Azure Bastion – do cloudu snadno a bezpečně

Trápí vás bezpečnost přístupu do vašich virtuálních serverů v Azure? Chtěli byste vědět, co dělají administrátoři nebo dodavatelé na vašich serverech? Nebaví vás udržovat jump servery, či hoping stations? Jestli jste alespoň jednou odpověděli ano, čtěte dál. Microsoft připravil další platformní službu, tentokrát pro zvýšení bezpečnosti administrátorských přístupů k VMs běžícím v Azure.

K čemu je to dobré

Azure Bastion je v podstatě proxy určená pro přímý přístup z internetu, která je k dispozici administrátorům, aby se mohli z libovolného místa na světě bezpečně připojit k VM v Azure a spravovat jej. Taková konfigurace pak umožňuje odebrat virtuálním serverům veřejné IP adresy a zcela tak zamezit možnému riziku napadení VM touto cestou. Zároveň je velmi příjemné, že se jedná o platformní službu, tedy žádná starost pro vás.

Jsou podporované jak RDP, tak SSH sessions, na své si tedy přijdou jak správci Windows, tak Linux operačních systémů.

Jak to vlastně funguje

V okamžiku, kdy nasadíte Azure Bastion do vaší vNET, nabídne se pro připojení k VM krom standardních možností přímého připojení RDP a SSH také možnost Bastion

Credentials, které zadáváte, nejsou nijak vázané k vlastní službě Bastion a jde vždy o účet z cílového serveru. Poté je v novém okně prohlížeče otevřena vlastní RDP nebo SSH session. Jak je zřejmé z obrázku níže, provoz mezi klientským browserem je šifrovaný SSL, a kromě HTML5 prohlížeče na koncové stanici nevyžaduje vůbec nic. Spojení mezi Azure Bastion a vlastní VM je pak standardní SSH (port 22) nebo RDP (port 3389), tento provoz je však v rámci jedné vNET.

Pro komfort používání internetového prohlížeče jako klienta pro správu serverů Microsoft integroval 2 drobné, ale přitom podstatné, „features“ – clipboard a full screen mode.

Schránku je možné využívat tak, že text vložíte do připraveného pole v prohlížeči, na stejném místě je pak možné přepnout do módu celé obrazovky.

Samozřejmě vás napadne, co třeba mít možnost poslat si nebo naopak stáhnout soubor. Taková funkcionalita zatím k dispozici není a slovíčko „zatím“ je v tomto případě velmi důležité. Jak se již stalo zvykem, Microsoft svoje platformní služby uvádí do GA se základní funkcionalitou, kterou postupně rozšiřuje. Nepochybuji proto o tom, že v budoucnu se dočkáme kopírování souborů, nahrávání session a pokud služba bude úspěšná, pravděpodobně i nějaké centrální správy.

Proč je to výhodné

Základními důvody, které hovoří pro Azure Bastion, jsou

Je to bezpečné

• Jste chráněni proti skenování portů

• Jste chráněni proti zranitelnostem nultého dne (zero-day exploits)

• Provoz veřejnou sítí je chráněn SSL šifrováním

• Není nutné složitě konfigurovat NSG u virtuálních serverů

Je to pohodlné

• Připojíte se odkudkoliv pomocí internetového prohlížeče

• Dostupné jsou všechny VM v dané vNET

• Pravidla v rámci NSG jsou mnohem přehlednější

Je to velmi snadno nasaditelné i do stávajících prostředí

• Službu je možné nasadit za cca 15 minut

• Pro konfiguraci je nutné zadat přesně 5 údajů

Jak si to mohu vyzkoušet

Především snadno. Na obrázku je vidět konfigurační obrazovka při vytváření nové Azure Bastion a je to opravdu průvodce na 1 obrazovku.

Předpoklady pro nasazení jsou

• subnet pojmenovaný AzureBastionSubnet s maskou minimálně 27bitů ve vaší vNET

• statická veřejná adresa.

Pak už jen řeknete, ve které Resource Group bude váš Bastion bydlet a jak se bude jmenovat. Poté následuje cca 15 min trvající deployment a můžete se začít připojovat.

Závěr

Co říci závěrem – jednou vidět je lepší, než stokrát slyšet. Věnovat pár desítek minut na vyzkoušení Azure Bastion je určitě lepší než si přečíst sto článků. Azure Bastion je prima, a i když zejména pro velká prostředí nás čeká ještě trochu vývoje, tak je to bezpečné, pohodlné a rychlé. Zkuste ho, nebudete litovat.