私下連線至環境
參考架構是安全設計。 採用多層式安全性方法,以克服客戶經常引起的資料外流風險。 您可以在網路、身分識別、資料和服務層上使用某些功能,以定義特定的存取控制,只將必要的資料公開給使用者。 即使其中某些安全性機制失敗,這些功能仍有助於確保企業規模平台內的資料很安全。
私人端點和停用的公用網路存取等網路功能,可大幅減少組織資料平台的受攻擊面。 不過,即使啟用這些功能,您還是必須採取額外的預防措施,才能成功從公用網際網路連線至服務,例如 Azure 儲存體帳戶、Azure Synapse Analytics 工作區、Azure Purview 或 Azure Machine Learning。
本文件說明最常見的選項,以簡單又安全地連線至資料管理登陸區域或資料登陸區域內的服務。
關於 Azure Bastion 主機和 Jumpbox
最簡單的解決方案是在資料管理登陸區域或資料登陸區域的虛擬網路上裝載 Jumpbox,以透過私人端點來連線至資料服務。 Jumpbox 是執行 Linux 或 Windows 的 Azure 虛擬機器 (VM),可供使用者透過遠端桌面通訊協定 (RDP) 或安全殼層 (SSH) 來連線。
以往,Jumpbox VM 必須裝載於公用 IP,才能從公用網際網路啟用 RDP 和 SSH 工作階段。 可使用網路安全性群組 (NSG) 來進一步封鎖流量,只允許來自少數幾個公用 IP 的連線。 但此方法意味著必須從 Azure 環境公開公用 IP,這導致組織的受攻擊面增加。 或者,客戶可能在 Azure 防火牆中使用 DNAT 規則,將 VM 的 SSH 或 RDP 連接埠公開給公用網際網路,這可能導致類似的安全性風險。
現在,您可以依賴 Azure Bastion 作為更安全的替代方案,不必公開 VM。 Azure Bastion 透過傳輸層安全性 (TLS),提供從 Azure 入口網站至 Azure VM 的安全遠端連線。 在 Azure 資料登陸區域或 Azure 資料管理登陸區域中的專用子網路上 (名稱為 AzureBastionSubnet 的子網路),應該設定 Azure Bastion。 這就可以用來直接從 Azure 入口網站,連線至該虛擬網路或對等互連虛擬網路上的任何 VM。 任何 VM 上都不需要安裝任何額外的用戶端或代理程式。 同樣地,您可以使用 NSG 只允許來自 Azure Bastion 的 RDP 和 SSH。
Azure Bastion 提供一些其他核心安全性優點,包括:
- 從 Azure Bastion 起始到目標 VM 的流量保持在客戶虛擬網路內。
- 因為不公開 VM 的 RDP 連接埠、SSH 連接埠和公用 IP 位址,所以可防止連接埠掃描。
- Azure Bastion 有利於對抗零時差攻擊。 其位在虛擬網路附近。 因為是平台即服務 (PaaS),Azure 平台會將 Azure Bastion 保持最新。
- 此服務與 Azure 虛擬網路的原生安全性設備 (例如 Azure 防火牆) 整合。
- Azure Bastion 可用來監視和管理遠端連線。
如需詳細資訊,請參閱什麼是 Azure Bastion?。
部署
為了簡化使用者的程式,有 Bicep/ARM 範本可協助您在資料管理登陸區域或資料登陸區域內快速建立此設定。 使用此範本在訂用帳戶內建立下列設定:
若要自行部署堡壘主機,請選取 [部署至 Azure] 按鈕:
當您透過 [部署至 Azure] 按鈕來部署 Azure Bastion 和 Jumpbox 時,可提供您在資料登陸區域或資料管理登陸區域中使用的相同前置詞和環境。 此部署沒有衝突,只當作資料登陸區域或資料管理登陸區域的附加元件。 您可以手動新增其他 VM,讓更多使用者在環境內工作。
連接至 VM
部署之後,您會發現資料登陸區域虛擬網路上已建立兩個額外的子網路。
此外,您會在訂用帳戶內找到新的資源群組,其中包括 Azure Bastion 資源和虛擬機器:
若要使用 Azure Bastion 來連線至 VM,請執行下列動作:
選取 VM (例如 dlz01-dev-bastion)、選取 [連線],然後選取 [堡壘]。
![使用 Azure Bastion 連線至 VM 的 [概觀] 窗格螢幕擷取畫面。](../images/bastion-connect-to-vm.png)
選取藍色 [使用堡壘] 按鈕。
輸入認證,然後選取 [連線]。
![[使用 Azure Bastion 連線] 窗格的螢幕擷取畫面,以使用您的認證登入來連線到您的 VM。](../images/bastion-enter-credentials.png)
RDP 工作階段會在新的瀏覽器索引標籤中開啟,供您開始連線至資料服務。
登入 Azure 入口網站。
移至
{prefix}-{environment}-shared-product資源群組內的{prefix}-{environment}-product-synapse001Azure Synapse Analytics 工作區以探索資料。![Azure 入口網站中 [Synapse 工作區] 的螢幕擷取畫面。](../images/dev-shared-product-synapse.png)
在 Azure Synapse Analytics 工作區中,從資源庫載入範例資料集 (例如 NYC 計程車資料集),然後選取 [新增 SQL 指令碼] 來查詢
TOP 100資料列。
![[使用 Azure Bastion 連線] 窗格的螢幕擷取畫面,以使用您的認證登入來連線到您的 VM。](../images/bastion-enter-credentials.png#lightbox)
![Azure 入口網站中 [Synapse 工作區] 的螢幕擷取畫面。](../images/dev-shared-product-synapse.png#lightbox)
如果所有虛擬網路彼此都已對等互連,則一個資料登陸區域中只需要單一 Jumpbox,就能跨所有資料登陸區域和資料管理登陸區域來存取服務。
若要了解我們為什麼建議此網路設定,請參閱網路架構考量。 我們建議每個資料登陸區域最多一個 Azure Bastion 服務。 如果有更多使用者需要存取環境,您可以將額外的 Azure VM 新增至資料登陸區域。
使用點對站連線
或者,您可以使用點對站連線將使用者連線到虛擬網路。 此方法的 Azure 原生解決方案是設定 VPN 閘道,以允許使用者與 VPN 閘道之間透過加密通道建立 VPN 連線。 建立連線之後,使用者就可以開始私下連線至 Azure 租用戶內裝載於虛擬網路的服務。 這些服務包括 Azure 儲存體帳戶、Azure Synapse Analytics 和 Azure Purview。
建議您在中樞與輪輻架構的中樞虛擬網路中設定 VPN 閘道。 如需有關設定 VPN 閘道的詳細逐步指導,請參閱教學課程:建立閘道入口網站。
使用站對站連線
如果使用者已連線至內部部署網路環境,而且連線應該延伸至 Azure,您可以使用站對站連線來連線至內部部署和 Azure 連線中樞。 就像 VPN 通道連線,站對站連線可讓您將連線能力延伸至 Azure 環境。 這樣可讓連線至公司網路的使用者,私下連線至 Azure 租用戶內裝載於虛擬網路的服務。 這些服務包括 Azure 儲存體帳戶、Azure Synapse Analytics 和 Azure Purview。
對這種連線能力,建議的 Azure 原生方法是使用 ExpressRoute。 建議您在中樞與輪輻架構的中樞虛擬網路中設定 ExpressRoute 閘道。 如需有關設定 ExpressRoute 連線能力的詳細逐步指導,請參閱教學課程:使用 Azure 入口網站建立和修改 ExpressRoute 線路的對等互連。