Azure Bastion Nedir?

0
214

Geleneksel Azure IaaS mimarilerinde çoğunlukla NSG’ler ile VM ya da Subnet bazlı kurallar yazarak sunucu katmanımızı koruyoruz. Bununla ilgili yönetimsel anlamda sorunlar da yaşadığımız kesin. Önerilen Subnet Mimarisinde Management adında bir Subnet oluşturulması ve tüm sunuculara bunun üzerinden bağlanılması öneriliyor. Bu sunucunun ya da Subnet ‘in adını JumpBox olarak da görmüş olabilirsiniz. Bu küçük bir Subnet’dir, içerisinde bir tane domainde olmayan ve hiçbir veri barındırmayan sunucu bulunur. Herkes bu sunucuya ardından da diğerlerine gider. Ve aralarda NSG’ler vardır. Nispeten güvenliği sağlar bu topoloji ama Windows’un içerisine kadar gelen kişi sizin önceden girdiğiniz şifreleri ele geçirilebilir. Artık bu işler o kadar basitleşti ki bir makale takip ederek daha önce o sunucuda girilen tüm şifreleri bulabilirsiniz.

Azure Bastion Nedir?

Özetle Azure Bastion yukarıda anlattığımız sorunumuzu çözmek için var. Bir JumpBox olarak düşünebilirsiniz. Bastion’ın kelime anlamı kaledir. IaaS katmanınızın güvenliğini sağlamak için var. RDP ve SSH bağlantılarınızı internete direkt olarak açmak yerine bu servis üzerinden açarak IaaS güvenliğinizi sağlıyorsunuz.

RDP ve SSH, müşterilerin Azure iş yüklerine bağlandıkları temel bir yaklaşımdır. Sanal makinelerine bağlanmak için çoğu müşteri sanal makinelerini İnternet’e açar ya da atlama sunucusu (JumpBox) kurar. Aslında kendimizce Bastion servisi kurmuş oluyorduk diyebiliriz.

JumpBox Çözümünden Ne Farkı Var?

Azure Bastion bir PaaS servisidir. İşte sizi tam anlamıyla korunmuş bir IaaS ortamına kovuşturma gücünü buradan alıyor aslında. En önemli fark bu bence. İlk senaryoda Windows Host kurmuştuk ve şifreler ele geçebilir dedik, saldırgan Windows’a kadar geldiyse gerisi onun insafına kalmış.

Nasıl Çalışır?

Azure Bastion, sizin Virtual Networkünüzde çalışır. Bağlantı ihtiyacı olan kişi bu servis üzerinden istediği sunucuya bağlanır. İsteğe göre bağlanacağı sunucuları da belirleyebilirsiniz tabi ki. Her noktada NSG ler vardır ve her şey encrypted olarak devam eder. En önemli fark ise tüm bu bağlantılar tarayıcı içinden gerçekleşir. yani RDP Client çalıştırmazsınız.

NOT:

Tam bu noktada önemli bir konuya da değinmiş olalım. Bu bahsettiğimiz yapıda saldırganın içerden biri olması gerekir ve/veya saldırganın sizin erişim bilgilerinizi biliyor olması lazım. Bazı müşteriler “e portal’a girerse her yere gider o zaman” diye düşünüyor açıkçası. Evet gider. O yüzdendir ki MFA tüm önerilerde karşımıza çıkıyor. Bkz. Security Center 😊

Azure Bastion temel topolojisini aşağıda görebilirsiniz.


Azure Bastion önizlemesinde kullanılabilen temel özellikler şunlardır:

Azure portalından RDP ve SSH: Kolayca, Azure Poral üzerinden RDP ve SSH oturumlarını başlata bilirsiniz.

RDP ve SSH için SSL Üzerinden Bağlantı: HTML5 tabanlı tarayıcılardan, yani tarayıcı içerisinden otomatik olarak RDP ve SSH bağlantınızı başlatırsınız. Asıl marifet burada aslında. RDP client çalıştırmıyorsunuz.

Azure Sanal Makinelerinde Public IP Gerekmez: Azure Bastion, internal IP kullanarak Azure sanal makinenize RDP / SSH bağlantısını açar ve altyapınızın genel İnternet’e maruz kalmasını engeller. Public IP leri kaldırıyoruz yani. Bu hem maliyet avantajı sağlayacak hem de VM’inize direkt bir saldırı olmasını engelleyecektir.

Kolay Güvenlik Kuralı Yönetimi: RDP ve SSH’a yalnızca Azure Bastion’dan izin vermek için NSG üzerinde tek seferlik bir config yapmanız gerekecek. Hepsi bu. Her yeni VM’de kural yazmanız gerekmeyecek.

Port Scanning için Arttırılmış Koruma: Sanal makinelerin genel İnternet’e sınırlı olarak maruz kalması, harici bağlantı noktası taraması gibi tehditlere karşı korunmanıza yardımcı olacaktır.

Zero-day Exploit’lar için Sürekli Güvenlik: Azure Bastion, Microsoft tarafından yönetilen bir hizmettir ve dolayısıyla bilinen güvenlik açıklarına karşı otomatik olarak yama/güncelleme yapılarak sürekli güncel olması sağlanır.

Ayrıca Azure Bastion, genel kullanıma açıldığında Azure AD entegrasyonu, MFA desteği, RDP session record gibi bir çok özellikle gelecek.

Nasıl Denerim?

Azure Bastion şuanda yalnızca preview Azure Portalda çalışıyor. https://preview.portal.azure.com/ adresinden portal erişimi sağlayarak deneyebilirsiniz.

Browser olarak Microsoft Edge ve Google Chrome kullanmanız gerekiyor. Tabi ki sadece Windows üzerinde 🙂 Şimdilik bu şekilde deneyebiliyoruz.

Ayrıca şuanda aşağıdaki bölgelerde kullanılabiliryor.

  • West US
  • East US
  • West Europe
  • South Central US
  • Australia East
  • Japan East

Azure Portalda Bostain Servisini Göremiyorum?

Biliyorsunuz Preview servisler için bir register mantıgı var Azure’da. Azure Bastion servisini de denem için Microsoft.Network sınıfını register etmeniz gerekiyor.

Register etmek için:

Register-AzureRmProviderFeature -FeatureName AllowBastionHost -ProviderNamespace Microsoft.Network

Tekrar register etmek için:

Register-AzureRmResourceProvider -ProviderNamespace Microsoft.Network

Register durumunu kontrol etmek için:

Get-AzureRmProviderFeature -ProviderNamespace Microsoft.Network