Quando usare Azure Bastion
In questa unità si esplorerà l'uso di Azure Bastion e si determinerà se si tratta di una scelta appropriata per la connessione sicura a una macchina virtuale remota. Azure Bastion verrà valutato in base ai criteri seguenti:
- Sicurezza
- Facilità di gestione
- Integrazione con altre app
Gli amministratori devono fare affidamento sulla gestione remota per l'amministrazione e la manutenzione delle risorse di Azure di un'organizzazione, che includono le macchine virtuali e le app installate in tali macchine virtuali. È importante considerare la possibilità di connettersi in modo sicuro a queste risorse e app senza esporle a Internet. È possibile usare Azure Bastion per connettersi e gestire in remoto le macchine virtuali ospitate senza esporre le porte di gestione a Internet. Tuttavia, alcuni amministratori hanno risolto questo requisito usando server di collegamento, che sono talvolta denominati JumpBox. In questa unità si determinerà se Azure Bastion può sostituire le JumpBox come metodo per offrire l'accesso sicuro alla gestione remota.
Nota
Una JumpBox è una macchina virtuale di Azure con un indirizzo IP pubblico, accessibile da Internet.
In uno scenario JumpBox tipico:
- Le macchine virtuali dell'organizzazione sono configurate solo con indirizzi IP privati e non sono accessibili direttamente da Internet.
- La JumpBox viene distribuita nella stessa rete virtuale delle macchine virtuali che gli amministratori vogliono gestire in remoto usando RDP e SSH.
- Il flusso di traffico di rete tra Internet, la JumpBox e le macchine virtuali di destinazione è gestito da un gruppo di sicurezza di rete.
- Gli amministratori si connettono alla JumpBox con RDP usando l'indirizzo IP pubblico.
Importante
Poiché ci si connette alla JumpBox con RDP su un indirizzo IP pubblico, la sicurezza della JumpBox può essere compromessa.
La JumpBox è una macchina virtuale che esegue un sistema operativo server, quindi è necessario:
- Mantenere la macchina virtuale aggiornata con patch e altri aggiornamenti.
- Configurare gruppi di sicurezza di rete appropriati per proteggere il flusso di traffico all'interno della rete virtuale tra la JumpBox e le macchine virtuali di destinazione.
Criteri decisionali
Per determinare se una JumpBox o Azure Bastion sono l'opzione migliore per gestire in remoto le risorse di Azure dell'organizzazione, prendere in considerazione criteri come la sicurezza, la facilità di gestione e l'integrazione. Ecco un'analisi di questi criteri.
Criteri | Analisi |
---|---|
Sicurezza | Azure Bastion non espone RDP/SSH sull'indirizzo IP pubblico. A differenza di una JumpBox, Azure Bastion supporta solo connessioni protette TLS dal portale di Azure. Con Azure Bastion, non è necessario configurare i gruppi di sicurezza di rete per proteggere il flusso di traffico. |
Facilità di gestione | Azure Bastion è un servizio PaaS completamente gestito. Non si tratta di una macchina virtuale come una JumpBox, che richiede aggiornamenti regolari. Non è necessario un client o un agente per usare Azure Bastion, né è necessario applicarvi patch e aggiornamenti. Non è necessario nemmeno installare o gestire altri software nelle console di gestione. |
Integrazione | È possibile integrare Azure Bastion con altri servizi di sicurezza nativi in Azure, ad esempio Firewall di Azure. I server di collegamento non includono questa opzione. |
Nota
Si distribuisce Azure Bastion per ogni rete virtuale (o rete virtuale con peering) anziché per ogni sottoscrizione, account o macchina virtuale.
Applicare i criteri
Azure Bastion si pone come obiettivo principale l'abilitazione della gestione remota sicura delle macchine virtuali ospitate. Come servizio gestito, non è necessario aggiornare Azure Bastion o configurare manualmente gruppi di sicurezza di rete e impostazioni correlate. Azure Bastion rappresenta la soluzione migliore per abilitare la gestione remota sicura delle macchine virtuali ospitate di Azure.
È consigliabile tenere in considerazione l'utilizzo di Azure Bastion quando si dispone di macchine virtuali remote ospitate in Azure da gestire e:
- È necessario connettersi a tali macchine virtuali usando RDP/SSH.
- Non si vuole gestire il metodo con cui ci si connette a queste macchine virtuali remote.
- Non si vogliono configurare le impostazioni del gruppo di sicurezza di rete per abilitare la gestione remota.
- Si vuole evitare l'uso di JumpBox.
Quando si determina il numero di host di Azure Bastion da distribuire, tenere in considerazione che ne è necessario uno per ogni rete virtuale (o rete virtuale con peering). Non è necessario distribuire Azure Bastion per ogni macchina virtuale o subnet.