Werken met NSG-toegang en Azure Bastion

Wanneer u met Azure Bastion werkt, kunt u netwerkbeveiligingsgroepen (NSG's) gebruiken. Zie Beveiligingsgroepen voor meer informatie.

NSG

In dit diagram:

  • De Bastion-host wordt geïmplementeerd in het virtuele netwerk.
  • Maakt de gebruiker verbinding met Azure Portal met behulp van een HTML5-browser.
  • De gebruiker navigeert naar de virtuele Azure-machine naar RDP/SSH.
  • Verbinding maken-integratie - RDP-/SSH-sessie met één klik in de browser
  • Is er geen openbaar IP-adres vereist voor de virtuele Azure-machine.

Netwerkbeveiligingsgroepen

In deze sectie ziet u het netwerkverkeer tussen de gebruiker en Azure Bastion, en tot doel-VM's in uw virtuele netwerk:

Belangrijk

Als u ervoor kiest om een NSG te gebruiken met uw Azure Bastion-resource, moet u alle volgende regels voor inkomend en uitgaand verkeer maken. Als u een van de volgende regels in uw NSG weglaat, wordt voorkomen dat uw Azure Bastion-resource in de toekomst de benodigde updates ontvangt en uw resource daarom opent voor toekomstige beveiligingsproblemen.

AzureBastionSubnet

Azure Bastion wordt specifiek geïmplementeerd in AzureBastionSubnet.

  • Inkomend verkeer:

    • Inkomend verkeer van openbaar internet: Azure Bastion maakt een openbaar IP-adres waarvoor poort 443 is ingeschakeld op het openbare IP-adres voor inkomend verkeer. Poort 3389/22 hoeft niet te worden geopend op het AzureBastionSubnet. Houd er rekening mee dat de bron het internet of een set openbare IP-adressen kan zijn die u opgeeft.
    • Inkomend verkeer van het Azure Bastion-besturingsvlak: Schakel poort 443 inkomende poort in vanuit de GatewayManager-servicetag voor connectiviteit met besturingsvlak. Hierdoor kan het besturingsvlak, dat wil zeggen Gateway Manager, kunnen communiceren met Azure Bastion.
    • Inkomend verkeer van azure Bastion-gegevensvlak: Schakel voor communicatie tussen de onderliggende onderdelen van Azure Bastion poorten 8080, 5701 inkomend van de VirtualNetwork-servicetag in naar de VirtualNetwork-servicetag . Hierdoor kunnen de onderdelen van Azure Bastion met elkaar communiceren.
    • Inkomend verkeer van Azure Load Balancer: Schakel voor statustests poort 443 binnenkomend in vanaf de AzureLoadBalancer-servicetag. Hierdoor kan Azure Load Balancer connectiviteit detecteren

    Screenshot shows inbound security rules for Azure Bastion connectivity.

  • Egress Verkeer:

    • Egress verkeer naar doel-VM's: Azure Bastion bereikt de doel-VM's via privé-IP. De NSG's moeten uitgaand verkeer naar andere doel-VM-subnetten toestaan voor poort 3389 en 22. Als u de functie voor aangepaste poorten gebruikt als onderdeel van standard-SKU, moeten de NSG's in plaats daarvan uitgaand verkeer naar andere doel-VM-subnetten toestaan voor de aangepaste waarde(s) die u hebt geopend op uw doel-VM's.
    • Egress verkeer naar het Azure Bastion-gegevensvlak: Schakel poorten 8080, 5701 uitgaand van de VirtualNetwork-servicetag naar de VirtualNetwork-servicetag in voor communicatie tussen de onderliggende onderdelen van Azure Bastion. Hierdoor kunnen de onderdelen van Azure Bastion met elkaar communiceren.
    • Egress verkeer naar andere openbare eindpunten in Azure: Azure Bastion moet verbinding kunnen maken met verschillende openbare eindpunten binnen Azure (bijvoorbeeld voor het opslaan van diagnostische logboeken en meterlogboeken). Daarom moet Azure Bastion uitgaand naar 443 naar de AzureCloud-servicetag .
    • Egress verkeer naar internet: Azure Bastion moet kunnen communiceren met internet voor sessie- en certificaatvalidatie. Daarom raden we u aan poort 80 uitgaand naar internet in te schakelen .

    Screenshot shows outbound security rules for Azure Bastion connectivity.

Doel-VM-subnet

Dit is het subnet met de doel-VM waarnaar u RDP/SSH wilt gebruiken.

  • Inkomend verkeer van Azure Bastion: Azure Bastion bereikt de doel-VM via een privé-IP-adres. RDP-/SSH-poorten (respectievelijk poorten 3389/22 of aangepaste poortwaarden als u de aangepaste poortfunctie gebruikt als onderdeel van standard-SKU) moeten worden geopend aan de doel-VM-zijde via privé-IP. Als best practice kunt u het IP-adresbereik van het Azure Bastion-subnet in deze regel toevoegen, zodat alleen Bastion deze poorten op de doel-VM's in uw doel-VM-subnet kan openen.

Volgende stappen

Zie de veelgestelde vragen voor meer informatie over Azure Bastion.