Conecte-se a ambientes de forma privada
A arquitetura de referência é segura por design. Ele usa uma abordagem de segurança em várias camadas para mitigar os riscos comuns de exfiltração de dados levantados pelos clientes. Você pode usar determinados recursos em uma camada de rede, identidade, dados e serviço para definir controles de acesso específicos e expor apenas os dados necessários para seus usuários. Mesmo que alguns desses mecanismos de segurança falhem, os recursos ajudam a manter os dados dentro da plataforma de escala empresarial seguros.
Recursos de rede, como pontos de extremidade privados e acesso à rede pública desabilitado, podem reduzir significativamente a superfície de ataque de uma plataforma de dados dentro de uma organização. Mesmo com esses recursos habilitados, você precisa tomar precauções extras para se conectar com êxito a serviços como contas de armazenamento do Azure, espaços de trabalho do Azure Synapse ou Azure Machine Learning da Internet pública.
Este documento descreve as opções mais comuns para se conectar a serviços dentro de uma zona de aterrissagem de gerenciamento de dados ou zona de aterrissagem de dados de forma simples e segura.
Visão geral do host e jumpboxes do Azure Bastion
A solução mais simples é hospedar uma jumpbox na rede virtual da zona de aterragem de gestão de dados ou zona de aterragem de dados para se ligar aos serviços de dados através de endpoints privados. Uma jumpbox é uma máquina virtual (VM) do Azure executando Linux ou Windows à qual os usuários podem se conectar por meio do protocolo RDP (Remote Desktop Protocol) ou SSH (Secure Shell).
Anteriormente, as VMs jumpbox tinham que ser hospedadas com IPs públicos para habilitar sessões RDP e SSH da Internet pública. Os grupos de segurança de rede (NSGs) podem ser usados para bloquear ainda mais o tráfego para permitir conexões de apenas um conjunto limitado de IPs públicos. No entanto, essa abordagem significava que um IP público tinha que ser exposto do ambiente do Azure, o que aumentava a superfície de ataque de uma organização. Como alternativa, os clientes podem usar regras DNAT em seu Firewall do Azure para expor a porta SSH ou RDP de uma VM à Internet pública, o que leva a riscos de segurança semelhantes.
Hoje, em vez de expor uma VM publicamente, você pode confiar no Azure Bastion como uma alternativa mais segura. O Azure Bastion fornece uma conexão remota segura do portal do Azure para VMs do Azure por TLS (Transport Layer Security). O Azure Bastion deve ser configurado numa sub-rede dedicada (sub-rede com o nome AzureBastionSubnet) na zona de aterragem de dados do Azure ou na zona de aterragem de gestão de dados do Azure. Em seguida, você pode usá-lo para se conectar a qualquer VM nessa rede virtual ou em uma rede virtual emparelhada diretamente do portal do Azure. Nenhum cliente ou agente extra precisa ser instalado em qualquer VM. Você pode usar novamente NSGs para permitir RDP e SSH somente do Azure Bastion.
O Azure Bastion fornece alguns outros benefícios de segurança principais, incluindo:
- O tráfego iniciado do Azure Bastion para a VM de destino permanece na rede virtual do cliente.
- Você obtém proteção contra a verificação de portas porque portas RDP, portas SSH e endereços IP públicos não são expostos publicamente para VMs.
- Azure Bastion ajuda a proteger contra exploits de dia zero. Ele fica no perímetro da sua rede virtual. Por ser uma plataforma como serviço (PaaS), a plataforma do Azure mantém o Azure Bastion atualizado.
- O serviço integra-se com dispositivos de segurança nativos para uma rede virtual do Azure, como o Firewall do Azure.
- O Azure Bastion pode ser usado para monitorar e gerenciar conexões remotas.
Para obter mais informações, consulte O que é o Azure Bastion?.
Implantação
Para simplificar o processo para os usuários, há um modelo Bicep/ARM que pode ajudá-lo a criar rapidamente essa configuração dentro de sua zona de aterrissagem de gerenciamento de dados ou zona de aterrissagem de dados. Use o modelo para criar a seguinte configuração dentro da sua assinatura:
Para implantar o host Bastion por conta própria, selecione o botão Implantar no Azure:
Ao implantar o Azure Bastion e um jumpbox por meio do botão Implantar no Azure, pode fornecer o mesmo prefixo e ambiente que utiliza na zona de aterrissagem de dados ou na zona de aterrissagem de gerenciamento de dados. Esta implantação não tem conflitos e atua como um complemento para a sua zona de recepção de dados ou zona de recepção de gestão de dados. Você pode adicionar manualmente outras VMs para permitir que mais usuários trabalhem dentro do ambiente.
Conectar-se à VM
Após a implantação, você notará que duas sub-redes extras são criadas na rede virtual da zona de aterrissagem de dados.
Além disso, você encontrará um novo grupo de recursos dentro de sua assinatura, que inclui o recurso Azure Bastion e uma máquina virtual:
Para se conectar à VM usando o Azure Bastion, siga estas etapas:
Selecione a VM (por exemplo, dlz01-dev-bastion), selecione Connecte, em seguida, selecione Bastion.
Selecione o botão azul Usar Bastion.
Introduza as suas credenciais e, em seguida, selecione Ligar.
A sessão RDP é aberta num novo separador do browser, a partir do qual pode começar a ligar-se aos seus serviços de dados.
Inicie sessão no portal do Azure.
Vá para o espaço de trabalho
{prefix}-{environment}-product-synapse001Azure Synapse dentro do grupo de recursos{prefix}-{environment}-shared-productpara exploração de dados.
No espaço de trabalho Synapse do Azure, carregue um conjunto de dados de exemplo da galeria (por exemplo, o conjunto de dados do Táxi de Nova Iorque) e, em seguida, selecione Novo Script SQL para consultar
TOP 100linhas.
Se todas as redes virtuais estiverem interligadas, apenas uma jumpbox numa zona de receção de dados será necessária para aceder a serviços em todas as zonas de receção de dados e zonas de gestão de dados.
Para saber por que recomendamos essa configuração de rede, consulte Considerações sobre arquitetura de rede. Recomendamos um máximo de um serviço do Azure Bastion por zona de aterrissagem de dados. Se mais usuários precisarem de acesso ao ambiente, você poderá adicionar VMs adicionais do Azure à zona de aterrissagem de dados.
Usar conexões ponto-a-site
Como alternativa, você pode conectar usuários à rede virtual usando conexões ponto a site. Uma solução nativa do Azure para essa abordagem é configurar um gateway VPN para permitir conexões VPN entre usuários e o gateway VPN em um túnel criptografado. Depois de estabelecer a conexão, os usuários podem começar a se conectar de forma privada a serviços hospedados na rede virtual dentro do locatário do Azure.
Recomendamos que você configure o gateway VPN na rede virtual do hub da arquitetura hub-and-spoke. Para obter orientações detalhadas e passo a passo sobre como configurar um gateway VPN, consulte Tutorial: Criar um portal de gateway.
Usar conexões site a site
Se os usuários já estiverem conectados ao ambiente de rede local e a conectividade dever ser estendida ao Azure, você poderá usar conexões site a site para conectar o hub de conectividade local e do Azure. Como uma conexão de túnel VPN, a conexão site a site permite estender a conectividade para o ambiente do Azure. Isso permite que os usuários conectados à rede corporativa se conectem de forma privada a serviços hospedados na rede virtual dentro do locatário do Azure.
A abordagem nativa do Azure recomendada para essa conectividade é o uso da Rota Expressa. Recomendamos que se configure um gateway de ExpressRoute na rede virtual do hub da arquitetura hub-and-spoke. Para obter orientações detalhadas e passo a passo sobre como configurar a conectividade da Rota Expressa, consulte Tutorial: Criar e modificar o emparelhamento para um circuito de Rota Expressa usando o portal do Azure.