Mikor érdemes használni az Azure Bastiont?
Ebben a leckében megismerheti az Azure Bastion használatát, és meghatározhatja, hogy megfelelő választás-e a távoli virtuális géphez való biztonságos csatlakozáshoz. Az Azure Bastion kiértékelése a következő feltételek alapján történik:
- Biztonság
- Megkönnyített felügyelet
- Integráció más alkalmazásokkal
Rendszergazda istratoroknak a távoli felügyeletre kell támaszkodniuk a szervezet Azure-erőforrásainak felügyeletéhez és karbantartásához, amelyek magukban foglalják a virtuális gépeket és az ezeken a virtuális gépeken telepített alkalmazásokat. Fontos megfontolni, hogy biztonságosan kapcsolódhat-e ezekhez az erőforrásokhoz és alkalmazásokhoz anélkül, hogy kiteszik őket az internetre. Az Azure Bastion használatával távolról csatlakozhat és kezelheti a üzemeltetett virtuális gépeket anélkül, hogy felügyeleti portokat tárt fel az internetre. Egyes rendszergazdák azonban ugrókiszolgálók használatával oldják meg ezt a követelményt, amelyeket ugrómezőknek is neveznek. Ebben a leckében azt határozza meg, hogy az Azure Bastion képes-e ugródobozokat lecserélni a biztonságos távfelügyeleti hozzáférés biztosítására szolgáló módszerként.
Megjegyzés:
A jump box egy nyilvános IP-címmel rendelkező Azure-beli virtuális gép, amely az internetről érhető el.
Egy tipikus jump box-forgatókönyvben:
- A szervezet virtuális gépei csak magánhálózati IP-címekkel vannak konfigurálva, és nem érhetők el közvetlenül az internetről.
- A jump box ugyanabba a virtuális hálózatba van üzembe helyezve, mint azok a virtuális gépek, amelyeket a rendszergazdák távolról szeretnének kezelni RDP és SSH használatával.
- Az NSG kezeli az internet, a jump box és a cél virtuális gépek közötti hálózati forgalmat.
- Rendszergazda istratorok rdp-vel csatlakoznak a jump boxhoz a nyilvános IP-cím használatával.
Fontos
Mivel nyilvános IP-címen rdP-vel csatlakozik a jump boxhoz, a jump box biztonsága veszélybe kerülhet.
A jump box egy kiszolgálói operációs rendszert futtató virtuális gép, ezért a következőkre van szüksége:
- Tartsa naprakészen a virtuális gépet javításokkal és egyéb frissítésekkel.
- Konfigurálja a megfelelő NSG-ket a virtuális hálózaton belüli forgalom biztonságossá tételéhez a jump box és a cél virtuális gépek között.
A döntés alapjául szolgáló feltételek
Annak meghatározásához, hogy a jump box vagy az Azure Bastion a jobb megoldás-e a szervezet Azure-erőforrásainak távoli kezelésére, fontolja meg a biztonságot, a könnyű kezelést és az integrációt. Íme a feltételek elemzése.
| Feltételek | Analysis |
|---|---|
| Biztonság | Az Azure Bastion nem teszi közzé az RDP/SSH-t a nyilvános IP-címén. A jump boxtól eltérően az Azure Bastion csak az Azure Portalról származó TLS-védelem alatt álló kapcsolatokat támogatja. Az Azure Bastion használatával nem kell konfigurálnia az NSG-ket a forgalom biztonságossá tételéhez. |
| Könnyű kezelés | Az Azure Bastion egy teljes mértékben felügyelt PaaS-szolgáltatás. Ez nem egy olyan virtuális gép, mint egy jump box, amely rendszeres frissítéseket igényel. Nincs szüksége ügyfélre vagy ügynökre az Azure Bastion használatához, és nem kell javításokat és frissítéseket alkalmaznia rá. Más szoftvereket sem kell telepítenie vagy karbantartania a felügyeleti konzolokon. |
| Integráció | Az Azure Bastion integrálható más natív biztonsági szolgáltatásokkal az Azure-ban, például az Azure Firewallban. A jump-kiszolgálók nem rendelkeznek ezzel a lehetőséggel. |
Megjegyzés:
Az Azure Bastiont virtuális hálózatonként (vagy társhálózatonként) kell üzembe helyeznie előfizetés, fiók vagy virtuális gép helyett.
A feltételek alkalmazása
Az Azure Bastion a üzemeltetett virtuális gépek biztonságos távoli felügyeletének engedélyezésének fő céljával foglalkozik. Felügyelt szolgáltatásként nem kell frissítenie az Azure Bastiont, és nem kell manuálisan konfigurálnia az NSG-ket és a kapcsolódó beállításokat. Az Azure Bastion a legjobb megoldás az Azure által üzemeltetett virtuális gépek biztonságos távoli felügyeletének engedélyezésére.
Fontolja meg az Azure Bastion használatát, ha távoli Azure-beli virtuális gépekkel rendelkezik a felügyelethez és az alábbiakhoz:
- RdP/SSH használatával kell csatlakoznia ezekhez a virtuális gépekhez.
- Nem szeretné fenntartani azt a módszert, amellyel ezekhez a távoli virtuális gépekhez csatlakozik.
- Nem szeretné konfigurálni az NSG-beállításokat a távfelügyelet engedélyezéséhez.
- El szeretné kerülni a jump boxok használatát.
Az üzembe helyezendő Azure Bastion-gazdagépek számának meghatározásakor vegye figyelembe, hogy virtuális hálózatonként (vagy társhálózatonként) egyre van szükség. Nem kell virtuális gépen vagy alhálózatonként üzembe helyeznie az Azure Bastiont.