マイクロソフトのクラウドサーバ: Azure Bastionを利用して、パブリックネットワークIP、RDP/SSHポートなしで仮想マシンに安全にログインします

企業のパブリッククラウドの日常的な運営・維持の中で、「皇帝の新しい服」式と呼ばれる安全で重い被災地があります。

仮想マシンのリモートログイン。

マイクロソフトのクラウド (Azure) に業務を移したばかりの友人の多くは、手間を省くために、多くの場合、仮想マシンにパブリックネットワークIPを接続し、ネットワークセキュリティグループ (NSG) に青信号を出しているwindowsのを

RDP(3389ポート)

またはLinuxの

SSH(22ポート)

世界に直接暴露する。

このやり方はハッカーと自動スキャンスクリプトの目には、ネット上で裸で走るのと同じです。Linux仮想マシンのバックグラウンドにログインしてログを見るだけで、毎秒世界中から未知のIPがあることがわかります何千もの辞書を使って狂った暴力を組み合わせてrootパスワードを解読しています。あなたのチームの中のある従業員が簡単に弱いパスワードを設定しさえすれば、サーバー全体、さらには企業のクラウドネットワーク全体の陥落は、時間の問題にすぎない。

従来のセキュリティ方法は、VPNを利用したり、自分で仮想マシンを使って無理に構成したり、オープンソースの踏み台機を利用したりすることです。しかし、自分が乗っている要塞機もパブリックネットワークのIPが必要で、毎日osにパッチを適用するだけでなく、それ自体がハッカーの目の「一点突破口」になるかどうかも心配しなければならない。

マイクロソフトのクラウドの原生安全生態の中で、「公網が焦慮を暴露する」ことを徹底的に終わらせるために生まれた次元降下打撃武器があります。

Azure Bastion

。

その核心的な論理は、非常に強引かつ純粋である。

あなたの仮想マシンにパブリックネットワークIPに完全に別れを告げ、クラウド防御線 (NSG) で22と3389ポートをすべて閉鎖する。従業員はブラウザを開けるだけで、webページに機密、高防、糸滑りなくイントラネットに登録することができる。

今日、私たちは公式概念の説教を拒否して、ハードコアの実戦から直接切り込んで、ハンドルはあなたを大工場級の基準で持って、10分以内にAVD級の安全要塞機通路を配置します。

第一段階: 深さ分解、Azure Bastionの「見えないマント世界モデル」

コンソールでマウスをクリックする前に、Azure Bastionの基盤となる物理的な実行モデルを頭の中に構築する必要があります。なぜ「パブリックネットワークIPを免除し、ポートを暴露しない」ことができるのでしょうか?

安全な通信リンク全体は、次の3つの陣地で構成されています

[ユーザーブラウザ] --( HTTPS/443ポート) --> [ Azure Bastion (PaaS) ] -- (イントラネットRDP/SSH )--> [純粋なイントラネット仮想マシン (パブリックIPなし)]

絶対コンプライアンスのフロントエンド防御線 (HTTPS/443):Bastionは完全にホストされたPaaSサービスです。従業員はログイン時に、ローカルコンピュータにRDP (リモートデスクトップ接続) クライアントまたはPutty/Xsheをインストールする必要はありません

Llなどの道具。Azureポータルにログインし、接続をクリックするだけで、すべてのリモート画面と操作コマンドが標準のHTTPS(443ポート) トラフィックにパッケージ化されますブラウザのタブで直接レンダリングします。どの企業のイントラネットの厳しいファイアウォールも、443ページのトラフィックをブロックしません。

絶対的に隔離された専属陣地: Bastionはあなたのビジネス仮想マシンと同じサブネットに詰め込まれません。それはあなたの仮想ネットワーク (VNet) の中で、独立、専属、名前が死んで溶接されて死んで、誰も宿泊してはいけない独立したサブネットを作ることを要求します。Bastionはこの陣地に座って、最強の門番おじさんを演じます。

純粋なイントラネットの安全な挿管 (Private IP Link): おじいさんがあなたのAzureアカウントの身分が合法であることを検証すると、マイクロソフトのクラウド内部のバックボーンネットワークを通過しますイントラネットのプライベートIPで仮想マシンのドアをノックします。そのため、あなたの仮想マシンは外部ネットワークとのすべての物理的なつながりを完全に断ち切ることができ、0パブリックネットワークIP、0外部ポートが開放され、泰山のように安定している。

第二段階: 実戦演習 ― 10分でビルを立ち上げ、安全通路を溶接する

Azureに仮想ネットワーク (VNet) があり、パブリックネットワークIPがマウントされていないLinuxまたはWindows仮想マシンが走っていることを確認してください。次に、私たちは戦いを始めます。

に入る

Azureポータル（ポータル）

、検索してアクセスする

「Bastions」

ページ。

手順1: Bastion専用の「飛行禁止エリア」を開く (サブネット区分)

Bastionを作成する前に、私たちはまず仮想ネットワークに行って門番おじさんに独立したオフィスを切り出さなければならない。そうでなければ、その後の作成は直接失敗を報告する。

あなたの仮想ネットワーク (VNet) ページに入り、左側のメニューの「サブネット」をクリックします。

一番上の「サブネット」をクリックします。

魂を注ぐ一歩: サブネットの名称(Name) は必ず、強引に、一文字も変わらずに記入します。これはマイクロソフトの基礎的な自動スクリプト認識の唯一の暗号で、アルファベットを間違えてもだめだ。

アドレス範囲:/26または/27の小さなネットワークセグメントを分割すればよい (例: 10.0.1.0/26) 、「保存」をクリックします。

ステップ2: Bastion管理サービスを作成する

Bastionsページに戻り、一番上のをクリックします

「Create」

:

基本的な構成: あなたのリソースグループを選択して、要塞機にbst-core-prodと名付けて、地域はあなたの仮想マシンと完全に一致する地域 (East Asia香港など) を選択します。

Tier (階層): 開発テスト「Devel」

オパール (最もコストを節約し、完全にホストする) ビジネス生産の推奨は「ベーシック」または「Standard」 (動的なスケーリングとファイル転送をサポート)。

仮想ネットワーク: あなたがサブネットを分けたVNetを正確に選択します。システムは、私たちが構築したばかりのAzureBastionSubnetを自動的に検出し、バインドします。

パブリックネットワークIP:Bastionサービス自体には、世界中の従業員からブラウザHTTPS要求を受信するための公開されたポータルが必要です。新しい標準的なパブリックネットワークIPはpip-bst-prodと呼ばれています。

作成をクリックします。マイクロソフトのサーバーレス編成エンジンは、バックグラウンドでこの高防御ゲートウェイを自動的に磨き、通常は5分ほどで落盤します。

第三段階: 奇跡の瞬間 -- 純粋なwebサイトの「マトリックス・セキュリティ・ログイン」を体験する

Bastionの状態が緑に点灯すると

Succeeded

最も感動的な体験が来ました。両手はあなたの地元のリモートデスクトップソフトから離れて、肉体通関の準備をします。

パブリックネットワークIPがなく、完全にイントラネット隔離状態にある仮想マシンの詳細ページ (vm-linux-prodなど) にアクセスします。

一番上の「Connect」 (接続) の大きなボタンをクリックし、プルダウンメニューで「Connect via Bastion」を選ぶことを躊躇しない。

[仮想マシンの詳細ページ] -> [Connectをクリック] -> [Bastionチャネルを選択]

ページは瞬時に非常にきれいなログインパネルに切り替わります。このLinuxのシステムアカウント (rootなど) とパスワードを入力します (またはSSH秘密鍵ファイルをアップロードします)。

最も衝撃的な画面が発生しました。「Connect」をクリックすると、ブラウザに新しいタブが自動的に表示されます。このページの内部では、真っ黒で反応速度の速いLinux端末のコマンドライン (またはWindowsの華麗なデスクトップ) が100% 完璧にレンダリングされています!

あなたはホームページに入っています

Ifconfig

一色一色の

10.0.x.x

純粋なイントラネットIP、ローカルコンピュータはVPNをオンにしておらず、複雑なポートマッピングを構成しておらず、すべてが不思議に滑らかである。

第四段階: 大工場級高防構造でのピット血涙歴

このプログラムの構成が完了すると、企業内の仮想マシン資産が金庫に詰め込まれたことになります。しかし、厳しい商業高合併、監査戦場で生きていくには、最高安全責任者 (CISO) として、コンピューターを閉じる前に、次の2つの無視されやすい目に見えない大きな穴を溶接しなければならない

1. 致命的な「NSGファイアウォール逆ロック」惨劇

Bastionを始めたばかりのネットワーク管理者の多くは、webページの登録が成功したのを見て興奮した。絶対的なセキュリティを追求するために、彼らは仮想マシンに来ます

ネットワークセキュリティグループ (NSG)

中、

大胆に拒絶策を新たに作成しました。

「すべてのインバウンドトラフィックを禁止する」

。

災害発生: この戦略を保存すると、webサイトのBastionが瞬時に切れ、もうログインできなくなることがわかります。

原因の解体: 多くの人はBastionがマイクロソフトの公式サービスである以上、ネットワークセキュリティグループ (NSG) を無視できると勘違いしています。実はそうではありませんBastionは本質的にはイントラネットIPを介して仮想マシンに接続する。仮想マシンの22/3389ポートを直接乱暴にブロックすると、門番おじさんをドアの外に閉じ込めます。

大工場標準ピット配置: 仮想マシンのNSGステーションルールでは、パブリックネットワーク (Internet) に22と3389を開放することは厳禁です。しかし、新たに優先度の高いルールを作成する必要があります。ソース (Source) は「Service Tag」を選択し、ラベル名は正確にazurebastion subnetを選択します。ポートは22と3389の発行を許可します。このように、おじいさんがドアを押して入ってくるだけでなく、公ネット上のどの牛鬼蛇神がノックすると瞬時に物理的に傍受される。

2.「VNetを越えたでたらめな指揮」の財務的な白売春の落とし穴を警戒する

多くの企業はクラウドに仮想ネットワーク (VNet) を構築しています。テスト環境はVNetで、本番環境はVNetです。多くの初心者は手間を省くために、VNetごとに新しいAzure Bastionインスタンスを購入します。

内部者露出: Azure Bastionは時間とインスタンスで計算されます。もしあなたがいくつかの砦を開いたら、月末の高い請求書は直接財務を上司に訴えることができる。

設計者が本のプラグイン強化規範を下げる: 全ネットは砦機 (Hub-Spoke構造) を建設するだけである。最も中核的なHub-VNetに高配合のBastion要塞を作るだけです。その他のサブVNet (テスト、プレリリース環境など) は、仮想ネットワークのピアツーピア相互接続 (VNet peing) を介して、コアのHub-VNetと接続するだけです。他のVNetの仮想マシンにログインしたとき、Bastionはpeingパイプラインを非常に賢く越えて、直接空を隔てて接続し、「単体で全ネットワークを守る」ことができる。コントロール盤は正確で、すべてのコインを刃に使う。

まとめ

Azure Bastionを利用して企業レベルの高防御仮想マシンのログインチャネルを迅速に構築し、コアの工業レベルの真髄を16文字に簡略化した

暗号は整列して、公網を免除して、ホームページはレンダリングして、内ネットはロックします。

あなたは過去に毎日暴力を見つめてログを解読し、仮想マシンの弱いパスワードの脆弱性を恐れ、深夜に人肉が起き上がって跳板機のオペレーティングシステムをアップグレードする原始的な苦海に別れを告げた。すべての最も核心的な遠隔接続制御面を、マイクロソフトの百億ドルで作られたWに完全にホストする

Ebクラスのネットワークセキュリティゲートウェイ。パソコンの前に座って、ブラウザの優雅なオフィスを開いて、前はハッカーがどのようにスキャンして検出しても、あなたのクラウド帝国のコアサーバは泰山のように安定している。