Conectar-se a ambientes de forma privada
A arquitetura de referência é segura por design. Ela usa uma abordagem de segurança multicamadas para resolver os riscos comuns de exfiltração dos dados informados pelos clientes. Você pode usar determinados recursos em uma rede, identidade, dados e camada de serviço para definir controles de acesso específicos e expor aos usuários apenas os dados necessários. Mesmo que alguns desses mecanismos de segurança falhem, os recursos ajudam a manter os dados na plataforma empresarial seguros.
Recursos de rede, como pontos de extremidade privados e acesso desabilitado à rede pública, podem reduzir consideravelmente a superfície de ataque de uma plataforma de dados de uma organização. Mesmo com esses recursos habilitados, no entanto, você precisa tomar precauções extras para se conectar com êxito a serviços como as contas de armazenamento do Azure, os workspaces do Azure Synapse, o Azure Purview ou o Azure Machine Learning da Internet pública.
Este documento descreve as opções mais comuns para se conectar a serviços dentro de uma zona de destino de gerenciamento de dados ou zona de destino de dados de forma simples e segura.
Sobre hosts e jumpboxes do Azure Bastion
A solução mais simples é hospedar um jumpbox na rede virtual da zona de destino de gerenciamento de dados ou na zona de destino de dados para se conectar aos serviços de dados por meio de pontos de extremidade privados. Um jumpbox é uma VM (máquina virtual) do Azure que executa Linux ou Windows e à qual os usuários podem se conectar por meio do RDP (protocolo RDP) ou Secure Shell (SSH).
Antes, as VMs jumpbox tinham que ser hospedadas com IPs públicos para habilitar sessões RDP e SSH da Internet pública. Os NSGs (grupos de segurança de rede) podiam ser usados para fazer bloqueios adicionais ao tráfego a fim de permitir conexões de apenas um conjunto limitado de IPs públicos. No entanto, essa abordagem significava que um IP público precisava ser exposto do ambiente do Azure, o que aumentava a superfície de ataque de uma organização. Como alternativa, os clientes podem ter usado regras DNAT em seus Firewalls do Azure para expor a porta SSH ou RDP de uma VM para a Internet pública, o que pode gerar riscos de segurança semelhantes.
Hoje, em vez de expor uma VM publicamente, você pode contar com o Azure Bastion como uma alternativa mais segura. O Azure Bastion fornece uma conexão remota segura do portal do Azure a VMs do Azure por meio do TLS (protocolo TLS). O Azure Bastion deve ser configurado em uma sub-rede dedicada (sub-rede com o nome AzureBastionSubnet) na zona de destino de dados do Azure ou na zona de destino de gerenciamento de dados do Azure. Em seguida, você poderá usá-lo para se conectar a qualquer VM nessa rede virtual ou a uma rede virtual emparelhada diretamente do portal do Azure. Nenhum cliente ou agente adicional precisa ser instalado em nenhuma VM. Você pode usar novamente os NSGs para permitir RDP e SSH somente do Azure Bastion.
O Azure Bastion oferece outros benefícios de segurança básicos, incluindo:
- O tráfego iniciado do Azure Bastion para a VM de destino permanece dentro da rede virtual do cliente.
- Você tem proteção contra port scanning, porque as portas RDP, as portas SSH e os endereços IP públicos não são expostos publicamente para VMs.
- O Azure Bastion ajuda a proteger contra explorações de dia zero. Ele fica no perímetro de sua rede virtual. Como ele é um PaaS (plataforma como serviço), a plataforma do Azure mantém o Azure Bastion atualizado.
- O serviço se integra a dispositivos de segurança nativos para uma rede virtual do Azure, como o Firewall do Azure.
- O Azure Bastion pode ser usado para monitorar e gerenciar conexões remotas.
Para obter mais informações, confira O que é o Azure Bastion?.
Implantação
Para simplificar o processo para os usuários, há um modelo Bicep/do ARM que ajuda a criar rapidamente essa configuração na zona de destino de gerenciamento de dados ou na zona de destino de dados. Use o modelo para criar a seguinte configuração na sua assinatura:
Para você mesmo implantar o bastion host, selecione o botão Implantar no Azure:
Ao implantar o Azure Bastion e um jumpbox por meio do botão Implantar no Azure, você pode fornecer o mesmo prefixo e ambiente que usa na zona de destino de dados ou na zona de destino de gerenciamento de dados. Essa implantação não tem conflitos e atua como um complemento para a sua zona de destino de dados ou zona de destino de gerenciamento de dados. Você pode adicionar manualmente outras VMs para permitir que mais usuários trabalhem no ambiente.
Conectar-se à VM
Após a implantação, você observará que duas sub-redes adicionais foram criadas na rede virtual da zona de destino de dados.
Além disso, você encontrará um novo grupo de recursos na sua assinatura, que inclui o recurso do Azure Bastion e uma máquina virtual:
Para se conectar à VM usando Azure Bastion, faça o seguinte:
Selecione a VM (por exemplo, dlz01-dev-bastion), selecione Conectar e Bastion.
Selecione o botão azul Usar Bastion.
Insira as novas credenciais e selecione Conectar.
A sessão RDP abre em uma nova guia do navegador, na qual você pode começar a se conectar aos seus serviços de dados.
Entre no portal do Azure.
Acesse o
{prefix}-{environment}-product-synapse001workspace do Azure Synapse dentro do grupo de recursos{prefix}-{environment}-shared-productpara exploração de dados.
No workspace do Azure Synapse, carregue um exemplo de conjuntos de dados da galeria (por exemplo, o conjunto de dados “Táxi de NYC”) e selecione Novo Script SQL para consultar as
TOP 100linhas.
Se todas as redes virtuais foram emparelhadas entre si, apenas um jumpbox em uma zona de destino de dados será necessário para acessar serviços em todas as zonas de destino de dados e zonas de destino de gerenciamento de dados.
Para saber por que recomendamos essa configuração de rede, leia Considerações sobre arquitetura de rede. Recomendamos no máximo um serviço do Azure Bastion por zona de destino de dados. Se mais usuários exigirem acesso ao ambiente, você poderá adicionar VMs extras do Azure à zona de destino de dados.
Usar conexões ponto a site
Como alternativa, você pode conectar usuários à rede virtual usando as conexões ponto a site. Uma solução nativa do Azure para essa abordagem é configurar um gateway de VPN para permitir conexões por VPN entre os usuários e o gateway de VPN por meio de um túnel criptografado. Depois de estabelecer a conexão, os usuários poderão começar a se conectar de forma privada aos serviços hospedados na rede virtual dentro do locatário do Azure. Esses serviços incluem as contas de armazenamento do Azure, o Azure Synapse Analytics e o Azure Purview.
Recomenda-se configurar o gateway de VPN na rede virtual do hub da arquitetura hub-spoke. Para obter diretrizes detalhadas e passo a passo sobre como configurar um gateway de VPN, confira Tutorial: criar um portal de gateway.
Usar conexões site a site
Se os usuários já estiverem conectados ao ambiente de rede local, e a conectividade precisar ser estendida para o Azure, você poderá usar conexões site a site para conectar o hub de conectividade local e do Azure. Como uma conexão de túnel VPN, a conexão site a site permite estender a conectividade para o ambiente do Azure. Isso permite que os usuários conectados à rede corporativa se conectem de forma privada aos serviços hospedados na rede virtual no locatário do Azure. Esses serviços incluem as contas do Armazenamento do Microsoft Azure, o Azure Synapse Analytics e o Azure Purview.
A abordagem recomendada e nativa do Azure para essa conectividade é o uso do ExpressRoute. Recomenda-se configurar o gateway do ExpressRoute na rede virtual do hub da arquitetura hub-spoke. Para obter diretrizes detalhadas e passo a passo sobre como configurar a conectividade do ExpressRoute, confira Tutorial: criar e modificar o emparelhamento para um circuito do ExpressRoute usando o portal do Azure.