Azure Bastion ne zaman kullanılır?

Tamamlandı

Bu ünitede Azure Bastion'ın kullanımlarını keşfedecek ve uzak bir VM'ye güvenli bir şekilde bağlanmak için uygun bir seçenek olup olmadığını belirleyeceksiniz. Azure Bastion'ın değerlendirmesini aşağıdaki ölçütlere göre yaparsınız:

  • Güvenlik
  • Yönetim kolaylığı
  • Diğer uygulamalarla tümleştirme

Yönetici istrator'lar, bir kuruluşun VM'leri ve bu VM'lerde yüklü olan uygulamaları içeren Azure kaynaklarının yönetimi ve bakımı için uzaktan yönetime güvenmelidir. Bu kaynaklara ve uygulamalara internete maruz kalmadan güvenli bir şekilde bağlanma özelliğini göz önünde bulundurmak önemlidir. Yönetim bağlantı noktalarını İnternet'e göstermeden barındırılan VM'lere uzaktan bağlanmak ve vm'leri yönetmek için Azure Bastion'ı kullanabilirsiniz. Ancak bazı yöneticiler bu gereksinimi, bazen atlama kutuları olarak adlandırılan atlama sunucularını kullanarak ele almışlardır. Bu ünitede, Azure Bastion'ın güvenli uzaktan yönetim erişimi sağlamak için bir yöntem olarak atlama kutularını değiştirip değiştiremeyeceğini belirlersiniz.

Dekont

Atlama kutusu, İnternet'ten erişilebilen genel IP adresine sahip bir Azure VM'dir.

Tipik bir atlama kutusu senaryosunda:

  • Kuruluşunuzun VM'leri yalnızca özel IP adresleriyle yapılandırılır ve İnternet'ten doğrudan erişilemez.
  • Atlama kutusu, yöneticilerin RDP ve SSH kullanarak uzaktan yönetmek istediği VM'lerle aynı sanal ağa dağıtılır.
  • NSG, İnternet, atlama kutusu ve hedef VM'ler arasındaki ağ trafiği akışını yönetir.
  • Yönetici istrator'lar genel IP'yi kullanarak RDP ile atlama kutusuna bağlanır.

Önemli

Genel IP'de RDP ile atlama kutunuza bağlandığınızdan, atlama kutusu güvenliği tehlikeye girebilir.

Atlama kutusu, sunucu işletim sistemi çalıştıran bir VM olduğundan şunları yapmanız gerekir:

  • Yamalar ve diğer güncelleştirmelerle VM'yi güncel tutun.
  • Atlama kutusu ve hedef VM'ler arasında sanal ağ içindeki trafik akışının güvenliğini sağlamaya yardımcı olmak için uygun NSG'leri yapılandırın.

Karar verme ölçütleri

Atlama kutusunun veya Azure Bastion'ın kuruluşunuzun Azure kaynaklarını uzaktan yönetmek için daha iyi bir seçenek olup olmadığını belirlemek için güvenlik, yönetim kolaylığı ve tümleştirme gibi ölçütleri göz önünde bulundurun. Bu ölçütlerin analizi aşağıdadır.

Ölçütler Analiz
Güvenlik Azure Bastion genel IP'sinde RDP/SSH'yi kullanıma sunmaz. Atlama kutusundan farklı olarak, Azure Bastion yalnızca Azure portalından TLS korumalı bağlantıları destekler. Azure Bastion ile trafik akışının güvenliğini sağlamaya yardımcı olmak için NSG'leri yapılandırmanız gerekmez.
Yönetim kolaylığı Azure Bastion, tam olarak yönetilen bir PaaS hizmetidir. Bu, normal güncelleştirmeler gerektiren atlama kutusu gibi bir VM değildir. Azure Bastion'ı kullanmak için bir istemciye veya aracıya ihtiyacınız yoktur ve buna düzeltme ekleri ve güncelleştirmeler uygulamanız da gerekmez. Ayrıca yönetim konsollarında başka yazılım yüklemeniz veya bakımını yapmanız gerekmez.
Tümleştirme Azure Bastion'ı Azure'daki Azure Güvenlik Duvarı gibi diğer yerel güvenlik hizmetleriyle tümleştirebilirsiniz. Atlama sunucuları bu seçeneğe sahip değildir.

Dekont

Azure Bastion'ı abonelik, hesap veya VM yerine sanal ağ (veya eşlenmiş sanal ağ) başına dağıtırsınız.

Ölçütleri uygulama

Azure Bastion, barındırılan VM'lerin güvenli uzaktan yönetimini etkinleştirmenin temel hedefini ele alır. Yönetilen hizmet olarak Azure Bastion'ı güncelleştirmeniz veya NSG'leri ve ilgili ayarları el ile yapılandırmanız gerekmez. Azure Bastion, Azure'da barındırılan VM'lerin güvenli uzaktan yönetimini etkinleştirmeye yönelik en iyi çözümü temsil eder.

Yönetmek için azure tarafından barındırılan uzak VM'leriniz olduğunda Azure Bastion'ı kullanmayı göz önünde bulundurun:

  • RDP/SSH kullanarak bu VM'lere bağlanmanız gerekir.
  • Bu uzak VM'lere bağlandığınız yöntemi korumak istemezsiniz.
  • Uzaktan yönetimi etkinleştirmek için NSG ayarlarını yapılandırmak istemezsiniz.
  • Atlama kutularını kullanmaktan kaçınmak istiyorsunuz.

Dağıtılacak Azure Bastion konaklarının sayısını belirlerken, sanal ağ başına (veya eşlenmiş sanal ağ) bir konak gerektiğini göz önünde bulundurun. Azure Bastion'ı VM başına veya alt ağ temelinde dağıtmanız gerekmez.