Azure Bastion ile RDP ve SSH bağlantısını uygun ölçekte yönetme

Uzaktan bağlantıyı uygun ölçekte güvenli bir şekilde yönetin

Güvenlik, bulut hizmetlerine kullanıcı ve yönetici bağlantısında ön plandadır. Kuruluşlar görev açısından kritik uygulamaları buluta taşımaya devam ettikçe, güvenli, ölçeklenebilir ve güvenilir uzaktan genel bağlantı ve jumpbox hizmetlerine olan ihtiyaç artar. Bu geçişle, kuruluşlar uygulamalarını çalıştıran sanal makinelerde (VM’ler) ve bulut altyapısında genel IP adreslerini açığa çıkarmaktan uzaklaşıyor ve bunun yerine kullanıcı bağlantısını kolaylaştırmak için yönetilen jumpbox hizmetlerine güveniyor. Temel olarak, uzaktan bağlantı ve yönetilen jumpbox hizmetlerinin dört temel özellik sağlaması gerekir:

  1. Genel IP adreslerinin ve giriş noktalarının hedef uygulamalara maruz kalmasını en aza indiren güvenli genel erişim.
  2. Yerel veya bağlı Sanal (özel) Ağlar arasında bağlantıyı yöneten tek dağıtımlar.
  3. Eşzamanlı uzak bağlantı sayısını yöneten altyapı ölçeklendirme yetenekleri.
  4. Uzaktan bağlantıyı kolaylaştıran altyapıyla ilgili ölçümler, izleme ve uyarı.

Güvenli genel erişim

Geleneksel (şirket içi) atlama kutusu çözümleri genellikle yarı güvenilir bir yönetim ağına dağıtılır. Bu ağ, uygulama hizmetleri ve özel uç noktaları içeren yerel ağdan ayrıdır. Jumpbox çözümünün genel IP adresi yönetim ağında tanımlanır ve hedef yerel ağdaki uygulamalara ve özel uç noktalara bağlantı bir sanal özel ağ (VPN) çözümü aracılığıyla etkinleştirilir. Kullanıcılar daha sonra yönetim ağındaki jumpbox çözümünün özel IP adresine bağlanır ve VPN bağlantısı üzerinden hedef uygulamaya uzaktan bağlantı kurar. Alternatif olarak, bazı kuruluşlar uygulamaları yönetim ağına dağıtır ve hedef uygulamaları barındıran VM’lerde genel IP adreslerini gösterir ve kullanıcılar doğrudan uygulamaya Uzak Masaüstü Protokolü (RDP) ve Güvenli Kabuk (SSH) bağlantıları kurar. Ancak, bu yaklaşım, uzak kullanıcı bağlantısı gerektiren herhangi bir VM’ye genel IP adreslerini ölçeklendirerek olası saldırı yüzeyini genişletiyor. Sonuçta, güvenilir ve güvenli erişim ihtiyacı kurumsal iş yükleri için kritik öneme sahiptir.

Azure Bastion, herhangi bir yerel veya eşlenen Azure Sanal Ağlarında dağıtılan VM’lere güvenli RDP ve SSH bağlantısı sağlayan, hizmet olarak tam olarak yönetilen bir atlama kutusudur. Uzaktan bağlantı, doğrudan Azure Portal’dan, bir aktarım katmanı güvenliği (TLS) bağlantısı üzerinden Azure Bastion’un genel IP adresine kurulur. Buradan Azure Bastion, yerel veya eşlenen Sanal Ağ’daki hedef VM’lerin özel IP adresine RDP ve SSH oturumları oluşturur. Müşteriler Sanal Ağlarına ek VM’ler dağıttıkça, Azure Bastion tek bir genel IP adresi kullanarak hem mevcut hem de yeni yapılandırılmış VM’lere uzaktan bağlantıyı kolaylaştırır. Ayrıca, müşteriler Ağ Güvenlik Gruplarını (NSG’ler) Azure Bastion’un genel IP adresine gelen genel erişimi kısıtlayarak daha güvenli bir erişim çevresi oluşturacak şekilde yapılandırabilir.

Azure Bastion Mimarisine Genel Bakış.

Yerel veya bağlı Sanal Ağlar arasında bağlantıyı yöneten tek dağıtım

Modern işletmeler genellikle uygulama hizmetleri oluştururken hub ve bağlı bir topolojiden yararlanr. Bu tür bir mimari, hub ağındaki yönetim Ağ Sanal Gereçleri (NVAs) ve jumpbox hizmetlerini merkezileştirir ve uygulamalar bağlı bağlı bağlı ağlara dağıtılır. Uygulama trafiği daha sonra hedef bağlı uygulamaya ulaşmadan önce hub ağından geçer.

Azure Bastion ve Sanal Ağ eşlemesi sayesinde müşteriler, Azure içindeki hub ve bağlı ağ mimarisinden uzaktan bağlantıyı kolaylaştırmaya devam edebilir. Özellikle, müşteriler Azure Bastion’ı bir hub Sanal Ağına dağıtabilir ve bağlı ağlardaki uygulama VM’lerini yapılandırabilir. Müşteri hub ve bağlı ağ ağları arasında Sanal Ağ eşlemesini yapılandırdıktan sonra Azure Bastion, rdp ve SSH bağlantısını yerel hub Sanal Ağı içindeki VM’lere ve uygulamadaki eşler arası Sanal Ağlar üzerinden yönetebilir.

Hub ve bağlı ağ mimarisi.

Altyapı ölçeklendirme özellikleri

Kuruluşların görev açısından kritik iş yüklerini buluta kaydırmasının başlıca nedenlerinden biri, hizmet olarak platform (PaaS) altyapı ölçeklendirme özelliklerinden yararlanmaktır. Özellikle, bir düğmeye tıklayarak, müşteriler uygulamalarına olan talep veya trafikteki herhangi bir artışı karşılamak için altyapıyı ölçeklendirebilir ve ölçeklendirebilir. Ayrıca, müşteriler bağlı ağlara ek uygulamalar dağıttıkça, hub ağından geçen trafik hacmi artar. Sonuç olarak, hub ağına dağıtılan NVA’ları ve jumpbox hizmetlerini kolaylaştıran altyapının ek iş yüklerine hizmet edecek şekilde ölçeklendirilebilmesi gerekir.

Azure Bastion artık el ile ana bilgisayar ölçeklendirmesini destekliyor. Müşteriler standart bir Azure Bastion dağıttığında, 2 ila 50 ölçek birimi yapılandırabilirler. Ayrıca, müşteriler kaynak oluşturulduktan sonra Azure Bastion yapılandırma dikey penceresindeki örnek sayısını yönetebilir. RDP ve SSH kullanım tabanlı protokollerdir. Eşzamanlı oturumların sayısına ve her oturumun iş yüklerine bağlı olarak, müşterilerin uygulama bağlantısına hizmet etmek için ek örnekleri ölçeklendirmeleri gerekebilir. Özellikle, müşteriler bağlı ağlara ek uygulamalar dağıttıkça ve hub ağına eş ek bağlı ağlardan eş olarak, Azure Bastion bağlantısını korumak için ana bilgisayar örneklerini ölçeklendirmeleri gerekebilir. Sonuçta, hem Sanal Ağ eşlemesi hem de ana bilgisayar ölçeklendirmesinin desteklenmesi, Azure Bastion’ın uzak bağlantıyı genel olarak yönetmesini sağlar.

Ölçüm izleme ve uyarı

Bulut hizmetlerinin bir diğer önemli avantajı, hizmet olarak altyapı (IaaS) ve PaaS kaynaklarının performansı, kullanılabilirliği ve trafiği hakkında neredeyse gerçek zamanlı ölçümler, izleme ve uyarıdır. Kuruluşlar genellikle performans sorunlarını proaktif olarak algılamak ve daha da önemlisi, olası kesintilerden önce uygulama talebi arttıkça altyapı hizmetlerini ölçeklendirmek için bu üç kategorideki ölçümlerde özel uyarıyı izler ve etkinleştirir.

Azure Bastion ve Azure İzleyici ile müşteriler kullanılabilirlik, performans ve trafik ölçümleri arasında uyarıyı etkinleştirebilir. Bu özelliklerle müşteriler, ana bilgisayar örneklerinin ne zaman ölçeklendirilmesini ölçmek için merkezi işlem birimi (CPU) kullanımını, bellek kullanımını, oturum sayısını ve ana bilgisayar örneğine göre bölmeyi izleyebilir.

Desteklenen ölçümlerin tam görünümü için Azure İzleyici’yi kullanarak Azure Bastion için izleme ve ölçümlerin nasıl yapılandırılacağına bakın.

Azure İzleyicisi'ne göre Azure Bastion için İzleme ve Ölçümler.

Bir düğmeyi tıklatarak altyapıyı dağıtma, yönetme ve izleme

Azure Bastion’daki bu değişikliklerle, müşteriler artık uygulamalara güvenli uzaktan bağlantıyı uygun ölçekte güvenilir bir şekilde yönetebilecek. İşletmeler üretim iş yüklerini buluta kaydırmaya devam ettikçe, bulut sağlayıcılarının temel platform avantajlarını müşterilere sunan PaaS tekliflerine yatırım yapması zorunludur. Sonuç olarak, kuruluşlar bir düğmeye tıklayarak altyapıyı dağıtabilmeli, yönetebilmeli ve izleyebilmeli ve daha önce altyapı yönetimi için harcanan çabayı uygulama geliştirmeye yeniden tahsis edebilmelidir.

 

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Fill out this field
Fill out this field
Lütfen geçerli bir e-posta adresi girin.
You need to agree with the terms to proceed

Menü