Azure novinky v praxi: Azure Bastion

Blog

 
 Vukasin Terzić

Vzdálená plocha na Azure VM přímo z Azure Portálu

Virtualizace v Microsoft Azure funguje skvěle. Nestaráme se o infrastrukturu, na které to stojí, jen o nastavení parametrů. Jedna z funkcionalit, která nám ale v porovnání s lokální virtualizací stále chybí je přístup přes konzoli přímo do VM. V Azure se to musí dělat přes RDP nebo SSH. V praxi to znamená, že pokud s prostředí Azure nemáte navázán bezpečný VPN tunel, minimálně jedna VM v síti musí mít veřejnou IP adresu a otevřené porty. Azure nám nabízí různé nástroje, jak to co nejvíce zabezpečit – Network Security Groups, Just-In-Time Administration, nástroje pro sledování a monitoring přístupů atd. Ale nebylo by lepší, kdybychom to vůbec nemuseli mít zpřístupněné ven?

Služba Azure Bastion, která je momentálně v Public Preview, nám přináší právě to. Jedná se o plně spravovanou PaaS službu, kterou konfigurujeme v Azure Portálu. Služba se vytváří v rámci virtuální sítě a RDP nebo SSH přístup ke všem VM v dané síti je umožněn v okně prohlížeče přes SSL/TLS. Není nutné měnit konfiguraci VM, mít klientský software na svém PC nebo veřejnou IP na VM.

img

Celý proces konfigurace trvá jen několik minut. Službu je potřeba pojmenovat, ve virtuální síti vytvořit separátní subnet s názvem AzureBastionSubnet, přiřadit veřejnou IP a Azure Bastion můžeme začít používat.

img

Integrace do Azure Portálu je přirozená. K přihlášení se dostanete v Operations sekci dané VM nebo v okně Connect.

img
img

Je nutné ještě podotknout, že tato služba není zdarma. Platí se za službu jako takovou a za přenesená data. Jak to u Azure služeb bývá, ceny v Preview jsou s 50% slevou.

Azure Bastion Service je stále v Public Preview a není dostupná ve všech Azure regionech. Zařazení do General Availability se očekává do konce roku a předtím bychom se ještě měli dočkat integrace s AD, podpory MFA a několika dalších vylepšení.

Pokud si chcete trochu zlepšit Security Score, zabránit port scanningu či zneužití ZeroDay zranitelností na službách RDP či SSH, zbavit se nutností mít JumpBox VM pro správu ostatních VM v subskripci, tak by implementace Azure Bastion mohlo být řešení pro vás.

Sdílej v médiích

Kontakt

Nenašli jste, co hledáte? Pošlete nám zprávu a zůstaneme s vámi ve spojení.

* Vyžadované pole

Osobní data použijeme pouze pro vypracování odpovědi na dotaz. Pravidla zpracování osobních údajů

map us
map eu