Частное подключение к средам

  • Статья

Исходная архитектура защищена при проектировании. Она использует многоуровневый подход к защите для преодоления общих рисков кражи данных, создаваемых клиентами. Можно использовать определенные функции на уровне сети, удостоверений, данных и служб, чтобы определить конкретные элементы управления доступом и предоставить пользователям только необходимые данные. Даже если некоторые из этих механизмов защиты не срабатывают, эти функции помогают обеспечить целостность данных в системе защиты платформы корпоративного масштаба.

Сетевые функции, такие как частные конечные точки и отключенный доступ к общедоступной сети, могут значительно снизить уязвимость платформы данных организации. Даже если эти функции включены, необходимо принять дополнительные меры предосторожности для успешного подключения к службам, таким как учетные записи хранения Azure, рабочие области Azure Synapse, Azure Purview или Машинное обучение Azure из общедоступного Интернета.

В этом документе приведены самые распространенные варианты подключения к службам в целевой зоне управления данными или целевой зоне данных простым и безопасным способом.

Сведения об узле Бастиона Azure и виртуальная машина jumpbox

Самым простым решением представляется размещение виртуальной машины jumpbox в виртуальной сети целевой зоны управления данными или целевой зоны данных для подключения к службам данных через частные конечные точки. jumpbox — это виртуальная машина Azure, работающая под управлением Linux или Windows, и к которой пользователи могут подключаться по протоколу удаленного рабочего стола (RDP) или Secure Shell (SSH).

Ранее виртуальные машины jumpbox должны были размещаться с общедоступными IP-адресами для включения сеансов RDP и SSH из общедоступного Интернета. Группы безопасности сети (NGS) можно использовать для дальнейшей блокировки трафика, чтобы разрешить подключения только из ограниченного набора общедоступных IP-адресов. Однако этот подход означал, что общедоступный IP-адрес должен предоставляться из среды Azure, что повышало уязвимость организации. С другой стороны, клиенты могли использовать правила DNAT в своем Брандмауэре Azure для предоставления доступа к порту SSH или RDP виртуальной машины по общедоступному Интернету, что может привести к аналогичным угрозам безопасности.

В настоящее время вместо предоставления общего доступа к виртуальной машине можно использовать в качестве более безопасного варианта Бастион Azure. Бастион Azure обеспечивает безопасное удаленное подключение из портала Azure к виртуальным машинам Azure по протоколу TLS. Бастион Azure необходимо настроить в выделенной подсети (подсети с именем AzureBastionSubnet) в целевой зоне данных Azure или в целевой зоне управления данными Azure. Затем его можно использовать для подключения к любой виртуальной машине в этой виртуальной сети или в одноранговой виртуальной сети непосредственно из портала Azure. На любой виртуальной машине не нужно устанавливать дополнительные клиенты или агенты. Можно снова использовать группы безопасности сети, чтобы разрешить использование протоколов RDP и SSH только из Бастиона Azure.

Схема сетевой архитектуры Бастиона Azure.

Бастион Azure предоставляет несколько других основных преимуществ безопасности, в том числе:

  • Трафик, инициированный из Бастиона Azure в целевую виртуальную машину, остается в виртуальной сети клиента.
  • Осуществляется защита от сканирования портов, так как порты RDP, порты SSH и общедоступные IP-адреса не являются общедоступными для виртуальных машин.
  • Бастион Azure помогает защититься от атак, использующих нулевые дни. Он находится по периметру виртуальной сети. Так как эта модель «платформа как услуга» (PaaS), платформа Azure поддерживает Бастион Azure в актуальном состоянии.
  • Служба объединяется с собственными устройствами защиты для виртуальной сети Azure, например с помощью Брандмауэра Azure.
  • Бастион Azure можно использовать для наблюдения за удаленными подключениями и управления ими.

Подробные сведения см. в статье Что такое Бастион Azure?

Развертывание

Чтобы упростить процесс для пользователей, существует шаблон Bicep/ARM, который поможет вам быстро создать эту настройку в целевой зоне управления данными или целевой зоне данных. Используйте шаблон, чтобы создать следующую настройку в своей подписке:

Схема архитектуры Бастиона Azure.

Чтобы самостоятельно развернуть узел Бастиона, нажмите кнопку Развернуть в Azure:

Развертывание в Azure

При развертывании Бастиона Azure и виртуальной машины jumpbox с помощью кнопки Развернуть в Azure можно указать тот же префикс и среду, которые используются в целевой зоне данных или в целевой зоне управления данными. В этом развертывании отсутствуют конфликты, и оно выступает в качестве надстройки для целевой зоны данных или целевой зоны управления данными. Можно вручную добавить другие виртуальные машины, чтобы позволить большему количеству пользователей работать в среде.

Подключение к виртуальной машине

После развертывания можно заметить, что в виртуальной сети целевой зоны данных созданы две дополнительные подсети.

Снимок экрана: подсети Бастиона Azure и Jumpbox.

Кроме того, вы найдете новую группу ресурсов в подписке, которая включает ресурс Бастиона Azure и виртуальную машину:

Снимок экрана: список групп ресурсов Бастиона Azure.

Чтобы подключиться к виртуальной машине с помощью Бастиона Azure, выполните следующие действия:

  1. Выберите виртуальную машину (например, dlz01-dev-бастиона), выберите Подключить, а затем выберите Бастион.

    Снимок экрана: панель

  2. Нажмите синюю кнопку Использовать Бастион.

  3. Введите учетные данные, а затем Подключить.

    Снимок экрана: панель

    Сеанс RDP открывается в новой вкладке браузера, с которой можно начать подключение к службам данных.

  4. Войдите на портал Azure.

  5. Перейдите в {prefix}-{environment}-product-synapse001рабочую область Azure Synapse{prefix}-{environment}-shared-product в группе ресурсов для просмотра данных.

    Снимок экрана: рабочая область Synapse в портал Azure.

  6. В рабочей области Azure Synapse загрузите набор данных выборки из коллекции (например, набор данных NYC Taxi), а затем выберите Создать скрипт SQL для запроса TOP 100 строк.

    Снимок экрана: панель Synapse Analytics для подключения к новому скрипту SQL.

Если все виртуальные сети входят в пиринг между собой, для доступа к службам во всех целевых зонах данных и в целевых зонах управления данными требуется только одна виртуальная машина jumpbox в одной целевой зоне данных.

Чтобы узнать, почему рекомендуется использовать эту сетевую настройку, ознакомьтесь с рекомендациями по архитектуре сети. Рекомендуется использовать не более одной службы Бастиона Azure на каждую целевую зону данных. Если требуется доступ к среде большему количеству пользователей, можно добавить дополнительные виртуальные машины Azure в целевую зону данных.

Использование подключений "точка — сеть"

Кроме того, можно подключить пользователей к виртуальной сети с помощью подключений "точка — сеть". Для этого подхода в собственном решении Azure необходимо настроить VPN-шлюз, разрешающий VPN-подключения между пользователями и VPN-шлюзом через зашифрованный туннель. После установки подключения пользователи могут подключаться к службам, размещенным в виртуальной сети в клиенте Azure. К этим службам относятся учетные записи хранения Azure, Azure Synapse Analytics и Azure Purview.

Рекомендуется настроить VPN-шлюз в виртуальной сети концентратора архитектуры типа "звезда". Подробные пошаговые инструкции по настройке VPN-шлюза см. в документе Учебник. Создание портала шлюза.

Использование подключения типа "сеть — сеть"

Если пользователи уже подключены к локальной сетевой среде, а подключение необходимо расширить в Azure, можно использовать подключения "сеть — сеть" для подключения к локальной сети и концентратору подключения Azure. Как и VPN-туннельное подключение, подключение типа "сеть — сеть" позволяет расширить возможности подключения к среде Azure. Это позволяет пользователям, подключенным к корпоративной сети, подключаться в частном порядке к службам, размещенным в виртуальной сети в клиенте Azure. К этим службам относятся учетные записи хранения Azure, Azure Synapse и Azure Purview.

Для такого подключения в качестве собственного подхода Azure рекомендуется использовать ExpressRoute. Рекомендуется настроить шлюз ExpressRoute в виртуальной сети концентратора архитектуры типа "звезда". Подробные пошаговые инструкции по настройке подключения ExpressRoute см. в документе Учебник. Создание и изменение пиринга для канала ExpressRoute с помощью портала Azure.

Дальнейшие действия

Часто задаваемые вопросы об архитектуре корпоративного масштаба