Apa itu Azure Bastion?
Penting sekali untuk dapat mengurus dan mengelola komputer virtual yang dihosting dari jarak jauh dengan aman. Untuk memulai, mari kita tentukan manajemen jarak jauh yang aman, lalu tinjau fitur Azure Bastion. Gambaran umum ini membantu Anda memutuskan apakah Azure Bastion cocok untuk kebutuhan Anda.
Apa itu manajemen jarak jauh yang aman?
Manajemen jarak jauh yang aman adalah kemampuan terhubung ke sumber daya jarak jauh tanpa mengekspos sumber daya tersebut ke risiko keamanan. Jenis koneksi ini terkadang bisa menjadi tantangan, terutama jika sumber daya sedang diakses di internet.
Ketika administrator terhubung ke komputer virtual jarak jauh, mereka biasanya menggunakan RDP atau SSH untuk mencapai tujuan administratif mereka. Masalahnya adalah, untuk terhubung ke komputer virtual yang dihosting, Anda harus terhubung ke alamat IP publiknya. Namun, mengekspos port IP yang digunakan oleh RDP dan SSH (3389 dan 22) ke internet sangat tidak diinginkan, karena menimbulkan risiko keamanan yang signifikan.
Definisi Azure Bastion
Azure Bastion adalah platform as a service (PaaS) yang dikelola penuh yang membantu menyediakan akses RDP dan SSH yang aman dan lancar ke komputer virtual Azure secara langsung melalui portal Microsoft Azure.
Azure Bastion:
- Dirancang dan dikonfigurasi untuk menahan serangan.
- Menyediakan konektivitas RDP dan SSH ke beban kerja Azure di belakang bastion.
Tabel berikut ini menjelaskan fitur yang tersedia setelah Anda menyebarkan Azure Bastion.
| Keuntungan | Deskripsi |
|---|---|
| RDP dan SSH melalui portal Microsoft Azure | Anda dapat masuk ke sesi RDP dan SSH secara langsung di portal Azure menggunakan pengalaman lancar satu klik. |
| Sesi Jarak Jauh melalui TLS dan firewall traversal untuk RDP / SSH | Azure Bastion menggunakan klien web berbasis HTML5 yang secara otomatis dialirkan ke perangkat lokal Anda. Sesi RDP/SSH Anda melalui TLS pada port 443. Ini memungkinkan lalu lintas melintasi firewall dengan lebih aman. Bastion mendukung TLS 1.2 ke atas. Versi TLS yang lebih lama tidak didukung. |
| Tidak diperlukan alamat IP Publik pada Azure VM | Azure Bastion membuka koneksi RDP/SSH ke Azure VM Anda menggunakan alamat IP privat di mesin virtual Anda. Anda tidak memerlukan alamat IP publik di mesin virtual Anda. |
| Tidak perlu repot mengelola Kelompok Keamanan Jaringan (NSG) | Anda tidak perlu menerapkan NSG apa pun di subnet Azure Bastion. Karena Azure Bastion tersambung ke komputer virtual Anda melalui IP privat, Anda dapat mengonfigurasi NSG untuk mengizinkan RDP/SSH dari Azure Bastion saja. Ini menghilangkan kerumitan dalam mengelola NSG setiap kali Anda perlu tersambung dengan aman ke komputer virtual Anda. |
| Tidak perlu mengelola host bastion terpisah pada mesin virtual | Azure Bastion adalah layanan PaaS platform yang dikelola sepenuhnya dari Azure yang diperkuat secara internal untuk memberikan Anda konektivitas RDP/SSH yang aman. |
| Perlindungan terhadap pemindaian port | Mesin virtual Anda dilindungi terhadap pemindaian port oleh peretas jahat dan berbahaya karena Anda tidak perlu mengeksposnya ke internet. |
| Pengerasan di satu tempat saja | Azure Bastion berada di perimeter jaringan virtual, jadi, Anda tidak perlu khawatir dengan pengerasan tiap komputer virtual di jaringan virtual. |
| Melindungi dari eksploitasi zero-day | Platform Azure memproteksi dari eksploitasi zero-day dengan menjaga Azure Bastion tetap menguat dan selalu diperbarui untuk Anda. |
Cara menghindari mengekspos port manajemen jarak jauh
Dengan menerapkan Azure Bastion, Anda dapat mengelola komputer virtual Azure di jaringan virtual Azure yang dikonfigurasi menggunakan RDP atau SSH, tanpa perlu mengekspos port manajemen tersebut ke internet publik. Dengan Azure Bastion, Anda bisa:
- Terhubung dengan mudah ke komputer virtual Azure. Menghubungkan sesi RDP dan SSH langsung di portal Microsoft Azure.
- Menghindari mengekspos port manajemen ke internet. Masuk ke komputer virtual Azure dan menghindari mengekspos internet publik menggunakan SSH dan RDP hanya dengan alamat IP privat.
- Menghindari konfigurasi ulang infrastruktur jaringan yang ada secara ekstensif. Integrasikan dan melintasi firewall dan perimeter keamanan yang ada dengan menggunakan klien web berbasis HTML5 modern melalui TLS pada port 443.
- Menyederhanakan masuk. Menggunakan kunci SSH untuk autentikasi saat masuk ke komputer virtual Azure.
Tip
Anda dapat menyimpan semua kunci privat SSH di Azure Key Vault untuk mendukung penyimpanan kunci terpusat.