Sdílet prostřednictvím

Privátní připojení k prostředím

  • Článek

Referenční architektura je z návrhu zabezpečená. Používá vícevrstevný přístup k zabezpečení k překonání běžných rizik exfiltrace dat, která jsou vyvolána zákazníky. Pomocí určitých funkcí v síti, identitě, datech a vrstvě služeb můžete definovat specifické řízení přístupu a zpřístupnit uživatelům jenom požadovaná data. I když některé z těchto bezpečnostních mechanismů selžou, funkce pomáhají udržovat data v podnikové platformě v bezpečí.

Síťové funkce, jako jsou privátní koncové body a zakázaný veřejný síťový přístup, můžou výrazně snížit prostor pro útoky na datovou platformu organizace. I když jsou tyto funkce povolené, musíte provést dodatečná opatření, abyste se z veřejného internetu mohli úspěšně připojit ke službám, jako jsou účty úložiště Azure, Azure Synapse pracovní prostory, Azure Purview nebo Azure Machine Learning.

Tento dokument popisuje nejběžnější možnosti připojení ke službám v rámci cílové zóny správy dat nebo cílové zóny dat jednoduchým a bezpečným způsobem.

Informace o hostiteli a jumpboxech Služby Azure Bastion

Nejjednodušším řešením je hostovat jumpbox ve virtuální síti cílové zóny správy dat nebo cílové zóny dat, aby se připojil k datovým službám prostřednictvím privátních koncových bodů. Jumpbox je virtuální počítač Azure se systémem Linux nebo Windows, ke kterému se uživatelé můžou připojit přes protokol RDP (Remote Desktop Protocol) nebo SSH (Secure Shell).

Dříve musely být virtuální počítače jumpboxu hostované s veřejnými IP adresami, aby bylo možné povolit relace RDP a SSH z veřejného internetu. Skupiny zabezpečení sítě (NSG) se dají použít k dalšímu uzamčení provozu, aby se povolila připojení jenom z omezené sady veřejných IP adres. Tento přístup ale znamenal, že z prostředí Azure musela být zpřístupněna veřejná IP adresa, což zvětšilo prostor pro útoky na organizaci. Případně mohli zákazníci použít pravidla DNAT ve svých Azure Firewall k vystavení portu SSH nebo RDP virtuálního počítače veřejnému internetu, což může vést k podobným bezpečnostním rizikům.

Místo toho, abyste virtuální počítač veřejně zveřejnili, se dnes můžete spolehnout na Službu Azure Bastion jako na bezpečnější alternativu. Azure Bastion poskytuje zabezpečené vzdálené připojení z Azure Portal k virtuálním počítačům Azure přes protokol TLS (Transport Layer Security). Služba Azure Bastion by měla být nastavená ve vyhrazené podsíti (podsíti s názvem AzureBastionSubnet) v cílové zóně dat Azure nebo cílové zóně správy dat Azure. Pak ho můžete použít k připojení k libovolnému virtuálnímu počítači v dané virtuální síti nebo partnerské virtuální síti přímo z Azure Portal. Na žádný virtuální počítač není potřeba instalovat žádné další klienty ani agenty. Znovu můžete použít skupiny zabezpečení sítě a povolit protokoly RDP a SSH pouze ze služby Azure Bastion.

Diagram síťové architektury služby Azure Bastion

Azure Bastion nabízí několik dalších základních výhod zabezpečení, mezi které patří:

  • Provoz iniciovaný ze služby Azure Bastion do cílového virtuálního počítače zůstává v rámci virtuální sítě zákazníka.
  • Získáte ochranu před prohledáváním portů, protože porty RDP, porty SSH a veřejné IP adresy nejsou veřejně přístupné pro virtuální počítače.
  • Služba Azure Bastion pomáhá chránit před neoprávněným použitím. Je umístěna v okruhu vaší virtuální sítě. Vzhledem k tomu, že se jedná o platformu jako službu (PaaS), udržuje platforma Azure Bastion v aktuálním stavu.
  • Služba se integruje s nativními zařízeními zabezpečení pro virtuální síť Azure, jako je Azure Firewall.
  • Azure Bastion je možné použít k monitorování a správě vzdálených připojení.

Další informace najdete v tématu Co je Azure Bastion?.

Nasazení

Pro zjednodušení procesu pro uživatele je k dispozici šablona Bicep/ARM, která vám může pomoct rychle vytvořit toto nastavení v cílové zóně správy dat nebo cílové zóně dat. Pomocí šablony vytvořte v rámci svého předplatného následující nastavení:

Diagram architektury služby Azure Bastion

Pokud chcete hostitele Bastion nasadit sami, vyberte tlačítko Deploy to Azure (Nasadit do Azure ):

Nasazení do Azure

Když nasadíte Azure Bastion a přeskočíte tlačítko Nasadit do Azure , můžete zadat stejnou předponu a prostředí, které používáte v cílové zóně dat nebo cílové zóně správy dat. Toto nasazení neobsahuje žádné konflikty a funguje jako doplněk k cílové zóně dat nebo cílové zóně správy dat. Další virtuální počítače můžete přidat ručně, aby v prostředí mohlo pracovat více uživatelů.

Připojení k virtuálnímu počítači

Po nasazení si všimnete, že se ve virtuální síti datové cílové zóny vytvořily dvě další podsítě.

Snímek obrazovky s podsítěmi Azure Bastion a Jumpbox

Kromě toho ve svém předplatném najdete novou skupinu prostředků, která zahrnuje prostředek Azure Bastion a virtuální počítač:

Snímek obrazovky se seznamem skupin prostředků služby Azure Bastion

Pokud se chcete připojit k virtuálnímu počítači pomocí služby Azure Bastion, postupujte takto:

  1. Vyberte virtuální počítač (například dlz01-dev-bastion), vyberte Připojit a pak Bastion.

    Snímek obrazovky s podoknem Přehled pro připojení k virtuálnímu počítači pomocí služby Azure Bastion

  2. Vyberte modré tlačítko Use Bastion (Použít bastion ).

  3. Zadejte svoje přihlašovací údaje a pak vyberte Připojit.

    Snímek obrazovky s podoknem Připojit pomocí služby Azure Bastion pro připojení k virtuálnímu počítači přihlášením pomocí přihlašovacích údajů

    Relace protokolu RDP se otevře na nové kartě prohlížeče, ze které se můžete začít připojovat k datovým službám.

  4. Přihlaste se k webu Azure Portal.

  5. Přejděte do {prefix}-{environment}-product-synapse001 pracovního prostoru Azure Synapse ve skupině {prefix}-{environment}-shared-product prostředků, kde můžete zkoumat data.

    Snímek obrazovky pracovního prostoru Synapse v Azure Portal

  6. V pracovním prostoru Azure Synapse načtěte ukázkovou datovou sadu z galerie (například datovou sadu newyorská taxislužby) a pak vyberte Nový skript SQL pro dotazování TOP 100 řádků.

    Snímek obrazovky s podoknem Synapse Analytics pro připojení k novému skriptu SQL

Pokud jsou všechny virtuální sítě v partnerském vztahu, je pro přístup ke službám napříč všemi cílovými zónami dat a cílovými zónami správy dat vyžadován pouze jeden jumpbox v jedné cílové zóně dat.

Informace o tom, proč doporučujeme toto nastavení sítě, najdete v tématu Aspekty architektury sítě. Pro cílovou datovou zónu doporučujeme maximálně jednu službu Azure Bastion. Pokud přístup k prostředí vyžaduje více uživatelů, můžete do cílové zóny dat přidat další virtuální počítače Azure.

Použití připojení typu point-to-site

Alternativně můžete připojit uživatele k virtuální síti pomocí připojení typu point-to-site. Nativním řešením tohoto přístupu pro Azure je nastavení brány VPN, která umožňuje připojení VPN mezi uživateli a bránou VPN přes šifrovaný tunel. Po navázání připojení se uživatelé můžou začít soukromě připojovat ke službám hostovaným ve virtuální síti v rámci tenanta Azure. Mezi tyto služby patří účty úložiště Azure, Azure Synapse Analytics a Azure Purview.

Bránu VPN doporučujeme nastavit ve virtuální síti centra hvězdicové architektury. Podrobné pokyny k nastavení brány VPN najdete v tématu Kurz: Vytvoření portálu brány.

Použití připojení typu site-to-site

Pokud už jsou uživatelé připojení k místnímu síťovému prostředí a připojení by se mělo rozšířit na Azure, můžete použít připojení typu site-to-site pro připojení k místnímu centru a centru připojení Azure. Podobně jako u tunelového připojení VPN umožňuje připojení typu site-to-site rozšířit připojení k prostředí Azure. Tím umožníte uživatelům, kteří jsou připojení k podnikové síti, privátní připojení ke službám hostovaným ve virtuální síti v rámci tenanta Azure. Mezi tyto služby patří účty Azure Storage, Azure Synapse a Azure Purview.

Doporučeným přístupem k takovému připojení nativním pro Azure je použití ExpressRoute. Doporučujeme nastavit bránu ExpressRoute ve virtuální síti centra hvězdicové architektury. Podrobné pokyny k nastavení připojení ExpressRoute najdete v tématu Kurz: Vytvoření a úprava partnerského vztahu pro okruh ExpressRoute pomocí Azure Portal.

Další kroky

Nejčastější dotazy k podnikové úrovni