Kiedy używać usługi Azure Bastion
W tej lekcji zapoznasz się z użyciem usługi Azure Bastion i określisz, czy jest to odpowiedni wybór do bezpiecznego nawiązywania połączenia z zdalną maszyną wirtualną. Oceniasz usługę Azure Bastion na podstawie następujących kryteriów:
- Zabezpieczenia
- Łatwość zarządzania
- Integracja z innymi aplikacjami
Administracja istratory muszą polegać na zdalnym zarządzaniu w celu administrowania i konserwacji zasobów platformy Azure organizacji, w tym maszyn wirtualnych i aplikacji zainstalowanych na tych maszynach wirtualnych. Ważne jest, aby rozważyć możliwość bezpiecznego łączenia się z tymi zasobami i aplikacjami bez ujawniania ich w Internecie. Za pomocą usługi Azure Bastion można zdalnie łączyć się z hostowanymi maszynami wirtualnymi i zarządzać nimi bez uwidaczniania portów zarządzania z Internetem. Jednak niektórzy administratorzy rozwiązali to wymaganie przy użyciu serwerów przesiadkowych, które są czasami nazywane polami przesiadkowymi. W tej lekcji określisz, czy usługa Azure Bastion może zastąpić pola przesiadkowe jako metodę zapewnienia bezpiecznego dostępu do zarządzania zdalnego.
Uwaga
Serwer przesiadkowy to maszyna wirtualna platformy Azure z publicznym adresem IP dostępnym z Internetu.
W typowym scenariuszu przesiadkowym:
- Maszyny wirtualne organizacji są konfigurowane tylko z prywatnymi adresami IP i nie są bezpośrednio dostępne z Internetu.
- Serwer przesiadkowy jest wdrażany w tej samej sieci wirtualnej co maszyny wirtualne, którymi administratorzy chcą zdalnie zarządzać przy użyciu protokołów RDP i SSH.
- Sieciowa grupa zabezpieczeń zarządza przepływem ruchu sieciowego między Internetem, serwerem przesiadkowym i docelowymi maszynami wirtualnymi.
- Administracja istratory łączą się z serwerem przesiadkowym za pomocą protokołu RDP przy użyciu publicznego adresu IP.
Ważne
Ponieważ łączysz się z serwerem przesiadkowym za pomocą protokołu RDP na publicznym adresie IP, zabezpieczenia serwera przesiadkowego mogą zostać naruszone.
Serwer przesiadkowy to maszyna wirtualna z systemem operacyjnym serwera, więc należy wykonać następujące czynności:
- Aktualizuj maszynę wirtualną przy użyciu poprawek i innych aktualizacji.
- Skonfiguruj odpowiednie sieciowe grupy zabezpieczeń, aby zabezpieczyć przepływ ruchu w sieci wirtualnej między serwerem przesiadkowym a docelowymi maszynami wirtualnymi.
Kryteria decyzji
Aby określić, czy serwer przesiadkowy czy usługa Azure Bastion jest lepszym rozwiązaniem do zdalnego zarządzania zasobami platformy Azure w organizacji, rozważ kryteria, takie jak zabezpieczenia, łatwość zarządzania i integracja. Oto analiza tych kryteriów.
| Kryteria | Analiza |
|---|---|
| Bezpieczeństwo | Usługa Azure Bastion nie uwidacznia protokołu RDP/SSH w publicznym adresie IP. W przeciwieństwie do serwera przesiadkowego usługa Azure Bastion obsługuje tylko połączenia chronione protokołem TLS z witryny Azure Portal. W usłudze Azure Bastion nie trzeba konfigurować sieciowych grup zabezpieczeń, aby ułatwić zabezpieczanie przepływu ruchu. |
| Łatwość zarządzania | Azure Bastion to w pełni zarządzana usługa PaaS. Nie jest to maszyna wirtualna jak skrzynka przesiadkowa, która wymaga regularnych aktualizacji. Nie potrzebujesz klienta ani agenta do korzystania z usługi Azure Bastion ani nie musisz stosować do niego poprawek i aktualizacji. Nie trzeba również instalować ani obsługiwać żadnego innego oprogramowania w konsolach zarządzania. |
| Integracja aplikacji | Usługę Azure Bastion można zintegrować z innymi natywnymi usługami zabezpieczeń na platformie Azure, takimi jak Azure Firewall. Serwery przesiadkowe nie mają tej opcji. |
Uwaga
Usługa Azure Bastion jest wdrażana na sieć wirtualną (lub równorzędną sieć wirtualną), a nie na subskrypcję, konto lub maszynę wirtualną.
Stosowanie kryteriów
Usługa Azure Bastion rozwiązuje kluczowy cel włączenia bezpiecznego zdalnego zarządzania hostowanymi maszynami wirtualnymi. Jako usługa zarządzana nie musisz aktualizować usługi Azure Bastion ani ręcznie konfigurować sieciowych grup zabezpieczeń i powiązanych ustawień. Usługa Azure Bastion to najlepsze rozwiązanie umożliwiające bezpieczne zdalne zarządzanie maszynami wirtualnymi hostowanymi na platformie Azure.
Rozważ użycie usługi Azure Bastion, jeśli masz zdalne maszyny wirtualne hostowane na platformie Azure, aby zarządzać nimi i:
- Musisz nawiązać połączenie z tymi maszynami wirtualnymi przy użyciu protokołu RDP/SSH.
- Nie chcesz utrzymywać metody, za pomocą której nawiązujesz połączenie z tymi zdalnymi maszynami wirtualnymi.
- Nie chcesz konfigurować ustawień sieciowej grupy zabezpieczeń w celu włączenia zdalnego zarządzania.
- Chcesz unikać używania pól przesiadkowych.
Podczas określania liczby hostów usługi Azure Bastion do wdrożenia należy wziąć pod uwagę, że wymagana jest jedna sieć wirtualna (lub równorzędna sieć wirtualna). Nie musisz wdrażać usługi Azure Bastion na poszczególnych maszynach wirtualnych ani w poszczególnych podsieciach.