Что такое Бастион Azure
Крайне важно иметь возможность безопасного администрирования удаленных виртуальных машин и управления ими. Для начала определим безопасное удаленное управление, а затем рассмотрим функции Бастиона Azure. Этот обзор поможет вам решить, подходит ли Бастион Azure для ваших требований.
Что такое безопасное удаленное управление?
Безопасное удаленное управление — это возможность подключаться к удаленному ресурсу, не подвергая его угрозам безопасности. Этот тип подключения иногда может быть сложным, особенно если доступ к ресурсу осуществляется через Интернет.
Когда администраторы подключаются к удаленным виртуальным машинам, они обычно используют для достижения своих административных задач протокол RDP или SSH. Проблема заключается в том, что для подключения к размещенной виртуальной машине необходимо подключиться к ее общедоступному IP-адресу. Однако предоставлять порты IP-адресов, используемые протоколами RDP и SSH (3389 и 22), в Интернете крайне нежелательно, так как это связано со значительными рисками безопасности.
Определение Бастиона Azure
Бастион Azure — это полностью управляемая платформа как услуга (PaaS), которая обеспечивает безопасный и удобный доступ по протоколам RDP и SSH к виртуальным машинам Azure напрямую через портал Azure.
Бастион Azure:
- разработан и настроен таким образом, чтобы выдерживать атаки;
- предоставляет подключения RDP и SSH к рабочим нагрузкам Azure внутри бастиона.
В следующей таблице описаны функции, доступные после развертывания Бастиона Azure.
| Преимущества | Description |
|---|---|
| RDP и SSH через портал Azure | Вы можете перейти к сеансу RDP и SSH прямо на портале Azure, используя один щелчок для совместной работы. |
| Удаленный сеанс по протоколу TLS и обход брандмауэра для RDP и SSH | Бастион Azure использует веб-клиент на основе HTML5, который автоматически передается на локальное устройство. Сеанс RDP и SSH работает по протоколу TLS через порт 443. Это позволяет безопаснее перемещать трафик через брандмауэры. Бастион поддерживает TLS 1.2 и выше. Устаревшие версии TLS не поддерживаются. |
| На виртуальной машине Azure не требуется общедоступный IP-адрес. | Бастион Azure открывает подключение RDP и SSH к вашей виртуальной машине Azure, используя частный IP-адрес на виртуальной машине. На вашей виртуальной машине не требуется общедоступный IP-адрес. |
| Беспроблемное управление группами безопасности сети (NSG) | Вам не нужно применять группы безопасности сети в подсети Бастиона Azure. Поскольку Бастион Azure подключается к вашим виртуальным машинам по частному IP-адресу, вы можете настроить свои NSG так, чтобы они разрешали RDP или SSH только из Бастиона Azure. Это устраняет необходимость управлять NSG каждый раз, когда необходимо безопасно подключиться к виртуальным машинам. |
| Нет необходимости управлять отдельным узлом-бастионом на виртуальной машине | Бастион Azure — это полностью управляемая платформа службы PaaS от Azure, которая внутреннее защищена для обеспечения надежного подключения RDP или SSH. |
| Защита от сканирования портов | Ваши виртуальные машины защищены от сканирования портов злоумышленниками, так как вам не нужно предоставлять доступ к виртуальным машинам через Интернет. |
| Централизованная защита | Бастион Azure расположен по периметру виртуальной сети, поэтому не стоит беспокоиться об усилении защиты каждой виртуальной машины в вашей виртуальной сети. |
| Защита от эксплойтов нулевого дня | Платформа Azure защищает от эксплойтов нулевого дня, в результате чего Бастион Azure защищен и всегда актуален для вас. |
Как избежать предоставления доступа к портам удаленного управления
Внедрение Бастиона Azure позволяет управлять виртуальными машинами Azure в настроенной виртуальной сети Azure с помощью протокола RDP или SSH без необходимости предоставлять эти порты управления в общедоступном Интернете. Бастион Azure дает вам следующие возможности:
- Удобное подключение к виртуальным машинам Azure. Вы можете подключать свои сеансы RDP и SSH непосредственно через портал Azure.
- Отсутствие потребности в предоставлении доступа к портам управления в Интернете. Вы можете войти на виртуальные машины Azure без раскрытия данных в общедоступном Интернете, используя протоколы SSH и RDP только с частными IP-адресами.
- Предотвращение детальной перенастройки существующей сетевой инфраструктуры. Интеграция и обход существующих брандмауэров и периметров безопасности с помощью современного веб-клиента на основе HTML5 через TLS через порт 443.
- Упрощение входа в систему. Вы можете использовать ключи SSH для проверки подлинности при входе на виртуальные машины Azure.
Совет
Вы можете сохранить все закрытые ключи SSH в Azure Key Vault для поддержки централизованного хранения ключей.