Azure Bastion nedir?
Uzak barındırılan VM'leri güvenli bir şekilde yönetebilmek ve yönetebilmek çok önemlidir. Başlamak için güvenli uzaktan yönetimi tanımlayıp Azure Bastion'ın özelliklerini gözden geçirelim. Bu genel bakış, Azure Bastion'ın gereksinimlerinize uygun olup olmadığını belirlemenize yardımcı olur.
Güvenli uzaktan yönetim nedir?
Güvenli uzaktan yönetim, bu kaynağı güvenlik risklerine maruz bırakmadan uzak bir kaynağa bağlanabilme özelliğidir. Bu tür bir bağlantı, özellikle de kaynağa İnternet üzerinden erişiliyorsa bazen zor olabilir.
Yöneticiler uzak VM'lere bağlandığında, yönetim hedeflerine ulaşmak için genellikle RDP veya SSH kullanır. Sorun şu ki, barındırılan bir VM'ye bağlanmak için genel IP adresine bağlanmanız gerekir. Ancak RDP ve SSH (3389 ve 22) tarafından kullanılan IP bağlantı noktalarının İnternet'te kullanıma sunulması büyük ölçüde istenmeyen bir durumdur çünkü önemli güvenlik riskleri sunar.
Azure Bastion tanımı
Azure Bastion, Azure vm'lerinize doğrudan Azure portalı üzerinden güvenli ve sorunsuz RDP ve SSH erişimi sağlamaya yardımcı olan, tam olarak yönetilen bir hizmet olarak platformdur (PaaS).
Azure Bastion:
- Saldırılara dayanacak şekilde tasarlanmıştır ve yapılandırılır.
- Savunmanın arkasındaki Azure iş yüklerinize RDP ve SSH bağlantısı sağlar.
Aşağıdaki tabloda, Azure Bastion'ı dağıttığınızda kullanılabilen özellikler açıklanmaktadır.
| Avantaj | Açıklama |
|---|---|
| Azure portalı üzerinden RDP ve SSH | Tek tıklamayla sorunsuz bir deneyim kullanarak RDP ve SSH oturumuna doğrudan Azure portalından ulaşabilirsiniz. |
| RDP/SSH için TLS üzerinden Uzak Oturum ve güvenlik duvarı geçişi | Azure Bastion, yerel cihazınıza otomatik olarak akışla aktarılan HTML5 tabanlı bir web istemcisi kullanır. RDP/SSH oturumunuz 443 numaralı bağlantı noktasında TLS üzerinden. Bu, trafiğin güvenlik duvarlarını daha güvenli bir şekilde dolaşmasını sağlar. Bastion TLS 1.2 ve üzerini destekler. Eski TLS sürümleri desteklenmez. |
| Azure VM'de Genel IP adresi gerekmez | Azure Bastion, VM'nizdeki özel IP adresini kullanarak Azure VM'nize RDP/SSH bağlantısını açar. Sanal makinenizde genel IP adresine ihtiyacınız yoktur. |
| Ağ Güvenlik Gruplarını (NSG) yönetme zahmeti yok | Azure Bastion alt ağına herhangi bir NSG uygulamanız gerekmez. Azure Bastion sanal makinelerinize özel IP üzerinden bağlandığından, NSG'lerinizi yalnızca Azure Bastion'dan RDP/SSH'ye izin verecek şekilde yapılandırabilirsiniz. Bu, sanal makinelerinize güvenli bir şekilde bağlanmanız gerektiğinde NSG'leri yönetme zahmetini ortadan kaldırır. |
| VM'de ayrı bir savunma konasını yönetmeye gerek yoktur | Azure Bastion, azure tarafından sunulan ve güvenli RDP/SSH bağlantısı sağlamak için dahili olarak sağlamlaştırılmış, tam olarak yönetilen bir platform PaaS hizmetidir. |
| Bağlantı noktası taramaya karşı koruma | VM'lerinizi İnternet'te kullanıma sunmanız gerekmeyen sanal makineleriniz, standart dışı ve kötü amaçlı kullanıcılar tarafından bağlantı noktası taramasına karşı korunur. |
| Tek bir yerde sağlamlaştırma | Azure Bastion sanal ağınızın çevresinde yer alır, bu nedenle sanal ağınızdaki vm'lerin her birini sağlamlaştırma konusunda endişelenmeniz gerekmez. |
| Sıfır gün açıklarına karşı koruma | Azure platformu, Azure Bastion'ı sağlam ve her zaman güncel tutarak sıfır günlük açıklara karşı koruma sağlar. |
Uzaktan yönetim bağlantı noktalarının açığa çıkartılmasını önleme
Azure Bastion'ı uygulayarak, yapılandırılmış bir Azure sanal ağı içindeki Azure VM'lerini RDP veya SSH kullanarak yönetebilir ve bu yönetim bağlantı noktalarını genel İnternet'te kullanıma sunmanıza gerek yoktur. Azure Bastion'ı kullanarak şunları yapabilirsiniz:
- Azure VM'lerinize kolayca Bağlan. RDP ve SSH oturumlarınızı doğrudan Azure portalında Bağlan.
- Yönetim bağlantı noktalarını İnternet'e açmaktan kaçının. Azure VM'lerinizde oturum açın ve SSH ve RDP'yi yalnızca özel IP adresleriyle kullanarak genel İnternet'e açık olmasını önle.
- Mevcut ağ altyapınızın kapsamlı yeniden yapılandırılmasından kaçının. 443 numaralı bağlantı noktasında TLS üzerinden modern HTML5 tabanlı bir web istemcisi kullanarak mevcut güvenlik duvarlarını ve güvenlik çevrelerini tümleştirin ve geçişini sağlayın.
- Oturum açmayı basitleştirin. Azure VM'lerinizde oturum açarken kimlik doğrulaması için SSH anahtarlarınızı kullanın.
Bahşiş
Merkezi anahtar depolamayı desteklemek için tüm SSH özel anahtarlarınızı Azure Key Vault'a kaydedebilirsiniz.