Megosztás a következőn keresztül:

Csatlakozás privát környezetekhez

  • Cikk

A referenciaarchitektúra kialakítása biztonságos. Többrétegű biztonsági megközelítést alkalmaz az ügyfelek által kiváltott gyakori adatkiszivárgási kockázatok leküzdésére. A hálózati, identitás-, adat- és szolgáltatásréteg bizonyos funkcióival meghatározott hozzáférés-vezérléseket határozhat meg, és csak a szükséges adatokat teheti elérhetővé a felhasználók számára. Még ha ezen biztonsági mechanizmusok némelyike sem sikerül, a funkciók segítenek a nagyvállalati szintű platformon belüli adatok biztonságának megőrzésében.

Az olyan hálózati funkciók, mint a privát végpontok és a letiltott nyilvános hálózati hozzáférés jelentősen csökkenthetik a szervezet adatplatformjának támadási felületét. Még ha engedélyezve vannak is ezek a funkciók, további óvintézkedéseket kell tennie, hogy sikeresen kapcsolódjon olyan szolgáltatásokhoz, mint az Azure Storage-fiókok, Azure Synapse-munkaterületek, az Azure Purview vagy az Azure Machine Learning a nyilvános internetről.

Ez a dokumentum az adatkezelési kezdőzónán vagy adat-kezdőzónán belüli szolgáltatásokhoz való egyszerű és biztonságos kapcsolódás leggyakoribb lehetőségeit ismerteti.

Az Azure Bastion-gazdagép és jumpboxok ismertetése

A legegyszerűbb megoldás, ha egy jumpboxot üzemeltet az adatkezelési célzóna vagy az adat-célzóna virtuális hálózatán, hogy privát végpontokon keresztül csatlakozzon az adatszolgáltatásokhoz. A jumpbox egy Linux vagy Windows rendszert futtató Azure-beli virtuális gép (VM), amelyhez a felhasználók a Remote Desktop Protocol (RDP) vagy a Secure Shell (SSH) használatával csatlakozhatnak.

Korábban a jumpbox virtuális gépeket nyilvános IP-címekkel kellett üzemeltetni az RDP- és SSH-munkamenetek nyilvános internetről való engedélyezéséhez. A hálózati biztonsági csoportok (NSG-k) segítségével tovább lehet zárolni a forgalmat, hogy csak korlátozott számú nyilvános IP-címről lehessen csatlakozni. Ez a megközelítés azonban azt jelentette, hogy nyilvános IP-címet kellett kitenni az Azure-környezetből, ami megnövelte a szervezet támadási felületét. Alternatív megoldásként az ügyfelek DNST-szabályokat használhattak volna a Azure Firewall egy virtuális gép SSH- vagy RDP-portjának nyilvános interneten való elérhetővé tételéhez, ami hasonló biztonsági kockázatokhoz vezethet.

Ma ahelyett, hogy nyilvánosan közzétennél egy virtuális gépet, biztonságosabb alternatívaként használhatja az Azure Bastiont. Az Azure Bastion biztonságos távoli kapcsolatot biztosít a Azure Portal és az Azure-beli virtuális gépek között a Transport Layer Security (TLS) használatával. Az Azure Bastiont egy dedikált alhálózaton (nevű alhálózaton AzureBastionSubnet) kell beállítani az Azure-beli adat-kezdőzónában vagy az Azure adatkezelési célzónában. Ezután közvetlenül a Azure Portal csatlakozhat az adott virtuális hálózat vagy egy társviszonyban lévő virtuális hálózat bármely virtuális gépéhez. Nincs szükség további ügyfelekre vagy ügynökökre egyetlen virtuális gépre sem. Ismét használhatja az NSG-ket, hogy csak az Azure Bastionból engedélyezze az RDP-t és az SSH-t.

Az Azure Bastion hálózati architektúrájának ábrája.

Az Azure Bastion néhány további alapvető biztonsági előnnyel is rendelkezik, például:

  • Az Azure Bastionból a cél virtuális gépre irányuló forgalom az ügyfél virtuális hálózatán belül marad.
  • Védelmet kap a portkeresés ellen, mivel az RDP-portok, az SSH-portok és a nyilvános IP-címek nem nyilvánosan vannak közzétéve a virtuális gépek számára.
  • Az Azure Bastion segít az új biztonsági résekkel szembeni védekezésben. A virtuális hálózat peremén helyezkedik el. Mivel ez egy szolgáltatásként nyújtott platform (PaaS), az Azure platform naprakészen tartja az Azure Bastiont.
  • A szolgáltatás integrálható egy Azure-beli virtuális hálózat natív biztonsági berendezéseivel, például Azure Firewall.
  • Az Azure Bastion a távoli kapcsolatok monitorozására és kezelésére használható.

További információ: Mi az az Azure Bastion?.

Üzembe helyezés

A felhasználók folyamatának egyszerűsítése érdekében létezik egy Bicep-/ARM-sablon, amellyel gyorsan létrehozhatja ezt a beállítást az adatkezelési kezdőzónában vagy az adat-kezdőzónában. A sablonnal hozza létre a következő beállításokat az előfizetésen belül:

Az Azure Bastion architektúrájának ábrája.

A Bastion-gazdagép saját üzembe helyezéséhez válassza az Üzembe helyezés az Azure-ban gombot:

Üzembe helyezés az Azure-ban

Amikor üzembe helyezi az Azure Bastiont és egy jumpboxot az Üzembe helyezés az Azure-ban gombon keresztül, megadhatja ugyanazt az előtagot és környezetet, amelyet az adat-kezdőzónában vagy az adatkezelési célzónában is használ. Ez az üzembe helyezés nem ütközik, és az adat-kezdőzóna vagy az adatkezelési célzóna bővítményeként működik. Manuálisan is hozzáadhat más virtuális gépeket, hogy több felhasználó dolgozhasson a környezetben.

Kapcsolódás a virtuális géphez

Az üzembe helyezés után megfigyelheti, hogy két további alhálózat lett létrehozva az adat-kezdőzóna virtuális hálózatán.

Képernyőkép az Azure Bastion és a Jumpbox alhálózatokról.

Emellett egy új erőforráscsoportot is talál az előfizetésében, amely tartalmazza az Azure Bastion-erőforrást és egy virtuális gépet:

Képernyőkép az Azure Bastion-erőforráscsoportok listájáról.

Ha az Azure Bastion használatával szeretne csatlakozni a virtuális géphez, tegye a következőket:

  1. Válassza ki a virtuális gépet (például dlz01-dev-bastion), válassza a Csatlakozás, majd a Bastion lehetőséget.

    Képernyőkép a virtuális géphez az Azure Bastion használatával való csatlakozás Áttekintés paneljéről.

  2. Válassza a kék Use Bastion (Bastion használata ) gombot.

  3. Adja meg a hitelesítő adatait, majd válassza a Csatlakozás lehetőséget.

    Képernyőkép a

    Az RDP-munkamenet megnyílik egy új böngészőlapon, ahonnan csatlakozhat az adatszolgáltatásokhoz.

  4. Jelentkezzen be az Azure Portalra.

  5. Nyissa meg a {prefix}-{environment}-product-synapse001 Azure Synapse munkaterületet az erőforráscsoporton belül az {prefix}-{environment}-shared-product adatfeltáráshoz.

    Képernyőkép a

  6. Az Azure Synapse munkaterületen töltsön be egy mintaadatkészletet a katalógusból (például a NYC Taxi adatkészletből), majd válassza az Új SQL-szkript lehetőséget a sorok lekérdezéséhezTOP 100.

    Képernyőkép a Synapse Analytics panelről egy új SQL-szkripthez való csatlakozáshoz.

Ha az összes virtuális hálózat társviszonyban van egymással, csak egyetlen jumpboxra van szükség az adat-kezdőzónákban ahhoz, hogy az összes adat-kezdőzónában és adatkezelési célzónában hozzáférjenek a szolgáltatásokhoz.

Ha meg szeretné tudni, hogy miért javasoljuk ezt a hálózati beállítást, tekintse meg a hálózati architektúra szempontjait ismertető cikket. Adat-kezdőzónánként legfeljebb egy Azure Bastion-szolgáltatás használatát javasoljuk. Ha több felhasználónak van szüksége hozzáférésre a környezethez, további Azure-beli virtuális gépeket adhat hozzá az adat-kezdőzónához.

Pont–hely kapcsolatok használata

Másik lehetőségként pont–hely kapcsolatok használatával is csatlakoztathat felhasználókat a virtuális hálózathoz. Ennek a megközelítésnek az egyik natív Azure-megoldása egy VPN-átjáró beállítása, amely lehetővé teszi a vpn-kapcsolatokat a felhasználók és a VPN-átjáró között egy titkosított alagúton keresztül. A kapcsolat létrehozása után a felhasználók privát módon csatlakozhatnak az Azure-bérlőn belüli virtuális hálózaton üzemeltetett szolgáltatásokhoz. Ezek közé a szolgáltatások közé tartoznak az Azure Storage-fiókok, a Azure Synapse Analytics és az Azure Purview.

Javasoljuk, hogy állítsa be a VPN-átjárót a küllős architektúra központi virtuális hálózatában. A VPN-átjáró beállításával kapcsolatos részletes, részletes útmutatásért lásd : Oktatóanyag: Átjáróportál létrehozása.

Helyek közötti kapcsolatok használata

Ha a felhasználók már csatlakoztak a helyszíni hálózati környezethez, és a kapcsolatot ki kell terjeszteni az Azure-ra, helyek közötti kapcsolatok használatával csatlakoztathatja a helyszíni és az Azure kapcsolati központot. A VPN-alagútkapcsolathoz hasonlóan a helyek közötti kapcsolat lehetővé teszi a kapcsolat kiterjesztését az Azure-környezetre. Ezzel lehetővé teszi a vállalati hálózathoz csatlakozó felhasználók számára, hogy privát módon csatlakozzanak az Azure-bérlőn belüli virtuális hálózaton üzemeltetett szolgáltatásokhoz. Ezek közé a szolgáltatások közé tartoznak az Azure Storage-fiókok, a Azure Synapse és az Azure Purview.

Az ilyen kapcsolatok ajánlott, Azure-natív megközelítése az ExpressRoute használata. Javasoljuk, hogy állítson be egy ExpressRoute-átjárót a küllős architektúra központi virtuális hálózatában. Az ExpressRoute-kapcsolat beállításával kapcsolatos részletes, részletes útmutatásért lásd: Oktatóanyag: Társviszony-létesítés létrehozása és módosítása ExpressRoute-kapcsolatcsoporthoz a Azure Portal használatával.

Következő lépések

Nagyvállalati szintű gyakori kérdések