Connettersi agli ambienti privatamente

  • Articolo

L'architettura di riferimento è protetta in base alla progettazione. Usa un approccio di sicurezza a più livelli per superare i rischi comuni di esfiltrazione dei dati causati dai clienti. È possibile usare determinate funzionalità a livello di rete, identità, dati e servizio per definire controlli di accesso specifici ed esporre solo i dati necessari agli utenti. Anche se alcuni di questi meccanismi di sicurezza non funzionano, le funzionalità consentono di proteggere i dati all'interno della piattaforma a livello aziendale.

Le funzionalità di rete, ad esempio gli endpoint privati e l'accesso alla rete pubblica disabilitato, possono ridurre notevolmente la superficie di attacco di una piattaforma dati di un'organizzazione. Anche se queste funzionalità sono abilitate, è necessario tuttavia adottare ulteriori precauzioni per connettersi correttamente a servizi come account di archiviazione di Azure, aree di lavoro Azure Synapse, Azure Purview o Azure Machine Learning dalla rete Internet pubblica.

Questo documento descrive le opzioni più comuni per la connessione ai servizi all'interno di una zona di destinazione per la gestione dei dati o una zona di destinazione dei dati in modo semplice e sicuro.

Informazioni su host e jumpbox Azure Bastion

La soluzione più semplice consiste nell'ospitare un jumpbox nella rete virtuale della zona di destinazione per la gestione dei dati o della zona di destinazione dei dati per connettersi ai servizi dati attraverso endpoint privati. Un jumpbox è una macchina virtuale di Azure che esegue Linux o Windows e a cui gli utenti possono connettersi con RDP (Remote Desktop Protocol) o SSH (Secure Shell).

In precedenza, le macchine virtuali jumpbox dovevano essere ospitate con indirizzi IP pubblici per abilitare le sessioni RDP e SSH dalla rete Internet pubblica. I gruppi di sicurezza di rete (NSG) possono essere usati per bloccare ulteriormente il traffico per consentire le connessioni solo da un set limitato di IP pubblici. Tuttavia, questo approccio ha comportato l'esposizione di un indirizzo IP pubblico dall'ambiente di Azure, con il conseguente aumento della superficie di attacco di un'organizzazione. In alternativa, i clienti potrebbero aver usato le regole DNAT nel proprio Firewall di Azure per esporre la porta SSH o RDP di una macchina virtuale alla rete Internet pubblica, con rischi di sicurezza simili.

Oggi, anziché esporre pubblicamente una macchina virtuale, è possibile fare affidamento su Azure Bastion come alternativa più sicura. Azure Bastion offre una connessione remota sicura dal portale di Azure alle macchine virtuali di Azure su Transport Layer Security (TLS). Azure Bastion deve essere configurato in una subnet dedicata (subnet con nome AzureBastionSubnet) nella zona di destinazione dei dati di Azure o nella zona di destinazione per la gestione dei dati di Azure. È quindi possibile usarlo per connettersi a qualsiasi macchina virtuale in tale rete virtuale o a una rete virtuale con peering direttamente dal portale di Azure. Non è necessario installare altri client o agenti in alcuna macchina virtuale. È possibile usare i gruppi di sicurezza di rete per consentire RDP e SSH solo da Azure Bastion.

Diagramma dell'architettura di rete di Azure Bastion.

Azure Bastion offre alcuni altri vantaggi principali per la sicurezza, tra cui:

  • Il traffico avviato da Azure Bastion alla macchina virtuale di destinazione rimane all'interno della rete virtuale del cliente.
  • Si ottiene protezione dall'analisi delle porte, perché le porte RDP, le porte SSH e gli indirizzi IP pubblici non vengono esposti pubblicamente per le macchine virtuali.
  • Azure Bastion contribuisce a proteggere il sistema dagli exploit zero-day. Essendo posizionato nel perimetro della rete virtuale, Poiché si tratta di una piattaforma distribuita come servizio (PaaS), la piattaforma Azure mantiene Azure Bastion aggiornato.
  • Il servizio si integra con le appliance di sicurezza native per una rete virtuale di Azure, ad esempio Firewall di Azure.
  • Azure Bastion può essere usato per monitorare e gestire le connessioni remote.

Per altre informazioni, vedere Informazioni su Azure Bastion.

Distribuzione

Per semplificare il processo per gli utenti, è disponibile un modello Bicep/ARM che consente di creare rapidamente questa configurazione all'interno della zona di destinazione della gestione dei dati o della zona di destinazione dei dati. Usare il modello per creare la configurazione seguente all'interno della sottoscrizione:

Diagramma dell'architettura di Azure Bastion.

Per distribuire l'host Bastion manualmente, selezionare il pulsante Distribuisci in Azure:

Distribuisci in Azure

Quando si distribuiscono Azure Bastion e un jumpbox usando il pulsante Distribuisci in Azure, è possibile specificare lo stesso prefisso e lo stesso ambiente che si usano nella zona di destinazione dei dati o nella zona di destinazione per la gestione dei dati. Questa distribuzione non presenta conflitti e funge da componente aggiuntivo per la zona di destinazione dei dati o la zona di destinazione per la gestione dei dati. È possibile aggiungere manualmente altre macchine virtuali per consentire a più utenti di lavorare all'interno dell'ambiente.

Connettersi alla VM

Dopo la distribuzione, si noterà che sono state create due subnet aggiuntive nella rete virtuale della zona di destinazione dei dati.

Screenshot delle subnet azure Bastion e Jumpbox.

Inoltre, si troverà un nuovo gruppo di risorse all'interno della sottoscrizione, che include la risorsa Azure Bastion e una macchina virtuale:

Screenshot di un elenco di gruppi di risorse di Azure Bastion.

Per connettersi alla macchina virtuale usando Azure Bastion, eseguire le operazioni seguenti:

  1. Selezionare la macchina virtuale, ad esempio dlz01-dev-bastion, selezionare Connetti e quindi Bastion.

    Screenshot del riquadro Panoramica per la connessione a una macchina virtuale usando Azure Bastion.

  2. Selezionare il pulsante blu Usa Bastion.

  3. Immettere le credenziali e quindi selezionare Connetti.

    Screenshot del riquadro

    La sessione RDP si apre in una nuova scheda del browser, da cui è possibile avviare la connessione ai servizi dati.

  4. Accedere al portale di Azure.

  5. Passare all'area di lavoro {prefix}-{environment}-product-synapse001 di Azure Synapse all'interno del gruppo di risorse {prefix}-{environment}-shared-product per l'esplorazione dei dati.

    Screenshot dell'area di lavoro 'Synapse' nella portale di Azure.

  6. Nell'area di lavoro di Azure Synapse caricare un set di dati di esempio dalla raccolta, ad esempio il set di dati NYC Taxi, e quindi selezionare Nuovo script SQL per eseguire query su TOP 100 righe.

    Screenshot del riquadro Synapse Analytics per connettersi a un nuovo script SQL.

Se tutte le reti virtuali sono state associate tra loro, è necessario un solo jumpbox in una zona di destinazione dei dati per accedere ai servizi in tutte le zone di destinazione dei dati e le zone di destinazione per la gestione dei dati.

Per informazioni sui motivi per cui è consigliabile questa configurazione di rete, vedere le considerazioni sull'architettura di rete. È consigliabile un massimo di un servizio Azure Bastion per ogni zona di destinazione dei dati. Se più utenti richiedono l'accesso all'ambiente, è possibile aggiungere altre macchine virtuali di Azure alla zona di destinazione dei dati.

Usare le connessioni da punto a sito

In alternativa, è possibile connettere gli utenti alla rete virtuale usando connessioni da punto a sito. Una soluzione nativa di Azure per questo approccio consiste nel configurare un gateway VPN per consentire le connessioni VPN tra gli utenti e il gateway VPN attraverso un tunnel crittografato. Dopo aver stabilito la connessione, gli utenti possono iniziare a connettersi privatamente ai servizi ospitati nella rete virtuale all'interno del tenant di Azure. Questi servizi includono gli account di archiviazione di Azure, Azure Synapse Analytics e Azure Purview.

È consigliabile configurare il gateway VPN nella rete virtuale hub dell'architettura hub-spoke. Per istruzioni dettagliate sulla configurazione di un gateway VPN, vedere Esercitazione: Creare un portale gateway.

Usare le connessioni da sito a sito

Se gli utenti sono già connessi all'ambiente di rete locale e la connettività deve essere estesa ad Azure, è possibile usare connessioni da sito a sito per connettere l'hub di connettività locale e di Azure. Analogamente a una connessione al tunnel VPN, la connessione da sito a sito consente di estendere la connettività all'ambiente di Azure. In questo modo, gli utenti connessi alla rete aziendale possono connettersi privatamente ai servizi ospitati nella rete virtuale all'interno del tenant di Azure. Questi servizi includono gli account di archiviazione di Azure, Azure Synapse e Azure Purview.

L'approccio nativo di Azure consigliato a tale connettività è l'uso di ExpressRoute. È consigliabile configurare un gateway ExpressRoute nella rete virtuale hub dell'architettura hub-spoke. Per istruzioni dettagliate sulla configurazione della connettività ExpressRoute, vedere Esercitazione: Creare e modificare i peering per un circuito ExpressRoute usando il portale di Azure.

Passaggi successivi

Domande frequenti di livello aziendale