Wanneer gebruikt u Azure Bastion?
In deze les verkent u het gebruik van Azure Bastion en bepaalt u of het een geschikte keuze is om veilig verbinding te maken met een externe VM. U evalueert Azure Bastion op basis van de volgende criteria:
- Beveiliging
- Eenvoudig beheer
- Integratie met andere apps
Beheer istrators moeten afhankelijk zijn van extern beheer voor het beheer en onderhoud van de Azure-resources van een organisatie, waaronder VM's en de apps die op deze VM's zijn geïnstalleerd. Het is belangrijk om na te denken over de mogelijkheid om veilig verbinding te maken met deze resources en apps zonder ze bloot te stellen aan internet. U kunt Azure Bastion gebruiken om extern verbinding te maken met gehoste VM's en deze te beheren zonder beheerpoorten beschikbaar te maken voor internet. Sommige beheerders hebben deze vereiste echter aangepakt met behulp van jumpservers, die ook wel jumpboxs worden genoemd. In deze les bepaalt u of Azure Bastion jumpboxs kan vervangen als een methode voor het bieden van beveiligde toegang tot extern beheer.
Notitie
Een jumpbox is een Virtuele Azure-machine met een openbaar IP-adres, dat toegankelijk is vanaf internet.
In een typisch jump box-scenario:
- De VM's van uw organisatie zijn alleen geconfigureerd met privé-IP-adressen en zijn niet rechtstreeks toegankelijk vanaf internet.
- De jumpbox wordt geïmplementeerd in hetzelfde virtuele netwerk als vm's die beheerders op afstand willen beheren met behulp van RDP en SSH.
- Een netwerkbeveiligingsgroep beheert de netwerkverkeersstroom tussen internet, de jumpbox en de doel-VM's.
- Beheer istrators maken verbinding met de jumpbox met RDP met behulp van het openbare IP-adres.
Belangrijk
Omdat u verbinding maakt met uw jumpbox met RDP op een openbaar IP-adres, kan de jump box-beveiliging worden aangetast.
De jumpbox is een virtuele machine waarop een serverbesturingssysteem wordt uitgevoerd, dus u moet:
- Houd de VM up-to-date met patches en andere updates.
- Configureer de juiste NSG's om de verkeersstroom binnen het virtuele netwerk tussen de jumpbox en de doel-VM's te beveiligen.
Beslissingscriteria
Om te bepalen of een jumpbox of Azure Bastion de betere optie is om de Azure-resources van uw organisatie op afstand te beheren, moet u rekening houden met criteria zoals beveiliging, beheergemak en integratie. Hier volgt een analyse van deze criteria.
| Criteria | Analyse |
|---|---|
| Beveiliging | Azure Bastion maakt RDP/SSH niet beschikbaar op het openbare IP-adres. In tegenstelling tot een jump box biedt Azure Bastion alleen ondersteuning voor met TLS beveiligde verbindingen vanuit Azure Portal. Met Azure Bastion hoeft u geen NSG's te configureren om de verkeersstroom te beveiligen. |
| Beheergemak | Azure Bastion is een volledig beheerde PaaS-service. Het is geen VIRTUELE machine als een jumpbox, waarvoor regelmatige updates vereist zijn. U hebt geen client of agent nodig om Azure Bastion te gebruiken en u hoeft ook geen patches en updates erop toe te passen. U hoeft ook geen andere software op beheerconsoles te installeren of te onderhouden. |
| Integratie | U kunt Azure Bastion integreren met andere systeemeigen beveiligingsservices in Azure, zoals Azure Firewall. Jumpservers hebben deze optie niet. |
Notitie
U implementeert Azure Bastion per virtueel netwerk (of gekoppeld virtueel netwerk) in plaats van per abonnement, account of VM.
De criteria toepassen
Azure Bastion heeft betrekking op het belangrijkste doel om veilig extern beheer van gehoste VM's mogelijk te maken. Als beheerde service hoeft u Azure Bastion niet bij te werken of NSG's en gerelateerde instellingen handmatig te configureren. Azure Bastion is de beste oplossing voor veilig extern beheer van door Azure gehoste VM's.
Overweeg het gebruik van Azure Bastion wanneer u externe door Azure gehoste VM's hebt voor het beheren en:
- U moet verbinding maken met deze VM's met behulp van RDP/SSH.
- U wilt de methode waarmee u verbinding maakt met deze externe VM's niet onderhouden.
- U wilt geen NSG-instellingen configureren om extern beheer in te schakelen.
- U wilt voorkomen dat u jumpboxs gebruikt.
Houd er rekening mee dat u één per virtueel netwerk (of gekoppeld virtueel netwerk) nodig hebt bij het bepalen van het aantal Azure Bastion-hosts dat moet worden geïmplementeerd. U hoeft Azure Bastion niet per VM of per subnet te implementeren.