Privátní připojení k prostředím
Referenční architektura je z návrhu zabezpečená. Používá vícevrstevný přístup k zabezpečení k překonání běžných rizik exfiltrace dat, která jsou vyvolána zákazníky. Pomocí určitých funkcí v síti, identitě, datech a vrstvě služeb můžete definovat specifické řízení přístupu a zpřístupnit uživatelům jenom požadovaná data. I když některé z těchto bezpečnostních mechanismů selžou, funkce pomáhají udržovat data v podnikové platformě v bezpečí.
Síťové funkce, jako jsou privátní koncové body a zakázaný veřejný síťový přístup, můžou výrazně snížit prostor pro útoky na datovou platformu organizace. I když jsou tyto funkce povolené, musíte provést dodatečná opatření, abyste se z veřejného internetu mohli úspěšně připojit ke službám, jako jsou účty úložiště Azure, Azure Synapse pracovní prostory, Azure Purview nebo Azure Machine Learning.
Tento dokument popisuje nejběžnější možnosti připojení ke službám v rámci cílové zóny správy dat nebo cílové zóny dat jednoduchým a bezpečným způsobem.
Informace o hostiteli a jumpboxech Služby Azure Bastion
Nejjednodušším řešením je hostovat jumpbox ve virtuální síti cílové zóny správy dat nebo cílové zóny dat, aby se připojil k datovým službám prostřednictvím privátních koncových bodů. Jumpbox je virtuální počítač Azure se systémem Linux nebo Windows, ke kterému se uživatelé můžou připojit přes protokol RDP (Remote Desktop Protocol) nebo SSH (Secure Shell).
Dříve musely být virtuální počítače jumpboxu hostované s veřejnými IP adresami, aby bylo možné povolit relace RDP a SSH z veřejného internetu. Skupiny zabezpečení sítě (NSG) se dají použít k dalšímu uzamčení provozu, aby se povolila připojení jenom z omezené sady veřejných IP adres. Tento přístup ale znamenal, že z prostředí Azure musela být zpřístupněna veřejná IP adresa, což zvětšilo prostor pro útoky na organizaci. Případně mohli zákazníci použít pravidla DNAT ve svých Azure Firewall k vystavení portu SSH nebo RDP virtuálního počítače veřejnému internetu, což může vést k podobným bezpečnostním rizikům.
Místo toho, abyste virtuální počítač veřejně zveřejnili, se dnes můžete spolehnout na Službu Azure Bastion jako na bezpečnější alternativu. Azure Bastion poskytuje zabezpečené vzdálené připojení z Azure Portal k virtuálním počítačům Azure přes protokol TLS (Transport Layer Security). Služba Azure Bastion by měla být nastavená ve vyhrazené podsíti (podsíti s názvem AzureBastionSubnet
) v cílové zóně dat Azure nebo cílové zóně správy dat Azure. Pak ho můžete použít k připojení k libovolnému virtuálnímu počítači v dané virtuální síti nebo partnerské virtuální síti přímo z Azure Portal. Na žádný virtuální počítač není potřeba instalovat žádné další klienty ani agenty. Znovu můžete použít skupiny zabezpečení sítě a povolit protokoly RDP a SSH pouze ze služby Azure Bastion.
Azure Bastion nabízí několik dalších základních výhod zabezpečení, mezi které patří:
- Provoz iniciovaný ze služby Azure Bastion do cílového virtuálního počítače zůstává v rámci virtuální sítě zákazníka.
- Získáte ochranu před prohledáváním portů, protože porty RDP, porty SSH a veřejné IP adresy nejsou veřejně přístupné pro virtuální počítače.
- Služba Azure Bastion pomáhá chránit před neoprávněným použitím. Je umístěna v okruhu vaší virtuální sítě. Vzhledem k tomu, že se jedná o platformu jako službu (PaaS), udržuje platforma Azure Bastion v aktuálním stavu.
- Služba se integruje s nativními zařízeními zabezpečení pro virtuální síť Azure, jako je Azure Firewall.
- Azure Bastion je možné použít k monitorování a správě vzdálených připojení.
Další informace najdete v tématu Co je Azure Bastion?.
Nasazení
Pro zjednodušení procesu pro uživatele je k dispozici šablona Bicep/ARM, která vám může pomoct rychle vytvořit toto nastavení v cílové zóně správy dat nebo cílové zóně dat. Pomocí šablony vytvořte v rámci svého předplatného následující nastavení:
Pokud chcete hostitele Bastion nasadit sami, vyberte tlačítko Deploy to Azure (Nasadit do Azure ):
Když nasadíte Azure Bastion a přeskočíte tlačítko Nasadit do Azure , můžete zadat stejnou předponu a prostředí, které používáte v cílové zóně dat nebo cílové zóně správy dat. Toto nasazení neobsahuje žádné konflikty a funguje jako doplněk k cílové zóně dat nebo cílové zóně správy dat. Další virtuální počítače můžete přidat ručně, aby v prostředí mohlo pracovat více uživatelů.
Připojení k virtuálnímu počítači
Po nasazení si všimnete, že se ve virtuální síti datové cílové zóny vytvořily dvě další podsítě.
Kromě toho ve svém předplatném najdete novou skupinu prostředků, která zahrnuje prostředek Azure Bastion a virtuální počítač:
Pokud se chcete připojit k virtuálnímu počítači pomocí služby Azure Bastion, postupujte takto:
Vyberte virtuální počítač (například dlz01-dev-bastion), vyberte Připojit a pak Bastion.
Vyberte modré tlačítko Use Bastion (Použít bastion ).
Zadejte svoje přihlašovací údaje a pak vyberte Připojit.
Relace protokolu RDP se otevře na nové kartě prohlížeče, ze které se můžete začít připojovat k datovým službám.
Přihlaste se k webu Azure Portal.
Přejděte do
{prefix}-{environment}-product-synapse001
pracovního prostoru Azure Synapse ve skupině{prefix}-{environment}-shared-product
prostředků, kde můžete zkoumat data.V pracovním prostoru Azure Synapse načtěte ukázkovou datovou sadu z galerie (například datovou sadu newyorská taxislužby) a pak vyberte Nový skript SQL pro dotazování
TOP 100
řádků.
Pokud jsou všechny virtuální sítě v partnerském vztahu, je pro přístup ke službám napříč všemi cílovými zónami dat a cílovými zónami správy dat vyžadován pouze jeden jumpbox v jedné cílové zóně dat.
Informace o tom, proč doporučujeme toto nastavení sítě, najdete v tématu Aspekty architektury sítě. Pro cílovou datovou zónu doporučujeme maximálně jednu službu Azure Bastion. Pokud přístup k prostředí vyžaduje více uživatelů, můžete do cílové zóny dat přidat další virtuální počítače Azure.
Použití připojení typu point-to-site
Alternativně můžete připojit uživatele k virtuální síti pomocí připojení typu point-to-site. Nativním řešením tohoto přístupu pro Azure je nastavení brány VPN, která umožňuje připojení VPN mezi uživateli a bránou VPN přes šifrovaný tunel. Po navázání připojení se uživatelé můžou začít soukromě připojovat ke službám hostovaným ve virtuální síti v rámci tenanta Azure. Mezi tyto služby patří účty úložiště Azure, Azure Synapse Analytics a Azure Purview.
Bránu VPN doporučujeme nastavit ve virtuální síti centra hvězdicové architektury. Podrobné pokyny k nastavení brány VPN najdete v tématu Kurz: Vytvoření portálu brány.
Použití připojení typu site-to-site
Pokud už jsou uživatelé připojení k místnímu síťovému prostředí a připojení by se mělo rozšířit na Azure, můžete použít připojení typu site-to-site pro připojení k místnímu centru a centru připojení Azure. Podobně jako u tunelového připojení VPN umožňuje připojení typu site-to-site rozšířit připojení k prostředí Azure. Tím umožníte uživatelům, kteří jsou připojení k podnikové síti, privátní připojení ke službám hostovaným ve virtuální síti v rámci tenanta Azure. Mezi tyto služby patří účty Azure Storage, Azure Synapse a Azure Purview.
Doporučeným přístupem k takovému připojení nativním pro Azure je použití ExpressRoute. Doporučujeme nastavit bránu ExpressRoute ve virtuální síti centra hvězdicové architektury. Podrobné pokyny k nastavení připojení ExpressRoute najdete v tématu Kurz: Vytvoření a úprava partnerského vztahu pro okruh ExpressRoute pomocí Azure Portal.