Kapan menggunakan Azure Bastion
Dalam unit ini, Anda menjelajahi penggunaan Azure Bastion dan menentukan apakah itu pilihan yang cocok untuk menyambungkan ke VM jarak jauh dengan aman. Anda mengevaluasi Azure Bastion berdasarkan kriteria berikut:
- Keamanan
- Kemudahan manajemen
- Integrasi dengan layanan Azure lainnya
Administrator harus mengandalkan manajemen jarak jauh untuk administrasi dan pemeliharaan sumber daya Azure organisasi, yang mencakup komputer virtual, dan aplikasi yang diinstal di komputer virtual tersebut. Penting untuk mempertimbangkan kemampuan untuk terhubung dengan aman ke sumber daya dan aplikasi ini tanpa mengeksposnya ke internet. Anda dapat menggunakan Azure Bastion untuk terhubung ke dan mengelola komputer virtual yang dihost dari jarak jauh tanpa mengekspos port manajemen ke internet. Namun, beberapa administrator sudah memenuhi persyaratan ini menggunakan server jump, yang kadang-kadang disebut jump box. Dalam unit ini, Anda menentukan apakah Azure Bastion dapat mengganti jump box sebagai metode untuk menyediakan akses manajemen jarak jauh yang aman.
Catatan
Jump box adalah komputer virtual Azure dengan alamat IP publik, yang dapat diakses dari internet.
Dalam skenario jump box biasa:
- Komputer virtual organisasi Anda dikonfigurasi hanya dengan alamat IP privat, dan tidak dapat diakses langsung dari internet.
- Jump box disebarkan ke jaringan virtual yang sama dengan komputer virtual yang ingin dikelola administrator dari jarak jauh menggunakan RDP dan SSH.
- NSG mengelola arus lalu lintas jaringan antara internet, jump box, dan VM target.
- Administrator terhubung ke jump box dengan RDP menggunakan IP publik.
Penting
Karena Anda terhubung ke jump box dengan RDP di IP publik, keamanan jump box dapat disusupi.
Jump box adalah VM yang menjalankan sistem operasi server, jadi Anda perlu:
- Terus memperbarui komputer virtual dengan patch dan pembaruan lainnya.
- Mengonfigurasi NSG yang sesuai untuk membantu mengamankan arus lalu lintas di jaringan virtual antara jump box dan komputer virtual target.
Kriteria keputusan
Untuk menentukan apakah jump box atau Azure Bastion adalah opsi yang lebih baik untuk mengelola sumber daya Azure organisasi dari jarak jauh, pertimbangkan kriteria seperti keamanan, kemudahan manajemen, dan integrasi. Berikut adalah analisis kriteria ini.
| Kriteria | Analisis |
|---|---|
| Keamanan | Azure Bastion tidak mengekspos RDP/SSH di IP publiknya. Tidak seperti jump box, Azure Bastion hanya mendukung koneksi yang dilindungi TLS dari portal Microsoft Azure. Dengan Azure Bastion, Anda tidak perlu mengonfigurasi NSG untuk membantu mengamankan arus lalu lintas. |
| Kemudahan manajemen | Azure Bastion adalah layanan PaaS yang dikelola penuh. Ini bukan komputer virtual seperti jump box, yang membutuhkan pembaruan rutin. Anda tidak memerlukan klien atau agen untuk menggunakan Azure Bastion, Anda juga tidak perlu menerapkan patch dan pembaruan ke Azure Bastion. Anda juga tidak perlu menginstal atau memelihara perangkat lunak lain di konsol manajemen. |
| Integrasi | Anda dapat mengintegrasikan Azure Bastion dengan layanan keamanan asli lainnya di Azure, seperti Azure Firewall. Server lompat tidak memiliki opsi ini. |
Catatan
Anda menggunakan Azure Bastion per jaringan virtual (atau jaringan virtual yang di-peer) dibanding per langganan, akun, atau komputer virtual.
Menerapkan kriteria
Azure Bastion membahas tujuan utama untuk memungkinkan manajemen jarak jauh yang aman dari komputer virtual yang dihosting. Sebagai layanan terkelola, Anda tidak perlu memperbarui Azure Bastion, atau mengonfigurasi NSG dan pengaturan terkait secara manual. Azure Bastion merupakan solusi terbaik untuk memungkinkan manajemen jarak jauh yang aman dari komputer virtual yang dihosting.
Sebaiknya gunakan Azure Bastion saat Anda memiliki komputer virtual yang dihosting Azure jarak jauh untuk mengelola dan:
- Anda harus terhubung ke komputer virtual tersebut menggunakan RDP/SSH.
- Anda tidak ingin mempertahankan metode tempat Anda terhubung ke komputer virtual jarak jauh ini.
- Anda tidak ingin mengonfigurasi pengaturan NSG untuk mengaktifkan manajemen jarak jauh.
- Anda ingin menghindari penggunaan jump box.
Saat menentukan jumlah host Azure Bastion yang akan disebarkan, pertimbangkan bahwa Anda memerlukan satu per jaringan virtual (atau jaringan virtual yang di-peer). Anda tidak perlu menyebarkan Azure Bastion berdasarkan per komputer virtual atau per subnet.