你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
参考体系结构的设计是安全的。 它使用多层安全方法来缓解客户引发的常见数据外泄风险。 可以使用网络、标识、数据和服务层上的某些功能来定义特定的访问控制,并仅向用户公开所需的数据。 即使其中一些安全机制失败,这些功能也有助于确保企业规模平台中的数据安全。
专用终结点和禁用的公共网络访问等网络功能可以大大减少组织内数据平台的攻击面。 即使启用了这些功能,也需要采取额外的预防措施才能从公共 Internet 成功连接到 Azure 存储帐户或 Azure 机器学习等服务。
本文档介绍以简单且安全的方式连接到数据管理登陆区域或数据登陆区域内的服务的最常用选项。
Azure Bastion 主机和跳板机的概述
最简单的解决方案是在数据管理着陆区或数据着陆区的虚拟网络上托管跳板机,以便通过专用端点连接到数据服务。 jumpbox 是运行 Linux 或 Windows 的 Azure 虚拟机(VM),用户可以通过远程桌面协议(RDP)或安全外壳(SSH)进行连接。
以前,jumpbox 虚拟机必须托管在具有公网 IP 的环境中,才能从公共 Internet 启用 RDP 和 SSH 会话。 网络安全组(NSG)可用于进一步锁定流量,以仅允许来自一组有限的公共 IP 的连接。 但是,此方法意味着必须从 Azure 环境公开公共 IP,这增加了组织的攻击面。 或者,客户可以使用 Azure 防火墙中的 DNAT 规则将 VM 的 SSH 或 RDP 端口公开到公共 Internet,这会导致类似的安全风险。
今天,您可以依靠 Azure Bastion 作为更安全的选择,而不是公开虚拟机。 Azure Bastion 通过传输层安全性(TLS)提供从 Azure 门户到 Azure VM 的安全远程连接。 应在 Azure 数据存储区域或 Azure 数据管理存储区域中的专用子网(名称为 AzureBastionSubnet)上设置 Azure Bastion。 然后,可以使用它直接从 Azure 门户连接到该虚拟网络上的任何 VM 或对等互连的虚拟网络。 无需在任何 VM 上安装额外的客户端或代理。 可以再次使用 NSG,仅允许来自 Azure Bastion 的 RDP 和 SSH。
Azure Bastion 提供一些其他核心安全优势,包括:
- 从 Azure Bastion 到目标 VM 发起的流量保留在客户虚拟网络中。
- 由于 VM 的 RDP 端口、SSH 端口和公共 IP 地址不会公开,因此能够防范端口扫描。
- Azure Bastion 有助于防范零天攻击。 它位于虚拟网络的外围。 因为它是平台即服务(PaaS),Azure 平台使 Azure Bastion 保持最新状态。
- 该服务与 Azure 虚拟网络(例如 Azure 防火墙)的本机安全设备集成。
- Azure Bastion 可用于监视和管理远程连接。
有关详细信息,请参阅什么是 Azure Bastion?。
部署
为了简化用户的过程,有一个 Bicep/ARM 模板可以帮助你在数据管理登陆区域或数据登陆区域内快速创建此设置。 使用模板在订阅中创建以下设置:
若要自行部署 Bastion 主机,请选择“ 部署到 Azure ”按钮:
通过 “部署到 Azure ”按钮部署 Azure Bastion 和 Jumpbox 时,可以提供在数据登陆区域或数据管理登陆区域中使用的相同前缀和环境。 此部署没有冲突,可充当数据登陆区域或数据管理登陆区域的加载项。 可以手动添加其他 VM,以允许更多用户在环境中工作。
连接到 VM
部署后,你会注意到在数据登陆区域虚拟网络上创建了两个额外的子网。
此外,你将在订阅中找到一个新的资源组,其中包括 Azure Bastion 资源和虚拟机:
若要使用 Azure Bastion 连接到 VM,请执行以下步骤:
选择 VM(例如 dlz01-dev-bastion),选择 “连接”,然后选择 “Bastion”。
选择蓝色的“使用堡垒”按钮。
输入凭据,然后选择“ 连接”。
RDP 会话将在新的浏览器选项卡上打开,可以从中开始连接到数据服务。
登录到 Azure 门户。
转到
{prefix}-{environment}-product-synapse001资源组中的{prefix}-{environment}-shared-productAzure Synapse 工作区进行数据浏览。在 Azure Synapse 工作区中,从库加载示例数据集(例如 NYC 出租车数据集),然后选择“ 新建 SQL 脚本 ”以查询
TOP 100行。
如果所有虚拟网络都彼此对等互连,那么一个数据登陆区域只需一个 jumpbox,即可在所有数据登陆区域和数据管理登陆区域访问服务。
若要了解为何建议进行此网络设置,请参阅 网络体系结构注意事项。 建议每个数据登陆区域最多提供一个 Azure Bastion 服务。 如果更多用户需要访问环境,可将额外的 Azure VM 添加到数据登陆区域。
使用点到站点连接
或者,可以使用点到站点连接将用户连接到虚拟网络。 此方法的 Azure 本机解决方案是设置 VPN 网关,以允许用户与 VPN 网关之间的 VPN 连接通过加密隧道。 建立连接后,用户可以开始私下连接到 Azure 租户内虚拟网络上托管的服务。
我们建议在中心辐射型体系结构的中心虚拟网络中设置 VPN 网关。 有关设置 VPN 网关的详细分步指南,请参阅 教程:创建网关门户。
使用站点到站点连接
如果用户已连接到本地网络环境,并且应将连接扩展到 Azure,则可以使用站点到站点连接来连接本地和 Azure 连接中心。 与 VPN 隧道连接一样,站点到站点连接允许将连接扩展到 Azure 环境。 这样,连接到企业网络的用户就可以私下连接到 Azure 租户内虚拟网络上托管的服务。
建议使用 Azure 原生的 ExpressRoute 方法来实现此类连接。 建议在中心和分支架构的中心虚拟网络中设置 ExpressRoute 网关。 有关设置 ExpressRoute 连接的详细分步指南,请参阅 教程:使用 Azure 门户为 ExpressRoute 线路创建和修改对等互连。