Wat is Azure Bastion?
Het is essentieel om extern gehoste VM's veilig te kunnen beheren en beheren. Laten we eerst veilig extern beheer definiëren en vervolgens de functies van Azure Bastion bekijken. Dit overzicht helpt u te bepalen of Azure Bastion geschikt is voor uw vereisten.
Wat is veilig extern beheer?
Beveiligd extern beheer is de mogelijkheid om verbinding te maken met een externe resource zonder deze resource bloot te stellen aan beveiligingsrisico's. Dit type verbinding kan soms lastig zijn, met name als de resource wordt geopend via internet.
Wanneer beheerders verbinding maken met externe VM's, gebruiken ze doorgaans RDP of SSH om hun beheerdoelen te bereiken. Het probleem is dat u verbinding wilt maken met een gehoste VM, moet u verbinding maken met het openbare IP-adres. Het blootstellen van de IP-poorten die worden gebruikt door RDP en SSH (3389 en 22) aan internet is echter zeer ongewenst, omdat dit aanzienlijke beveiligingsrisico's veroorzaakt.
Azure Bastion-definitie
Azure Bastion is een volledig beheerd Platform as a Service (PaaS) waarmee u rechtstreeks via Azure Portal veilige en naadloze RDP- en SSH-toegang tot uw Azure-VM's kunt bieden.
Azure Bastion:
- Is ontworpen en geconfigureerd om aanvallen te weerstaan.
- Biedt RDP- en SSH-connectiviteit met uw Azure-workloads achter het bastion.
In de volgende tabel worden de functies beschreven die beschikbaar zijn nadat u Azure Bastion hebt geïmplementeerd.
| Voordeel | Beschrijving |
|---|---|
| RDP en SSH via Azure Portal | U kunt de RDP- en SSH-sessie rechtstreeks in Azure Portal openen met behulp van een naadloze ervaring met één klik. |
| Externe sessie via TLS en firewall-traversal voor RDP/SSH | Azure Bastion maakt gebruik van een op HTML5 gebaseerde webclient die automatisch naar uw lokale apparaat wordt gestreamd. Uw RDP-/SSH-sessie is via TLS op poort 443. Hierdoor kan het verkeer veiliger door firewalls gaan. Bastion ondersteunt TLS 1.2 en hoger. Oudere TLS-versies worden niet ondersteund. |
| Er is geen openbaar IP-adres vereist op de Virtuele Azure-machine | Azure Bastion opent de RDP-/SSH-verbinding met uw Azure-VM met behulp van het privé-IP-adres op uw VIRTUELE machine. U hebt geen openbaar IP-adres nodig op uw virtuele machine. |
| Geen gedoe met het beheren van netwerkbeveiligingsgroepen (NSG's) | U hoeft geen NSG's toe te passen op het Azure Bastion-subnet. Omdat Azure Bastion verbinding maakt met uw virtuele machines via een particulier IP-adres, kunt u uw NSG's zo configureren dat RDP/SSH alleen van Azure Bastion wordt toegestaan. Hiermee kunt u eenvoudig NSG’s beheren op de momenten waarop u een veilige verbinding met uw virtuele machines moet maken. |
| U hoeft geen afzonderlijke bastionhost op een VM te beheren | Azure Bastion is een volledig beheerde PaaS-service voor platformen van Azure die intern is beveiligd om u te voorzien van beveiligde RDP-/SSH-connectiviteit. |
| Beveiliging tegen poortscans | Uw VM's zijn beveiligd tegen poortscans door malafide en kwaadwillende gebruikers, omdat u de VM's niet beschikbaar hoeft te maken op internet. |
| Alleen op één plaats harden | Azure Bastion bevindt zich aan de perimeter van uw virtuele netwerk, dus u hoeft zich geen zorgen te maken over het beveiligen van elk van de VM's in uw virtuele netwerk. |
| Bescherming tegen zero-day exploits | Het Azure-platform beschermt tegen zero day-aanvallen door de Azure Bastion te beveiligen en altijd up-to-date te houden. |
Het blootstellen van poorten voor extern beheer voorkomen
Door Azure Bastion te implementeren, kunt u de Azure-VM's binnen een geconfigureerd virtueel Azure-netwerk beheren met behulp van RDP of SSH, zonder dat u deze beheerpoorten zichtbaar hoeft te maken voor het openbare internet. Met behulp van Azure Bastion kunt u het volgende doen:
- Verbinding maken eenvoudig naar uw Azure-VM's. Verbinding maken uw RDP- en SSH-sessies rechtstreeks in Azure Portal.
- Vermijd het blootstellen van beheerpoorten aan internet. Meld u aan bij uw Azure-VM's en vermijd blootstelling aan openbaar internet met behulp van SSH en RDP met alleen privé-IP-adressen.
- Vermijd uitgebreide herconfiguratie van uw bestaande netwerkinfrastructuur. Bestaande firewalls en beveiligingsperimeters integreren en doorlopen met behulp van een moderne HTML5-webclient via TLS op poort 443.
- Vereenvoudig het aanmelden. Gebruik uw SSH-sleutels voor verificatie bij het aanmelden bij uw Azure-VM's.
Tip
U kunt al uw persoonlijke SSH-sleutels in Azure Key Vault opslaan ter ondersteuning van gecentraliseerde sleutelopslag.