שלום לכולם,
במאמר זה אני אסביר מה זה Azure Bastion, איך הוא מסייע לנו לנהל את הסביבה שלנו בצורה מאובטחת בלי לחשוף שירותים החוצה וכמובן נראה איך מקימים שירות כזה.
מה זה Azure Bastion
שירות Azure Bastion הוא שירות PaaS שנמצא על גבי ה-VNET ומספק שירותי RDP/SSH מאובטחים למחשבים הווירטואלים ישירות מהפורטל על גבי SSL.
כאשר עובדים עם שירות Azure Bastion המחשבים הווירטואלים אינם חשופים לעולם, השירות למעשה מגן על המכונות מפני חשיפה ל-RDP/SSH ואין צורך בהתקנת סוכן ו/או תוכנה.
תרשים הפתרון
תכונות עיקריות
- גישה ב-RDP או SSH ישירות דרך הפורטל.
- גישה על גבי SSL.
- אין צורך בכתובות חיצוניות למכונות הווירטואליות.
- אין צורך ב-NSG על מנת להגן על השירות, השירות מנוהל ומוקשח.
- הגנה מפני Zero-day, השירות מוקשח כל הזמן
איך מקימים את השירות
נכון להיום יש 2 אפשרויות להקים את השירות
- הקמת השירות כמשאב בפורטל.
- הקמת השירות דרך הגדרות של VM קיים
במאמר אנו נראה איך מקימים את השירות כמשאב בפורטל בצורה הקלה ביותר.
ניתן להקים את השירות על VNET חדש או VNET קיים.
- נכנסים לפורטל Azure, בוחרים Create Resource ולכן מכן מחפשים Bastion
- ממלאים את הפרטים של שם השירות, שיוך ל-VNET הרלוונטי, שם לכתובת החיצונית ולאחר מכן לוחצים על Create.
הערה: במידה ורוצים להקים את השירות על VNET קיים יש להקים Subnet ייעודי מראש עם מינימום טווח 27/ בשם AzureBastionSubnet.
לאחר שסיימנו להקים את השירות נוכל להתחבר לכל שרת שנמצא ב-VNET בעזרת Azure Bastion
בדיקות
הולכים לשרת הרלוונטי ולוחצים על Connect, מכניסים את פרטי התחברות ומתחברים לשרת בצורה מאובטחת על גבי SSL.
לאחר לחיצה על Connect, נפתח חלון ישירות לשרת דרך השירות המנוהל.
בנוסף, יש אפשרות לראות את כל ה-Sessions הפתוחים לנו בסביבה דרך השירות עצמו.
לסיכום
שירות Azure Bastion מאפשר לנו לגשת לסביבה מכל מקום בצורה מאובטחת, נוחה ופשוטה בלי לסכן את הנכסים שלנו ובלי לחשוף את השירותים החוצה. השירות מבוסס על HTML5 ומאפשר גישה ב-RDP ו/או SSH על גבי SSL.
בהצלחה
Leave a Reply