Uso dell'accesso del gruppo di sicurezza di rete e di Azure Bastion

Quando si usa Azure Bastion, è possibile usare i gruppi di sicurezza di rete . Per altre informazioni, vedere Gruppi di sicurezza.

NSG

In questo diagramma:

  • L'host Bastion viene distribuito nella rete virtuale.
  • L'utente si connette al portale di Azure tramite qualsiasi browser HTML5.
  • L'utente passa alla macchina virtuale di Azure in RDP/SSH.
  • integrazione Connessione - Sessione RDP/SSH a clic singolo all'interno del browser
  • Non è richiesto alcun indirizzo IP pubblico nella macchina virtuale di Azure.

Gruppi di sicurezza di rete

Questa sezione illustra il traffico di rete tra l'utente e Azure Bastion e le macchine virtuali di destinazione nella rete virtuale:

Importante

Se si sceglie di usare un gruppo di sicurezza di rete con la risorsa Azure Bastion, è necessario creare tutte le regole di traffico in ingresso e in uscita seguenti. Omettendo una delle regole seguenti nel gruppo di sicurezza di rete, la risorsa Azure Bastion bloccherà la ricezione degli aggiornamenti necessari in futuro e quindi aprirà la risorsa alle vulnerabilità di sicurezza future.

AzureBastionSubnet

Azure Bastion viene distribuito in modo specifico in AzureBastionSubnet.

  • Traffico in ingresso:

    • Traffico in ingresso da Internet pubblico: Azure Bastion creerà un INDIRIZZO IP pubblico che richiede la porta 443 abilitata per il traffico in ingresso. La porta 3389/22 non deve essere aperta in AzureBastionSubnet. Si noti che l'origine può essere Internet o un set di indirizzi IP pubblici specificati.
    • Traffico in ingresso dal piano di controllo di Azure Bastion: Per la connettività del piano di controllo, abilitare la porta 443 in ingresso dal tag del servizio GatewayManager . In questo modo il piano di controllo, ovvero Gestione gateway, può comunicare con Azure Bastion.
    • Traffico in ingresso dal piano dati di Azure Bastion: Per la comunicazione del piano dati tra i componenti sottostanti di Azure Bastion, abilitare le porte 8080, 5701 in ingresso dal tag del servizio VirtualNetwork al tag del servizio VirtualNetwork . Ciò consente ai componenti di Azure Bastion di comunicare tra loro.
    • Traffico in ingresso da Azure Load Balancer: per i probe di integrità abilitare la porta 443 in ingresso dal tag del servizio AzureLoadBalancer. Ciò consente Azure Load Balancer di rilevare la connettività

    Screenshot shows inbound security rules for Azure Bastion connectivity.

  • Egress traffico:

    • Egress Traffico per le macchine virtuali di destinazione: Azure Bastion raggiungerà le macchine virtuali di destinazione tramite IP privato. I gruppi di sicurezza di rete devono consentire il traffico in uscita ad altre subnet vm di destinazione per la porta 3389 e 22. Se si usa la funzionalità di porta personalizzata come parte dello SKU Standard, i gruppi di sicurezza di rete dovranno invece consentire il traffico in uscita ad altre subnet vm di destinazione per i valori personalizzati aperti nelle macchine virtuali di destinazione.
    • Egress Traffico al piano dati di Azure Bastion: per la comunicazione del piano dati tra i componenti sottostanti di Azure Bastion, abilitare le porte 8080, 5701 in uscita dal tag del servizio VirtualNetwork al tag del servizio VirtualNetwork. Ciò consente ai componenti di Azure Bastion di comunicare tra loro.
    • Egress Traffico ad altri endpoint pubblici in Azure: Azure Bastion deve essere in grado di connettersi a vari endpoint pubblici all'interno di Azure, ad esempio per l'archiviazione dei log di diagnostica e dei log di misurazione. Per questo motivo, Azure Bastion deve uscire da 443 al tag del servizio AzureCloud .
    • Egress Traffico a Internet: Azure Bastion deve essere in grado di comunicare con Internet per la convalida della sessione e del certificato. Per questo motivo, è consigliabile abilitare la porta 80 in uscita su Internet.

    Screenshot shows outbound security rules for Azure Bastion connectivity.

Subnet della macchina virtuale di destinazione

Si tratta della subnet che contiene la macchina virtuale di destinazione a cui si vuole eseguire RDP/SSH.

  • Traffico in ingresso da Azure Bastion: Azure Bastion raggiungerà la macchina virtuale di destinazione tramite IP privato. Le porte RDP/SSH (rispettivamente porte 3389/22 o valori di porta personalizzati se si usa la funzionalità di porta personalizzata come parte dello SKU Standard) devono essere aperte sul lato macchina virtuale di destinazione tramite IP privato. Come procedura consigliata, è possibile aggiungere l'intervallo di indirizzi IP della subnet di Azure Bastion in questa regola per consentire solo Bastion di aprire queste porte nelle macchine virtuali di destinazione nella subnet della macchina virtuale di destinazione.

Passaggi successivi

Per altre informazioni su Azure Bastion, vedere le domande frequenti.