ما هو Azure Bastion وعمله؟ – سبوتو

في هذه المدونة، سأقوم بتقديم خدمة تسمى Azure Bastion ومناقشة المزيد حول عمل هذا المنتج وبنيته ولماذا ومتى يتم استخدامه. هذا منتج مهم يستخدم على نطاق واسع لزيادة أمان البنية التي يمتلكها العميل على السحابة. علاوة على ذلك، هذا هو الموضوع الذي تحضره لشهادتي AZ 305 و AZ 700.
عندما يقوم العملاء بنشر مواردهم في Azure ويرغبون في الوصول إلى هذا المورد، هناك العديد من الطرق للقيام بذلك. إحدى هذه الطرق هي الوصول إلى الموارد باستخدام الإنترنت باستخدام عنوان IP العام للمورد. طريقة أخرى هي استخدام VPN (الشبكة الافتراضية الخاصة) أو P2S (نقطة إلى موقع) وهي طريقة آمنة للوصول إلى المورد. ولكن المشكلة مع VPN و P2S هي أن كلاهما يحتاج إلى بوابة شبكة افتراضية خاصة (VPN) و P2S والتي يتم تحصيل رسوم على كل ساعة للنشر وقد تزداد التكلفة بناءً على كمية حركة المرور التي يتم إرسالها عبر البوابة. عامل آخر هو أن هذا الإعداد سيحتاج إلى تهيئة من جانب العميل مما يزيد من التكلفة الإدارية.
نظرًا لأن الوصول إلى المورد عبر الإنترنت هو خيار أبسط وأرخص، فإن الأمان هو مصدر قلق كبير. دعني أشرح لك كيف أن تعريض منفذ SSH أو RDP الخاص بالخادم للإنترنت أمر محفوف بالمخاطر. يتزايد عدد الهجمات التي تتجه نحو الخوادم على السحابة يومًا بعد يوم، ومن المهم عدم تعريض منافذ RDP و SSH الخاصة بخدماتك المهمة للإنترنت على نطاق واسع. لذا، فإن الطريقة التي يصمم بها المهندسون المعماريون النظام هي من خلال إنشاء منطقة منزوعة السلاح مكشوفة للإنترنت ولن تتعرض الخوادم الحرجة التي هي جزء من الشبكة للإنترنت. لذا، فإن الوصول إلى الخوادم سيحدث عبر الخادم المتخصص في المنطقة المنزوعة السلاح التي تسمى صندوق القفز.
مربعات الانتقال السريع هي الخوادم التي عادةً ما تكون أجهزة افتراضية مكشوفة للإنترنت. والآن، المشكلة في صندوق القفزة هي أن الخادم يحتاج إلى إدارته وتصحيحه من قبل العملاء. من أجل حل هذه المشكلة، ابتكرت Azure منتجًا يسمى Azure Bastion وهو عبارة عن صندوق قفزة مُدار من Microsoft كخدمة.
باستخدام هذا Bastion، يمكن للمرء الوصول إلى الجهاز الظاهري دون استخدام عنوان IP عام. يمكن الوصول إلى RDP أو SSH عبر المتصفح مما يسهل الأمر على المستخدمين الذين يستخدمون أنظمة تشغيل مختلفة. نظرًا لأن الجلسة بأكملها تحدث عبر TLS، فيمكنها تجاوز جدار الحماية ولا يرغب المستخدمون في الاتصال بالمسؤول للسماح بالوصول إلى RDP أو SSH في أماكن عملهم. نظرًا لأن الجهاز الظاهري غير مكشوف للإنترنت مباشرة، يمكن منع هجمات مسح المنافذ.
عندما يكون الجهاز الظاهري مكشوفاً للإنترنت ومن أجل تأمين الخادم، سيستخدم المسؤول مجموعات أمان الشبكة لتقوية الخادم. هذه عملية تستغرق وقتًا طويلاً وهناك تغييرات في الخطأ البشري تؤدي إلى تعريض الخادم للإنترنت. مع Azure Bastion، يمكن أن يكون لدينا مكان مركزي حيث يمكن للمستخدم تنفيذ متطلبات أمان الشبكة ويجعل الإدارة سهلة. سيتمكن Bastion من الصمود أمام أي هجوم من هذا القبيل.
ما الفوائد التي يقدمها Azure Bastion؟
يستفيد المستخدمون من خادم قفزة مُدار مع Azure Bastion، والذي يعمل كنقطة وصول واحدة لمواردهم. وخلافًا للطرق البديلة، لا يحتاج العملاء إلى التعامل مع تكوينات الشبكة الافتراضية الخاصة المعقدة أو استخدام عنوان IP العام لخادم القفز الافتراضي لخادم القفز الافتراضي، والذي يكون مرئيًا للإنترنت. فيما يلي بعض المزايا الأخرى لاستخدام Azure Bastion.
داخل بوابة Azure Portal، يمكن للمستخدمين RDP وSSH مباشرة.
يمكن الوصول الآمن إلى الجلسات البعيدة عبر HTML5 (HTTPS/443).
ليس من الضروري أن يكون لديك عنوان IP عام متصل مباشرةً بالإنترنت لاستخدام أجهزة Azure الافتراضية.
لن تحتاج المؤسسات التي تستخدم الحل (NSG) إلى إدارة مجموعات أمان الشبكة.
ليست هناك حاجة لاجتياز جدار الحماية عند استخدام RDP/SSH.
متى يجب عليك استخدام Azure Bastion؟
لتحسين أمان الأجهزة الافتراضية التي تعمل على Azure، استخدم Azure Bastion. دعنا نفحص بعض سيناريوهات تطبيق Azure Bastion في Azure.
قد يكون Azure Bastion حلاً إذا كنت تستخدم أجهزة Azure الافتراضية مع اشتراك يمنعك من إعداد اتصال VPN أو مضيف قفز في شبكة Azure vNet.
يمكن أن يكون إعداد Azure Bastion أقل تكلفة من استخدام مضيف قفزة أو خادم Azure الطرفي إذا كان لديك العديد من المسؤولين أو المستخدمين الذين يعملون على نفس المضيف.
بالنسبة للشركات التي تحتاج إلى منح المستخدمين إمكانية الوصول إلى أجهزة افتراضية مستقلة ولكن لا تحتاج إلى منحهم الإذن باستخدام موارد شبكة افتراضية إضافية، قد يكون Azure Bastion حلاً مناسباً.
عندما تحتاج إلى تثبيت مضيف معقل بسرعة لفترة وجيزة من الوقت، فهو الحل الأمثل لتنفيذ إدارة Azure في الوقت المناسب (JIT) دون نشر أجهزة افتراضية دائمة.
كيف يمكنني تثبيت Azure Bastion؟
تتيح بوابة Azure Portal نشر Azure Bastion. يمكن استخدام كل من PowerShell وإعدادات Azure VM الموجودة بالفعل لإنشاء مضيف Bastion.
اتبع الإجراءات الموضحة أدناه لإضافة مضيف Azure Bastion جديد من خلال بوابة Azure.
اختر خيار إنشاء مورد من القائمة أو الصفحة الرئيسية لبوابة Azure.
تصفح السوق وابحث عن Bastion عندما تظهر صفحة جديدة.
حدد نتيجة فئة الشبكات التي تسرد Microsoft كناشر بالنقر عليها.
قم بإنشاء صفحة Bastion، ثم أضف تكوين المورد في الصفحة التالية.
قم بتشغيل النشر بعد انتهاء التحقق من الصحة.
كيف يمكنني الاتصال بـ Azure Bastion؟
يسمح لك جزء الاتصال الخاص ببوابة Azure، والذي يُستخدم للوصول إلى أجهزتك الافتراضية، بإنشاء اتصال بـ Azure Bastion.
بالنسبة للجهاز الظاهري الذي تحتاج إلى الوصول إليه عبر واجهة Azure، انقر فوق اتصال.
في شاشة الاتصال، انقر فوق استخدام Bastion بعد تحديد Bastion من التحديد.
بعد تحديد خيارات الاسم وعنوان IP العام والشبكة الفرعية واسم عنوان IP العام تحقق من المعلومات.
أدخل معلومات تسجيل دخول الجهاز الافتراضي، ثم انقر فوق اتصال.
عندما يتم توجيه جهاز افتراضي من خلال Azure Bastion، سيعرض متصفحك اتصال RDP به.
يأتي Azure Bastion مع وحدتي SKU:
1. أساسي
2. قياسي
تحتوي وحدة SKU الأساسية على الميزات التالية:
1. الاتصال بالأجهزة الافتراضية الموجهة في شبكات افتراضية مختارة
2. الوصول إلى المفاتيح الخاصة لآلة لينكس الافتراضية في Azure Key Vault
3. الاتصال بجهاز لينكس الظاهري باستخدام RDP
4. الاتصال بجهاز ويندوز الظاهري باستخدام SSH
يحتوي SKU القياسي على الميزات التالية:
1. الاتصال بالأجهزة الافتراضية الموجهة في الشبكات الافتراضية المختارة
2. الوصول إلى المفاتيح الخاصة بالآلة الافتراضية لنظام التشغيل Linux في Azure Key Vault
3. الاتصال بجهاز لينكس الظاهري باستخدام SSH
4. الاتصال بجهاز ويندوز الظاهري باستخدام RDP
5. تحجيم المضيف – تتيح زيادة عدد مثيلات المضيف ل Azure Bastion إدارة المزيد من الجلسات المتزامنة. يؤدي تقليل عدد المثيلات إلى تقليل عدد الجلسات المتزامنة المدعومة. يدعم Azure Bastion ما يصل إلى 50 مثيل مضيف.
6. يمكن تعيين منفذ مخصص لجلسات RDP أو SSH.
7. الاتصال بجهاز Linux الظاهري باستخدام RDP
8. الاتصال بجهاز ويندوز الظاهري باستخدام SSH
9. نقل الملفات من الجهاز المحلي إلى آلة أزور الافتراضية.
العمل:
يجب نشر Azure Bastion في شبكة افتراضية VNET مع شبكة فرعية باسم “Azure Bastion Subnet” والتي يجب أن تحتوي على بادئة /26 كحد أدنى. عندما يرغب المستخدم في الاتصال بالجهاز الافتراضي، في صفحة النظرة العامة للجهاز الافتراضي، يحصل المستخدم على خيار باسم اتصال. عند النقر على اتصال، يتسنى للمستخدم اختيار ما إذا كان المستخدم يريد استخدام عنوان IP الخاص أو عنوان IP العام. عند النقر على Bastion، سيحتاج المستخدم إلى اختيار البروتوكول سواءً كان RDP أو SSH بناءً على نظام تشغيل الجهاز الظاهري. وبمجرد اختيار ذلك وتعبئة اسم المستخدم وكلمة المرور، يتم فتح علامة تبويب جديدة حيث يتم تشكيل جلسة RDP/SSH إلى الجهاز الافتراضي الذي تم تحديده.
تتدفق البيانات من المتصفح إلى معقل Azure Bastion عبر HTML5 ثم يتم إنهاؤها في المعقل. استنادًا إلى البروتوكول الذي تم اختياره، ينشئ Bastion اتصالاً جديدًا بالجهاز الافتراضي الموجود في VNET مع البروتوكول المحدد. هذه هي الطريقة التي يمكن للمستخدم الدخول إلى الجهاز الافتراضي باستخدام Azure bastion.
شيء آخر مهم يجب ملاحظته هو أن:
فيما يلي الأدوار المطلوبة من قبل المستخدم للوصول إلى Bastion:
– دور القارئ على الآلة الافتراضية، NIC الذي يحتوي على عنوان IP خاص.
– دور القارئ على مورد Azure Bastion.
– دور القارئ على VNET.
في الوقت الحالي، يُستخدم Azure Bastion للاتصال بجهاز افتراضي يمكن أن يكون نظامًا قائمًا على نظام ويندوز أو لينكس أو مجموعات قياس الجهاز الافتراضي أو أجهزة مختبر Azure Devtest Lab.
يمكن أن تساعد SPOTO في نشر Azure Bastion
يعد Azure Bastion أحد الميزات البارزة لحماية الأجهزة الافتراضية وتبسيط الوصول إليها. إنه حل قوي قائم على النظام الأساسي الأصلي يتخلص من متطلبات الخوادم المنفصلة التي تواجه الإنترنت ويجعل إدارة موارد Azure أكثر بساطة. يمكنك نشر وإدارة موارد Azure الخاصة بك بمساعدة SPOTO، وهو مزود خدمة CSP من المستوى الأول من Microsoft. اتصل بمتخصصي التدريب على شهادات Azure للحصول على المساعدة في خدمات Azure وخططه وعمليات النشر. يمكن الوصول إليهم على مدار الساعة طوال أيام الأسبوع عبر الهاتف والدردشة والبريد الإلكتروني.