Защитите свой административный доступ в Microsoft Azure IaaS с помощью Azure Bastion

Опубликовано: 1 Марта, 2023
Защитите свой административный доступ в Microsoft Azure IaaS с помощью Azure Bastion

Бастион Azure — это предложение «платформа как услуга» (PaaS) в Microsoft Azure, которое повышает уровень безопасности вашей компании за счет удаления любых подключений RDP/SSH из Интернета к вашим виртуальным машинам. Принцип работы службы прост, но он обеспечивает дополнительный уровень безопасности и защиты для ваших виртуальных машин инфраструктуры как услуги (IaaS), работающих в Azure. На портале Azure оператор может подключиться с помощью Azure Bastion, для чего требуется только безопасный порт 443 от портала Azure к узлу Azure Bastion. Вторая часть подключения выполняется внутри защищенной виртуальной сети, и для подключения требуется связь с Бастионом Azure либо через порт 22 (SSH, Linux), либо через порт 3389 (RDP, Windows).

Решение развернуто на уровне виртуальной сети. Решение масштабируемо, не требует дополнительной настройки со стороны облачного администратора и не требует какого-либо другого программного обеспечения. Единственное требование — браузер HTML 5.

Если вы являетесь компанией, которая предоставляет доступ к своим виртуальным машинам в Интернете, это идеальное решение, а также экономия средств, поскольку на ваших виртуальных машинах не требуются общедоступные IP-адреса для удаленного управления повседневными операциями. Если у вас есть VPN/ExpressRoute или NVA, у вас может быть некоторый уровень защиты, но Azure Bastion по-прежнему является допустимым вариантом, позволяющим избежать всех RDP и виртуальных машин переходов в вашей среде.

Создание бастиона Azure

Первый шаг — перейти в вашу виртуальную сеть, проверить элемент адресного пространства и подтвердить текущий размер вашей виртуальной сети. Нам нужна подсеть /27 для добавления в виртуальную сеть.

Если у вас недостаточно места, например, если ваша виртуальная сеть имеет адресное пространство 10.0.0.0/24, рекомендуется увеличить его до /16, прежде чем двигаться дальше.

Вот как добавить подсеть, необходимую для службы Azure Bastion. Нажмите на подсети в колонке виртуальной сети и нажмите «Добавить подсеть». Имя новой подсети должно быть AzureBastionSubnet, а диапазон адресов должен использовать /27.

Вы не должны настраивать никакую таблицу маршрутов для этой подсети. Группа безопасности сети будет связана, когда мы заблокируем ресурс в следующем разделе. Однако текущей конфигурации, настроенной в этом разделе, будет достаточно для запуска службы.

Последним шагом является создание нового ресурса: нажмите «Создать ресурс» или найдите « Бастион» в глобальном поиске. В колонке Create a Bastion нам нужно определить группу ресурсов, имя и регион. В том же месте нам также нужно выбрать виртуальную сеть. Подсеть будет заполнена автоматически и будет создан новый общедоступный IP-адрес, который будет использоваться службой.

Использование службы Azure Bastion

На этом этапе мы настроили службу Azure Bastion и разместили виртуальную машину в подсети по умолчанию той же виртуальной сети. Чтобы воспользоваться службой, в колонке свойств нужной виртуальной машины нажмите «Подключиться», а затем «Бастион».

Еще один недавно появившийся метод — это использование элемента Connect, который находится в свойствах той же виртуальной машины.

В новом лезвии укажите учетные данные (имя пользователя и пароль), и администратор облака сможет выбрать между открытием сеанса в существующем браузере или в новом окне (моя рекомендация), нажмите «Подключиться».

В фоновом режиме ваш браузер безопасно подключается через порт 443 в службе Azure Bastion. Создается подключение из подсети Azure Bastion к серверу в виртуальной сети. Пока группы безопасности сети следуют рекомендациям из предыдущего раздела, результатом должна быть новая консоль сервера в веб-браузере.

После подключения к виртуальной машине мы можем копировать и вставлять содержимое между хостом и виртуальной машиной. С левой стороны есть значок (элемент 1), нажмите на него, и появится новое диалоговое окно, и это рабочая память, используемая командами копирования и вставки между вашим ноутбуком и виртуальной машиной. Если вы скопируете что-то в ВМ, содержимое будет помещено в эту область, и вы сможете использовать эту информацию на хосте.

Возможно, вас интересует копирование файлов между вашей рабочей станцией и виртуальной машиной. На момент написания этой статьи такой возможности не было — ни прямого копирования, ни вставки. Это отличная функция безопасности, когда мы гарантируем, что только безопасные источники имеют прямой контакт с вашей виртуальной машиной, тем самым обеспечивая принцип чистого источника и в некоторых сценариях избавляя вас от необходимости создавать компьютер с привилегированной рабочей станцией администратора (PAW).

Разрешения, необходимые для использования службы Azure Bastion

В документации указано, что пользователь, пытающийся использовать службу, должен иметь как минимум права на чтение на уровне виртуальной машины, на уровне сетевой карты и на ресурсе Бастиона Azure.

Если вы назначите роль пользователя виртуальной машины для входа в группу виртуальных машин или ресурсов или даже подписку, а считыватель — ресурсу узла Azure Bastion, этого будет достаточно, чтобы пользователь мог подключиться к виртуальной машине.

Другая возможность — создать группу либо в Azure AD, либо синхронизировать локально. Затем назначьте те же роли, что и выше, этой группе в конкретных ресурсах, которым вы планируете предоставить доступ, а затем добавьте пользователей в группу, чтобы предоставить им доступ для подключения к виртуальным машинам с помощью службы Azure Bastion.

Понимание потока трафика и защиты с помощью групп безопасности сети

Чтобы заблокировать Azure Bastion, мы можем начать с того, что по крайней мере одна группа безопасности сети будет назначена подсети Azure Bastion, а другая будет связана с одной или несколькими подсетями.

Я рекомендую связать группы безопасности сети с подсетью, а не с сетевыми адаптерами. В любом случае нам нужно убедиться, что мы разрешаем подключения из подсети Azure Bastion к виртуальным машинам в той же виртуальной сети.

Вот как создать новую группу безопасности сети. В новой колонке в параметрах мы выберем IP-адреса и 10.0.10.0/27 — диапазон, связанный со службой Azure Bastion. В диапазоны портов назначения мы добавим 3389, 22 (если у вас нет Linux или Windows, вы можете удалиться из списка) и определим приоритет и имя в соответствии с вашими требованиями.

Примечание. Если у вас есть группа безопасности сети, вы можете просто добавить указанное выше правило в существующую группу безопасности сети.

Вторая группа безопасности сети — это та, которую нам нужно связать с подсетью Бастиона Azure. Резюме необходимых правил

  • Правила безопасности входящего трафика
    • 443 из интернета
    • 443 и 4443 от GatewayManager (метка обслуживания)
  • Правила безопасности исходящего трафика
    • 22 и 3389 в VirtualNetwork (метка обслуживания)
    • 443 в AzureCloud (сервисный тег)

После создания новой группы безопасности сети обязательно свяжите ее с подсетью Azure Bastion, как показано на рисунке ниже.

Это необходимые шаги, чтобы настроить и запустить службу Azure Bastion в вашей среде Azure. Как вы, возможно, заметили, это простой процесс, и за несколько минут вы можете избавиться от переходов, которые вам нужны для поддержания обновлений, удаления общедоступных IP-адресов с ваших виртуальных машин и сохранения множества рекомендаций из Центра безопасности Azure.

Облачные вычисления

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Лучшие российские хостинги: рейтинг провайдеров, сравнение условий и рекомендации по выбору
3 Февраля, 2026
Бесплатные хостинги для Minecraft 24/7: рейтинг лучших провайдеров
2 Февраля, 2026
Рейтинг лучших VPS/VDS хостингов: топ 15 провайдеров виртуальных серверов
30 Января, 2026
Что такое хостинг-провайдер и как он работает: виды хостинга, услуги, ответственность и критерии выбора
30 Января, 2026
Лучшие бесплатные и условно-бесплатные хостинги
30 Января, 2026
Timeweb Cloud — обзор облачной платформы IaaS/DBaaS/Kubernetes/S3
28 Января, 2026
Timeweb: что это такое, для чего используется, как настроить и почему стоит выбрать
28 Января, 2026
REG.RU: обзор хостинга, возможности, тарифы, тестовый период, VPS и практический выбор
28 Января, 2026