Uso di NSG Access e Azure Bastion

Quando si lavora con Azure Bastion, è possibile usare i gruppi di sicurezza di rete (gruppi). Per ulteriori informazioni, vedere gruppi di sicurezza.

NSG

In questo diagramma:

  • L'host Bastion viene distribuito nella rete virtuale.
  • L'utente si connette al portale di Azure tramite qualsiasi browser HTML5.
  • L'utente passa alla macchina virtuale di Azure in RDP/SSH.
  • Connettere l'integrazione: sessione RDP/SSH con singolo clic all'interno del browser
  • Non è richiesto alcun indirizzo IP pubblico nella macchina virtuale di Azure.

Gruppi di sicurezza di rete

Questa sezione illustra il traffico di rete tra l'utente e il Bastione di Azure e per le macchine virtuali di destinazione nella rete virtuale:

Importante

Se si sceglie di usare un NSG con la risorsa Bastion di Azure, è necessario creare tutte le seguenti regole di traffico in ingresso e in uscita. Se si omette una qualsiasi delle regole seguenti nel NSG, la risorsa di Azure Bastion non riceverà gli aggiornamenti necessari in futuro e quindi aprirà la risorsa alle vulnerabilità di sicurezza future.

AzureBastionSubnet

Azure Bastion viene distribuito in modo specifico a AzureBastionSubnet.

  • Traffico in ingresso:

    • Traffico in ingresso da Internet pubblico: Azure Bastion creerà un IP pubblico che richiede la porta 443 abilitata nell'indirizzo IP pubblico per il traffico in ingresso. NON è necessario aprire la porta 3389/22 nella AzureBastionSubnet.
    • Traffico in ingresso dal piano di controllo Bastion di Azure: Per la connettività del piano di controllo, abilitare la porta 443 in ingresso dal tag del servizio GatewayManager . In questo modo, il piano di controllo, ovvero Gestione Gateway, sarà in grado di comunicare con Azure Bastion.
    • Traffico in ingresso dal piano dati Bastion di Azure: Per la comunicazione del piano dati tra i componenti sottostanti di Azure Bastion, abilitare le porte 8080, 5701 in ingresso dal tag del servizio virtualnetwork al tag del servizio virtualnetwork . Questo consente ai componenti di Azure Bastion di comunicare tra loro.
    • Traffico in ingresso da Azure Load Balancer: Per i probe di integrità, abilitare la porta 443 in ingresso dal tag del servizio AzureLoadBalancer . Questo consente Azure Load Balancer di rilevare la connettività

    Screenshot mostra le regole di sicurezza in ingresso per la connettività di Azure Bastion.

  • Traffico in uscita:

    • Traffico in uscita per le macchine virtuali di destinazione: Azure Bastion raggiungerà le VM di destinazione tramite un indirizzo IP privato. Il gruppi deve consentire il traffico in uscita ad altre subnet VM di destinazione per la porta 3389 e 22.
    • Traffico in uscita verso il piano dati Bastion di Azure: Per la comunicazione del piano dati tra i componenti sottostanti di Azure Bastion, abilitare le porte 8080, 5701 in uscita dal tag del servizio virtualnetwork al tag del servizio virtualnetwork . Questo consente ai componenti di Azure Bastion di comunicare tra loro.
    • Traffico in uscita verso altri endpoint pubblici in Azure: Azure Bastion deve essere in grado di connettersi a diversi endpoint pubblici in Azure, ad esempio per archiviare i log di diagnostica e i log di misurazione. Per questo motivo, Azure Bastion deve essere in uscita da 443 al tag del servizio AzureCloud .
    • Traffico in uscita verso Internet: Azure Bastion deve essere in grado di comunicare con Internet per la convalida della sessione e del certificato. Per questo motivo, è consigliabile abilitare la porta 80 in uscita verso Internet.

    Screenshot mostra le regole di sicurezza in uscita per la connettività di Azure Bastion.

Subnet VM di destinazione

Si tratta della subnet che contiene la macchina virtuale di destinazione a cui si desidera connettersi tramite RDP/SSH.

  • Traffico in ingresso da Azure Bastion: Azure Bastion raggiungerà la macchina virtuale di destinazione tramite un indirizzo IP privato. Le porte RDP/SSH (rispettivamente le porte 3389/22) devono essere aperte sul lato della macchina virtuale di destinazione su un indirizzo IP privato. Come procedura consigliata, è possibile aggiungere l'intervallo di indirizzi IP della subnet di Azure Bastion in questa regola per consentire solo a Bastion di aprire queste porte nelle VM di destinazione nella subnet VM di destinazione.

Passaggi successivi

Per altre informazioni su Azure Bastion, vedere le domande frequenti.