcsolat funkciót az NVA-khoz való csatlakozáshoz is használhatja további csomagvizsgálathoz.

Azure Application Gateway

Azure-alkalmazás Gateway egy regionális terheléselosztó, amely a 7. rétegben működik. HTTP URL-attribútumok alapján irányítja és osztja el a webes forgalmat. A forgalom irányítását és elosztását három különböző megközelítéssel végezheti el:

  • CSAK HTTP: Az Application Gateway titkosítatlan formában fogadja és irányítja a bejövő HTTP-kéréseket a megfelelő célhelyre.
  • SSL-leállítás: Az Application Gateway visszafejti a bejövő HTTPS-kéréseket a példány szintjén, ellenőrzi őket, és titkosítatlanként irányítja őket a célhelyre.
  • Teljes körű TLS: Az Application Gateway visszafejti a bejövő HTTPS-kéréseket a példány szintjén, ellenőrzi őket, és újra titkosítja őket, mielőtt a célhoz irányítanák őket.

A legbiztonságosabb megoldás a teljes körű TLS, amely lehetővé teszi a bizalmas adatok titkosítását és továbbítását hitelesítési tanúsítványok vagy megbízható főtanúsítványok használatával. Emellett fel kell töltenie ezeket a tanúsítványokat a háttérkiszolgálókra, és gondoskodnia kell arról, hogy ezek a háttérkiszolgálók ismertek legyenek az Application Gateway számára. További információ: Teljes körű TLS konfigurálása az Application Gateway használatával.

Emellett a helyszíni felhasználók vagy egy másik virtuális hálózat virtuális gépeinek felhasználói is használhatják az Application Gateway belső előtérét ugyanazokkal a TLS-képességekkel. A titkosítás mellett a Microsoft azt javasolja, hogy mindig engedélyezze a WAF-ot a végpontok előtérbeli védelmének biztosításához.

5. lépés: Azure-beli virtuális gépek védelme az Azure Bastion használatával

Az Azure Bastion egy felügyelt PaaS-szolgáltatás, amellyel TLS-kapcsolaton keresztül biztonságosan csatlakozhat a virtuális gépekhez. Ez a kapcsolat az Azure Portalról vagy egy natív ügyfélen keresztül hozható létre a virtuális gép magánhálózati IP-címéhez. A Bastion használatának előnyei:

  • Az Azure-beli virtuális gépeknek nincs szükségük nyilvános IP-címre. Csatlakozás a HTTPS-hez készült 443-as TCP-porton keresztül haladnak, és a legtöbb tűzfalat át tudják haladni.
  • A virtuális gépek védettek a portkeresés ellen.
  • Az Azure Bastion platform folyamatosan frissül és védve van a nulladik napi kihasználtság ellen.

A Bastion használatával egyetlen belépési pontból vezérelheti a virtuális gép RDP- és SSH-kapcsolatát. Az egyes munkameneteket a Bastion szolgáltatásból kezelheti az Azure Portalon. Ha azt gyanítja, hogy egy felhasználónak nem kellene csatlakoznia a géphez, törölheti vagy kényszerítheti a folyamatban lévő távoli munkamenet leválasztását.

Az alábbi ábra az Azure Bastion azure-beli virtuális gépek védelmére szolgáló referenciaarchitektúrát mutatja be.

Az Azure Bastion azure-beli virtuális gépek védelmére szolgáló referenciaarchitektúrája.

Az Azure-beli virtuális gép védelme érdekében helyezze üzembe az Azure Bastiont , és kezdje el használni az RDP-t és az SSH-t a virtuális gépekhez való csatlakozáshoz a saját IP-címükkel.

Következő lépések

A Teljes felügyelet Azure-hálózatkezelésre való alkalmazásával kapcsolatos további információkért lásd:

Hivatkozások

Ezekre a hivatkozásokra kattintva megismerheti a cikkben említett különböző szolgáltatásokat és technológiákat.