[Azure Network] Azure Bastion 이란? #1

"Azure Bastion"은 Azure에서 제공하는 관리형 서비스로, 가상 머신(VM)에 대한 안전한 RDP(원격 데스크톱 프로토콜) 및 SSH(보안 셸) 액세스를 제공합니다. 이를 통해 사용자는 퍼블릭 인터넷을 통해 직접 접속하지 않고도 Azure 포털을 사용해 가상 머신에 안전하게 연결할 수 있습니다.

확인 사항  

1. Azure Bastion은 *RDP 동시 연결 25 / SSH 연결 50

2. AzureBastionSubnet이라는 별도의 서브넷에 배포됩니다. 이 서브넷은 Azure Bastion을 배포할 때 만듭니다.

   *서브넷에는 /26 서브넷 마스크 이상의 주소 공간이 필요합니다.!

3. Azure Bastion을 사용하여 VM 리소스에 연결하는 데 필요한 사용 권한이 필요합니다.

• 가상 머신에 대한 읽기 권한자 역할
• 가상 머신의 개인 IP를 사용하는 NIC에 대한 읽기 권한자 역할
• Azure Bastion 리소스에 대한 읽기 권한자 역할

 

 

1. Azure 포털을 통한 RDP 및 SSH 연결
Azure Bastion은 Azure 포털에서 직접 가상 머신에 RDP 또는 SSH로 연결할 수 있도록 지원합니다. 사용자는 별도의 클라이언트 소프트웨어를 설치하지 않고도 웹 브라우저를 통해 원격으로 가상 머신에 액세스할 수 있습니다.
이 연결은 다중 요소 인증(MFA) 및 조건부 액세스 정책과 함께 사용할 수 있어 보안이 강화됩니다.

2. TLS를 통한 RDP/SSH 연결
Azure Bastion은 RDP 및 SSH 연결을 TLS(전송 계층 보안)로 암호화합니다. 이를 통해 통신이 안전하게 보호되며, 복잡한 방화벽 설정에서도 연결이 가능합니다.

3. 퍼블릭 IP가 필요 없는 연결
Azure Bastion을 사용하면 가상 머신에 퍼블릭 IP 주소를 할당하지 않아도 됩니다. 대신 가상 머신의 사설 IP 주소를 통해 안전하게 연결할 수 있습니다. 이는 가상 머신의 RDP/SSH 포트를 외부에 노출하지 않아도 되므로 보안 취약점을 줄이는 데 도움이 됩니다.

4. 포트 스캔으로부터 보호
Azure Bastion은 가상 머신을 인터넷에 직접 노출시키지 않기 때문에 악의적인 포트 스캔 공격으로부터 보호됩니다. 이는 네트워크 상에서 열려 있는 포트를 탐색하려는 공격자에게 중요한 방어 수단입니다.

 

 

1. 접속할 VM의 Private IP 입력 

2. 연결 설정
ex) Windows RDP 3389 port, Linux SSH 22 port
* 접속 포트는 보안상 변경한 Server는 확인 후 입력 바랍니다. 

3. 인증 유형 선택 및 인증 정보 입력 

4. 연결 ~ :)

Azure Bastion에서는 가상 머신(VM)에 안전하게 접속하기 위해 다양한 인증 유형을 제공합니다. 이러한 인증 유형은 사용자의 보안 요구 사항에 따라 선택할 수 있습니다.

VM 암호

설명: 가상 머신에 설정된 사용자 계정의 암호를 사용하여 RDP 또는 SSH로 접속합니다.
장점: 설정이 간단하고 빠르며, 별도의 추가 도구나 설정이 필요하지 않아 기본적인 접속 방법으로 적합합니다.

Azure Key Vault 암호

설명: Azure Key Vault에 저장된 암호를 사용하여 RDP 또는 SSH로 접속합니다.
장점: 암호를 안전하게 중앙에서 관리할 수 있어 보안이 강화되며, 암호 관리의 복잡성을 줄일 수 있습니다.

로컬 파일의 SSH 프라이빗 키

설명: 사용자가 로컬 컴퓨터에 저장한 SSH 프라이빗 키를 사용하여 SSH로 접속합니다.
장점: 키 기반 인증을 통해 암호 기반 인증보다 보안성이 높으며, 비밀번호 없이도 안전한 접속이 가능합니다.

Azure Key Vault의 SSH 프라이빗 키

설명: Azure Key Vault에 저장된 SSH 프라이빗 키를 사용하여 SSH로 접속합니다.
장점: 프라이빗 키를 Azure Key Vault에서 안전하게 관리하여, 키 유출 위험을 최소화하고 중앙 집중형 키 관리를 제공합니다.

감사합니다.