Azure Bastion ile Azure Firewall’un Arkasındaki Sanal Makinelere Erişme
Azure Sanal Ağı, gelişmiş ağ mimarileri oluşturmak için esnek bir temel sağlar. Azure Güvenlik Duvarı veya en sevdiğiniz ağ sanal cihazınız (NVA) gibi çeşitli filtreleme bileşenleriyle heterojen ortamları yönetmek biraz planlama gerektirir.
Şu anda önizlemede olan Azure Bastion, doğrudan Azure portalı üzerinden sanal makinelerinize (VM) güvenli ve kesintisiz uzak masaüstü protokolü (RDP) ve güvenli kabuk (SSH) erişimi sağlayan, hizmet olarak yönetilen bir platformdur (PaaS).. Azure Bastion doğrudan sanal ağınızda sağlanır ve herkese açık IP adresleri aracılığıyla herhangi bir maruziyet olmadan bağlı tüm VM’leri destekler.
Azure Güvenlik Duvarı’nı veya herhangi bir NVA’yı dağıtırken, alt ağlarınızdaki tüm trafiği her zaman tünele zorlarsınız. 0.0.0.0/0 kullanıcı tanımlı bir rota uygulamak, sanal ağınızdaki iş yüklerinize giriş ve çıkış trafiği için asimetrik yönlendirmeye yol açabilir.
Önemsiz olmasa da, sık sık kendinizi tüm uygulamalarınızın bunu çözmesi için DSNAT, yönlendirme vb. dahil olmak üzere büyüyen bir ağ kuralları kümesi oluşturup yönettiğinizi görürsünüz. Bu tüm uygulamalarınızı etkileyebilse de, RDP ve SSH en yaygın örneklerdir. Bu senaryoda, Internet’ten gelen trafik doğrudan sanal ağınızdaki sanal makinenize gelebilir, ancak çıkış trafiği NVA’ya gider. NVA’ların çoğu stateful olduğundan, başlangıçta almadığı için bu trafiği düşürür.
Azure Bastion, stateful NVA’lar veya zorlama tüneli etkinleştirilmiş olan Azure Güvenlik Duvarı içeren sanal ağlar içindeki iş yüklerinize RDP / SSH’nin basit bir şekilde ayarlanmasına olanak tanır.
Azure Güvenlik Duvarı veya sanal bir aracı dağıtırken, Azure Güvenlik Duvarı dağıtılırken oluşturulan RouteTable’ınızı sanal ağınızdaki tüm alt ağlarla ilişkilendirebilirsiniz. AzureBastionSubnet alt ağını da dahil ediyor olabilirsiniz. Bu, AzureBastionSubnet alt ağına tüm Azure Bastion trafiğini Azure Güvenlik Duvarı’na yönlendiren ve böylece Azure Bastion için gereken trafiği engelleyen kullanıcı tanımlı bir yol uygular. Bundan kaçınmak için Azure Bastion’ı yapılandırmak çok kolaydır, ancak RouteTable’ı AzureBastionSubnet alt ağıyla ilişkilendirmeyin.
AzureBastionSubnet alt ağı, platform tarafından yönetilen güvenli bir alt ağdır ve Azure Bastion dışında bu alt ağda başka bir Azure Kaynağı dağıtılamaz. Azure Bastion’a tüm bağlantılar, 2FA ile Azure Active Directory tabanlı kimlik doğrulaması aracılığıyla gerçekleştirilir ve tüm trafik HTTPS üzerinden şifrelenir.
Azure Bastion dahili olarak sertleştirilmiştir ve yalnızca 443 numaralı bağlantı noktası üzerinden trafiğe izin vererek alt ağa ek ağ güvenlik grupları (NSG’ler) veya kullanıcı tanımlı yollar uygulama görevinden tasarruf etmenizi sağlar.