Mettere in sicurezza le macchine virtuali con Azure Bastion

Immaginate che il vostro ambiente cloud abbia alcune Virtual Machine su Microsoft Azure usate per carichi di lavoro pesanti dai Data Analyst.

Immaginate che queste Virtual Machine abbiano un indirizzo IP pubblico.

Immaginate che espongano una porta RDP per consentire le connessioni.

Per migliorare la postura di sicurezza di Azure, questo articolo analizza l’uso di Azure Bastion per eliminare l’uso diretto di RDP e l’esposizione di un IP pubblico.

Obiettivi

  • Capire le funzionalità di Azure Bastion
  • Migliorare la sicurezza nell’ambiente Azure

Analisi

Azure Bastion è un servizio che si distribuisce e che permette di connettersi a una virtual machine usando il browser e il portale Azure, oppure tramite il client SSH o RDP nativo già installato sul proprio computer. Il servizio Azure Bastion è un PaaS completamente gestito dalla piattaforma, che si effettua il provisioning all’interno della propria virtual network. Fornisce connettività RDP/SSH sicura e senza interruzioni verso le virtual machine direttamente dal portale Azure, tramite TLS. Quando ci si connette via Azure Bastion, le virtual machine non hanno bisogno di un indirizzo IP pubblico, di un agent, o di software client speciale.

Bastion fornisce connettività RDP e SSH sicura a tutte le VM presenti nella virtual network in cui viene effettuato il provisioning. Usare Azure Bastion protegge le vostre virtual machine dall’esporre porte RDP/SSH verso l’esterno, mantenendo comunque un accesso sicuro tramite RDP/SSH.

Alcuni dei vantaggi di Azure Bastion:

RDP e SSH tramite il portale Azure

  • Potete accedere alla sessione RDP e SSH direttamente dal portale Azure con un’esperienza fluida e a un solo click.
  • Migliore auditing, anche se la virtual machine ha un singolo service account: l’accesso al portale Azure avviene tramite credenziali AD/nominali

Nessun indirizzo IP pubblico richiesto

  • Azure Bastion apre la connessione RDP/SSH verso la vostra VM Azure usando l’indirizzo IP privato della VM.
  • Nessuna esposizione delle virtual machine su internet

Gestione migliore

  • Non serve applicare NSG alla subnet di Azure Bastion. Poiché Azure Bastion si connette alle vostre virtual machine tramite IP privato, potete configurare gli NSG per consentire RDP/SSH solo da Azure Bastion.
  • Non serve gestire i Network Security Group

Protezione di sicurezza

  • Le virtual machine sono protette dal port scanning
  • L’hardening è centralizzato
  • Approccio zero-trust con separazione a livello di rete

Attualmente nel vostro ambiente cloud ci sono 11 (undici) Virtual Machine con RDP esposto su internet (ognuna con il proprio indirizzo IP pubblico):

Conclusioni

Azure Bastion migliora la postura di sicurezza dell’ambiente cloud Azure, e la sua attivazione non dovrebbe avere alcun impatto sugli Analyst.

Inoltre, nell’ottica di migliorare l’infrastruttura Azure, pone le basi per un auditing migliore relativo all’uso di quell’infrastruttura.

Riferimenti