Ensure an Azure Bastion Host Exists

Γιατί Είναι Σημαντικό

Η έκθεση του Πρωτοκόλλου Απομακρυσμένης Επιφάνειας Εργασίας (RDP) στη θύρα 3389 ή του Secure Shell (SSH) στη θύρα 22 απευθείας στο διαδίκτυο δημιουργεί μια σημαντική επιφάνεια επίθεσης για επιθέσεις ωμής βίας και κλοπής διαπιστευτηρίων. Το Azure Bastion εξαλείφει αυτούς τους κινδύνους παρέχοντας πρόσβαση με ασφάλεια TLS μέσω της Azure Portal, επιβάλλοντας έλεγχο ταυτότητας Azure Active Directory, Multi-Factor Authentication και πολιτικές Conditional Access για όλες τις συνδέσεις εικονικών μηχανών. Χωρίς το Bastion, οι διαχειριστές πρέπει είτε να εκχωρούν δημόσιες διευθύνσεις IP σε εικονικές μηχανές είτε να βασίζονται σε πολύπλοκες διαμορφώσεις jump box, οι οποίες αυξάνουν το φόρτο ασφαλείας και την έκθεση.

Τι Ελέγχει το Aether365

Αυτός ο έλεγχος επαληθεύει ότι τουλάχιστον ένας κεντρικός υπολογιστής Azure Bastion έχει αναπτυχθεί και είναι ενεργός στη συνδρομή σας Azure. Το Aether365 σαρώνει τους πόρους δικτύου σας και αναφέρει την κατάσταση ανάπτυξης του Bastion στον πίνακα ελέγχου, στην ενότητα azure-bastion security checks.

Πώς να το Διορθώσετε

1. Ανοίξτε την Azure Portal και μεταβείτε στις επιλογές Bastions.
2. Επιλέξτε τη συνδρομή (Subscription) και την ομάδα πόρων (Resource group) σας.
3. Εισαγάγετε ένα όνομα για τον νέο κεντρικό υπολογιστή Bastion και επιλέξτε μια περιοχή (Region).
4. Για το επίπεδο (Tier), επιλέξτε Standard (συνιστάται για περιβάλλοντα παραγωγής).
5. Προσαρμόστε το πλήθος στιγμιοτύπων (Instance count) χρησιμοποιώντας το ρυθμιστικό ανάλογα με τις απαιτήσεις φόρτου.
6. Επιλέξτε ένα υπάρχον εικονικό δίκτυο (Virtual network) ή δημιουργήστε ένα νέο που περιλαμβάνει ένα υποδίκτυο με όνομα AzureBastionSubnet και εύρος CIDR /26.
7. Εάν το υποδίκτυο δεν υπάρχει, δημιουργήστε το τώρα με όνομα AzureBastionSubnet και χώρο διευθύνσεων /26.
8. Διαμορφώστε τη δημόσια διεύθυνση IP (Public IP address): επιλέξτε Create new και δώστε ένα όνομα ή επιλέξτε Use existing και επιλέξτε μια IP από τη λίστα.
9. Κάντε κλικ στο Next: Tags και προσθέστε τυχόν απαιτούμενες ετικέτες.
10. Κάντε κλικ στο Next: Advanced και διαμορφώστε επιλογές όπως υποστήριξη εγγενούς πελάτη (native client support) ή καταγραφή περιόδου λειτουργίας (session recording) ανάλογα με τις ανάγκες.
11. Κάντε κλικ στο Review + create και στη συνέχεια στο Create για αναπτύξετε τον κεντρικό υπολογιστή Bastion.

Σημείωση: Το επίπεδο Standard συνεπάγεται επιπλέον κόστος αλλά παρέχει δυνατότητες όπως κλιμάκωση, υποστήριξη εγγενούς πελάτη και έλεγχο ταυτότητας Kerberos. Το επίπεδο Basic είναι πιο περιορισμένο και συνιστάται μόνο για ανάπτυξη ή δοκιμές.

Συμμόρφωση

• CIS Microsoft Azure Foundations 3.0.0 Ενότητα 8.1 (Επίπεδο 2)
• EIDSCA (Enterprise Infrastructure and Data Security Compliance Assessment) – Απαίτηση ανάπτυξης Azure Bastion
• CISA (Cybersecurity and Infrastructure Security Agency) – Οδηγίες Ασφαλούς Cloud Αρχιτεκτονικής

Σχετικοί Πόροι

• Επισκόπηση Azure Bastion και σύγκριση SKU
• Cmdlet PowerShell Get-AzBastion
• Εντολές Azure CLI bastion

Microsoft references

• Bastion overview
• Get azbastion
• Bastion