वर्चुअल मशीनों तक सुरक्षित पहुंच के लिए एज़्योर बैस्टियन का उपयोग करना

वर्चुअल मशीनों तक सुरक्षित पहुंच के लिए एज़्योर बैस्टियन का उपयोग करना

04/01/2025

इस तकनीकी और शैक्षणिक लेख का उद्देश्य सुरक्षा विश्लेषकों, आईटी प्रशासकों और सिस्टम इंजीनियरों को एज़्योर में वर्चुअल मशीनों (वीएम) तक सुरक्षित पहुंच के लिए एज़्योर बैस्टियन को लागू करने और कॉन्फ़िगर करने में मार्गदर्शन करना है। क्लाउड वातावरण में, संसाधनों और डेटा की सुरक्षा के लिए वीएम तक पहुंच की सुरक्षा आवश्यक है। परंपरागत रूप से, आरडीपी (रिमोट डेस्कटॉप प्रोटोकॉल) या एसएसएच (सिक्योर शेल) के माध्यम से वीएम तक पहुंचने के लिए सार्वजनिक पोर्ट को इंटरनेट पर उजागर करना आवश्यक होता है, जिससे हमले की सतह में काफी वृद्धि होती है। एज़्योर बैस्टियन वीपीएन या सार्वजनिक आईपी [1] की आवश्यकता के बिना सुरक्षित पहुंच प्रदान करके इस जोखिम को खत्म करने के लिए एक मजबूत और सुरक्षित समाधान प्रदान करता है।

परिचय

बुनियादी ढांचे को क्लाउड पर स्थानांतरित करने से स्केलेबिलिटी और लचीलेपन के मामले में कई लाभ हुए हैं। हालाँकि, सुरक्षा एक शीर्ष चिंता बनी हुई है। वर्चुअल मशीनों तक पहुंच एक महत्वपूर्ण बिंदु है, क्योंकि वे अक्सर कई अनुप्रयोगों और सेवाओं का केंद्र होते हैं। आरडीपी (3389) या एसएसएच (22) पोर्ट को सीधे इंटरनेट पर उजागर करना एक अनुचित सुरक्षा अभ्यास है, क्योंकि यह उन्हें क्रूर बल के हमलों और अन्य कारनामों के लिए आसान लक्ष्य बनाता है [2]।

एज़्योर बैस्टियन एक सेवा (PaaS) सेवा के रूप में पूरी तरह से प्रबंधित प्लेटफ़ॉर्म है जिसे आप अपने वर्चुअल नेटवर्क में प्रदान करते हैं। यह आपको वीएम पर सार्वजनिक आईपी, वीएम पर स्थापित एजेंटों, या आपके स्थानीय मशीन पर विशेष क्लाइंट/कॉन्फ़िगरेशन की आवश्यकता के बिना, आरडीपी और एसएसएच का उपयोग करके सीधे एज़्योर पोर्टल से अपने वर्चुअल नेटवर्क में वर्चुअल मशीनों से कनेक्ट करने की अनुमति देता है। बैस्टियन एक सुरक्षित प्रॉक्सी के रूप में कार्य करता है, उपयोगकर्ता के ब्राउज़र में सुरक्षित टीएलएस (ट्रांसपोर्ट लेयर सिक्योरिटी) कनेक्शन के माध्यम से आरडीपी/एसएसएच ट्रैफिक को रूट करता है, वीएम को इंटरनेट के सीधे संपर्क से बचाता है [3]।

यह कैसे करें मार्गदर्शिका पूर्वापेक्षाओं को कवर करेगी, Azure Bastion को कैसे प्रावधान और कॉन्फ़िगर करें, RDP और SSH का उपयोग करके Windows और Linux VM से कैसे कनेक्ट करें, सत्र कैसे प्रबंधित करें, और सुरक्षित पहुंच का परीक्षण और सत्यापन कैसे करें। चरण-दर-चरण निर्देश, व्यावहारिक उदाहरण और संक्षिप्त स्पष्टीकरण प्रदान किए जाएंगे ताकि पाठक इन सुविधाओं को लागू, परीक्षण और मान्य कर सकें। इसके अलावा, स्वायत्त, पेशेवर और विश्वसनीय तरीके से आपकी वर्चुअल मशीनों तक सुरक्षित और कुशल रिमोट एक्सेस सुनिश्चित करने के लिए सुरक्षा युक्तियों, अनुपालन जांच और सर्वोत्तम प्रथाओं पर चर्चा की जाएगी।

वीएम एक्सेस के लिए एज़्योर बैस्टियन महत्वपूर्ण क्यों है?

  • उन्नत सुरक्षा: वीएम पर सार्वजनिक आईपी की आवश्यकता को समाप्त करता है, उन्हें इंटरनेट से सीधे हमलों से बचाता है। ब्राउज़र के माध्यम से टीएलएस के माध्यम से प्रवेश होता है।
  • सरलीकृत पहुंच: मूल आरडीपी/एसएसएच क्लाइंट या वीपीएन की आवश्यकता के बिना, एज़्योर पोर्टल से सीधे वीएम से जुड़ता है।
  • जीरो ट्रस्ट: जीरो ट्रस्ट के सिद्धांतों के अनुरूप, यह सुनिश्चित करते हुए कि उपयोगकर्ता के स्थान की परवाह किए बिना पहुंच हमेशा सत्यापित और अधिकृत होती है।
  • ऑडिट और मॉनिटरिंग: ऑडिट और अनुपालन उद्देश्यों के लिए सत्र रिकॉर्डिंग (प्रीमियम SKU पर उपलब्ध) के विकल्प के साथ, आपको सत्रों की निगरानी और प्रबंधन करने की अनुमति देता है।
  • कम लागत और जटिलता: पूरी तरह से प्रबंधित PaaS सेवा के रूप में, यह आपके स्वयं के जंप बॉक्स या जटिल वीपीएन को प्रबंधित करने की आवश्यकता को समाप्त करता है।
  • पोर्ट स्कैनिंग सुरक्षा: वीएम में सार्वजनिक आईपी नहीं होते हैं, जिससे वे इंटरनेट पर पोर्ट स्कैनर और दुर्भावनापूर्ण बॉट के लिए अदृश्य हो जाते हैं।

पूर्वावश्यकताएँ

Azure बैस्टियन को लागू करने के लिए, आपको निम्नलिखित वस्तुओं की आवश्यकता होगी:

  1. सक्रिय Azure सदस्यता: संसाधन बनाने और प्रबंधित करने के लिए एक Azure सदस्यता।
  2. प्रशासनिक पहुंच: सदस्यता या संसाधन समूह पर मालिक या योगदानकर्ता की भूमिका वाला एक खाता जहां वीएम स्थित हैं।
  3. एज़्योर वर्चुअल नेटवर्क (वीनेट): एक मौजूदा वर्चुअल नेटवर्क जिसमें वे वीएम शामिल हैं जिनसे आप कनेक्ट करना चाहते हैं।
  4. एज़्योर बैस्टियन के लिए समर्पित सबनेट: आपके VNet के भीतर AzureBastionSubnet नाम और कम से कम /27 (उदा: 10.0.2.0/27) के उपसर्ग के साथ एक सबनेट। यह सबनेट बैस्टियन के लिए विशिष्ट है और इसका उपयोग अन्य संसाधनों के लिए नहीं किया जा सकता है [4]।
  5. वर्चुअल मशीनें (वीएम): उसी वीनेट (या समकक्ष वीनेट) में मौजूदा विंडोज या लिनक्स वीएम जिससे आप कनेक्ट करना चाहते हैं।

चरण दर चरण: एज़्योर बैस्टियन को कॉन्फ़िगर करना

आइए Azure Bastion का प्रावधान करें और VM से कनेक्ट करने के लिए इसका उपयोग करें।

1. AzureBastionSubnet सबनेट बनाना

पहलेऔर बैस्टियन को तैनात करने के लिए, आपको एक समर्पित सबनेट बनाने की आवश्यकता है।

  1. अपना ब्राउज़र खोलें और Azure पोर्टल पर जाएँ: https://portal.azure.com
  2. उस खाते से लॉग इन करें जिसके पास आवश्यक अनुमतियाँ हैं।
  3. शीर्ष खोज फ़ील्ड में, वर्चुअल नेटवर्क टाइप करें और परिणामों से इसे चुनें।
  4. वर्चुअल नेटवर्क चुनें जहां आपके वीएम स्थित हैं।
  5. बाएं नेविगेशन फलक में, सेटिंग्स के अंतर्गत, सबनेट चुनें।

  6. +सबनेट पर क्लिक करें।

  7. सबनेट जोड़ें:

    • नाम: AzureBastionSubnet दर्ज करें (यह नाम आवश्यक है)।
    • सबनेट एड्रेस रेंज: कम से कम /27 (जैसे 10.0.2.0/27) के उपसर्ग के साथ एक एड्रेस रेंज प्रदान करें।
    • अन्य सेटिंग्स को डिफ़ॉल्ट के रूप में छोड़ दें।

  8. सहेजें पर क्लिक करें।

    • स्पष्टीकरण: AzureBastionSubnet वह जगह है जहां Azure Bastion सेवा तैनात की जाएगी। यह महत्वपूर्ण है कि नाम बिल्कुल AzureBastionSubnet हो ताकि सेवा का प्रावधान सही ढंग से किया जा सके।

2. नीला गढ़ का प्रावधान

अब जबकि सबनेट तैयार है, हम बैस्टियन सेवा तैनात कर सकते हैं।

  1. Azure पोर्टल में, शीर्ष खोज फ़ील्ड में, Bastion टाइप करें और परिणामों से इसे चुनें।

  2. + बनाएँ पर क्लिक करें।

  3. बुनियादी बातें:

    • सदस्यता: अपनी सदस्यता चुनें।
    • संसाधन समूह: अपने VNet के समान संसाधन समूह चुनें।
    • नाम: अपने बैस्टियन उदाहरण को एक नाम दें (उदाहरण के लिए myBastionHost)।
    • क्षेत्र: अपने वीनेट के समान क्षेत्र का चयन करें।
    • स्तर: बेसिक (बेसिक आरडीपी/एसएसएच के लिए) या स्टैंडर्ड (सत्र रिकॉर्डिंग, लिंक शेयरिंग आदि जैसी अतिरिक्त सुविधाओं के लिए) का चयन करें। इस गाइड के लिए, हम बेसिक का उपयोग करेंगे।

  4. वर्चुअल नेटवर्क:

    • वर्चुअल नेटवर्क: उस VNet का चयन करें जहां आपने AzureBastionSubnet बनाया है।
    • सबनेट: AzureBastionSubnet स्वचालित रूप से चुना जाएगा।
    • सार्वजनिक आईपी पता: नया बनाएं पर क्लिक करें। सार्वजनिक आईपी को एक नाम दें (जैसे myBastionPublicIP)। यह सार्वजनिक आईपी बैस्टियन सेवा के लिए है और आपके वीएम के संपर्क में नहीं है।

  5. 'समीक्षा + बनाएं' पर क्लिक करें और फिर बनाएं पर क्लिक करें।

    • स्पष्टीकरण: एज़्योर बैस्टियन प्रावधान में 5 से 10 मिनट लग सकते हैं। एक बार तैनात होने के बाद, यह आपके वीएम तक पहुंचने के लिए उपयोग के लिए तैयार हो जाएगा।

3. आरडीपी के माध्यम से विंडोज वीएम से कनेक्ट करना

आइए Windows VM के RDP पोर्ट को उजागर किए बिना उससे कनेक्ट करें।

  1. Azure पोर्टल में, अपने Windows VM पर जाएँ।
  2. बाएँ नेविगेशन फलक में, कनेक्ट चुनें।
  3. बैस्टियन चुनें।
  4. अपना विंडोज वीएम उपयोगकर्ता क्रेडेंशियल और पासवर्ड दर्ज करें।

  5. कनेक्ट पर क्लिक करें।

    • अपेक्षित कार्रवाई: एक नया ब्राउज़र टैब खुलेगा, और आपको अपना विंडोज़ वीएम डेस्कटॉप दिखाई देगा। ब्राउज़र में कनेक्शन पूरी तरह से HTML5 पर आधारित है।

4. SSH के माध्यम से Linux VM से कनेक्ट करना

आइए इसके SSH पोर्ट को उजागर किए बिना Linux VM से कनेक्ट करें।

  1. Azure पोर्टल में, अपने Linux VM पर जाएँ।
  2. बाएँ नेविगेशन फलक में, कनेक्ट चुनें।
  3. बैस्टियन चुनें।
  4. 'प्रमाणीकरण प्रकार' चुनें: 'उपयोगकर्ता नाम और पासवर्ड' या 'एसएसएच निजी कुंजी'।
    • यदि उपयोगकर्ता नाम और पासवर्ड है, तो अपना Linux VM क्रेडेंशियल दर्ज करें।
    • यदि SSH निजी कुंजी है, तो अपनी निजी कुंजी फ़ाइल (.pem या .ppk) अपलोड करें।

  5. कनेक्ट पर क्लिक करें।

    • अपेक्षित कार्रवाई: एक नया ब्राउज़र टैब खुलेगा, और आप अपने लिनक्स वीएम का टर्मिनल देखेंगे, जो आपको एसएसएच कमांड निष्पादित करने की अनुमति देगा।

सत्यापन और परीक्षण

यह सत्यापित करना महत्वपूर्ण है कि एज़्योर बैस्टियन के माध्यम से पहुंच अपेक्षा के अनुरूप काम कर रही है और वीएम अन्य तरीकों से पहुंच योग्य नहीं हैं।

1. बैस्टियन कनेक्टिविटी की जाँच करना

  1. परिदृश्य: उपरोक्त चरण 3 और 4 के अनुसार, एज़्योर बैस्टियन का उपयोग करके अपने विंडोज और लिनक्स वीएम तक पहुंचने का प्रयास करें।
  2. अपेक्षित कार्रवाई: आरडीपी और एसएसएच कनेक्शन ब्राउज़र के माध्यम से सफलतापूर्वक स्थापित होना चाहिए।
  3. सत्यापन:
    • पुष्टि करें कि आप विंडोज वीएम डेस्कटॉप के साथ इंटरैक्ट कर सकते हैं और लिनक्स वीएम टर्मिनल में कमांड निष्पादित कर सकते हैं।

2. वीएम की प्रत्यक्ष दुर्गमता की जाँच करना

  1. परिदृश्य: आरडीपी या एसएसएच क्लाइंट का उपयोग करके अपने वीएम को सीधे इंटरनेट से एक्सेस करने का प्रयास करें, वीएम के सार्वजनिक आईपी (यदि कोई है) या निजी आईपी (यदि आप वीनेट के बाहर हैं) की ओर इशारा करें।
  2. अपेक्षित कार्रवाई: सीधे कनेक्शन के प्रयास विफल होने चाहिए क्योंकि आरडीपी/एसएसएच पोर्ट सार्वजनिक रूप से उजागर नहीं होने चाहिए।
  3. सत्यापन: *यदि आपके वीएम में सार्वजनिक आईपी हैं, तो वीएम के नेटवर्क इंटरफेस या वीएम के सबनेट से जुड़े नेटवर्क सुरक्षा समूह (एनएसजी) नियमों की जांच करें। सुनिश्चित करें कि पोर्ट 3389 (आरडीपी) और 22 (एसएसएच) 'किसी भी' या 'इंटरनेट' के लिए खुले नहीं हैं।
    • आदर्श रूप से, बैस्टियन के माध्यम से एक्सेस किए गए वीएम में संबद्ध सार्वजनिक आईपी नहीं होना चाहिए।

3. बैस्टियन सत्र निगरानी (मानक SKU)

यदि आपने बैस्टियन को मानक SKU के साथ प्रावधानित किया है, तो आप सक्रिय सत्रों की निगरानी कर सकते हैं।

  1. Azure पोर्टल में, अपने Azure Bastion संसाधन (myBastionHost) पर जाएँ।
  2. बाएँ नेविगेशन फलक में, निगरानी के अंतर्गत, सत्र चुनें।
  3. आपको उपयोगकर्ता, स्रोत आईपी और गंतव्य वीएम सहित सक्रिय आरडीपी और एसएसएच सत्रों की एक सूची दिखाई देगी।

सुरक्षा युक्तियाँ और सर्वोत्तम प्रथाएँ

  • वीएम से सार्वजनिक आईपी हटाएं*: एज़्योर बैस्टियन को कॉन्फ़िगर करने के बाद, अपने वीएम से किसी भी सार्वजनिक आईपी को हटा दें। यह बैस्टियन का मुख्य सुरक्षा लाभ है।
  • NSG को उचित रूप से कॉन्फ़िगर करें: सुनिश्चित करें कि आपके VM सबनेट और AzureBastionSubnet के नेटवर्क सुरक्षा समूह (NSG) केवल आवश्यक ट्रैफ़िक की अनुमति देने के लिए सही ढंग से कॉन्फ़िगर किए गए हैं। बैस्टियन को वीएम के निजी आरडीपी/एसएसएच पोर्ट तक पहुंच की आवश्यकता है, लेकिन वीएम को सार्वजनिक इनबाउंड एक्सेस की आवश्यकता नहीं है।
  • कम से कम विशेषाधिकार का सिद्धांत: केवल आवश्यक अनुमतियाँ निर्दिष्ट करें ताकि उपयोगकर्ता बैस्टियन के माध्यम से वीएम से जुड़ सकें। Azure RBAC का उपयोग यह नियंत्रित करने के लिए किया जा सकता है कि बैस्टियन का उपयोग कौन कर सकता है।
  • मजबूत प्रमाणीकरण: अपने वीएम क्रेडेंशियल के लिए हमेशा मजबूत प्रमाणीकरण का उपयोग करें। प्रमाणीकरण के लिए Azure AD के साथ संयोजन करें और, यदि संभव हो तो, Azure पोर्टल तक पहुंच के लिए MFA की आवश्यकता के लिए सशर्त पहुंच, जो बदले में बैस्टियन तक पहुंच को नियंत्रित करती है।
  • सत्र रिकॉर्डिंग (प्रीमियम SKU): ऐसे वातावरण के लिए जिन्हें सख्त अनुपालन और ऑडिटिंग की आवश्यकता होती है, RDP और SSH सत्र रिकॉर्ड करने के लिए Azure बैस्टियन प्रीमियम SKU का उपयोग करने पर विचार करें। यह वीएम पर क्या किया गया है इसका एक दृश्य रिकॉर्ड प्रदान करता है।
  • लॉग मॉनिटरिंग: संदिग्ध गतिविधि या अनधिकृत पहुंच प्रयासों का पता लगाने के लिए बैस्टियन के लिए एज़्योर गतिविधि लॉग और अपने वीएम के लिए सुरक्षा लॉग की निगरानी करें।
  • अपडेट और पैच: आंतरिक कमजोरियों को कम करने के लिए अपने वीएम को नवीनतम सुरक्षा पैच के साथ अपडेट रखें।

सामान्य समस्या निवारण

  • वीएम से कनेक्ट करने का प्रयास करते समय मैं बैस्टियन विकल्प नहीं देख सकता*:
    • सत्यापित करें कि Azure बैस्टियन को VM के समान VNet (या पीयरड VNet) में प्रावधानित किया गया है।
    • सुनिश्चित करें कि AzureBastionSubnet मौजूद है और उसका पता उपसर्ग सही है (/27 या अधिक)।
    • जांचें कि क्या बैस्टियन Azure पोर्टल में रनिंग स्थिति में है।
  • बैस्टियन के माध्यम से आरडीपी/एसएसएच कनेक्शन त्रुटि:
    • अमान्य क्रेडेंशियल: सत्यापित करें कि उपयोगकर्ता और पासवर्ड क्रेडेंशियल (या एसएसएच कुंजी) वीएम के लिए सही हैं।
    • NSG मुद्दे: पुष्टि करें कि VM सबनेट का NSG AzureBastionSubnet के पोर्ट 3389 (RDP) या 22 (SSH) पर इनबाउंड ट्रैफ़िक की अनुमति देता है।
    • वीएम फ़ायरवॉल: जांचें कि वीएम का आंतरिक फ़ायरवॉल आरडीपी/एसएसएच कनेक्शन को अवरुद्ध नहीं कर रहा है।
    • आरडीपी/एसएसएच सेवा नहीं चल रही है: सुनिश्चित करें कि आरडीपी (विंडोज के लिए) या एसएसएच (लिनक्स के लिए) सेवा वीएम पर चल रही है।
  • धीमा प्रदर्शन या वियोग:
    • अपने इंटरनेट कनेक्शन बैंडविड्थ की जांच करें। बैस्टियन सत्र वीडियो को आपके ब्राउज़र पर स्ट्रीम करता है।
    • बैस्टियन के स्टैंडर्ड या प्रीमियम SKU का उपयोग करने पर विचार करें, जो बेहतर प्रदर्शन और अतिरिक्त सुविधाएँ प्रदान करते हैं।
    • लक्ष्य वीएम पर उच्च सीपीयू या मेमोरी उपयोग की जांच करें, जो सत्र प्रदर्शन को प्रभावित कर सकता है।
  • मैं बैस्टियन के माध्यम से आंतरिक वीएम संसाधनों तक नहीं पहुंच सकता:
    • एज़्योर बैस्टियन वीएम को कनेक्टिविटी प्रदान करता है। एक बार वीएम से कनेक्ट होने के बाद, वीनेट के अन्य आंतरिक संसाधनों तक पहुंच वीएम के अपने नेटवर्क कॉन्फ़िगरेशन और लागू एनएसजी नियमों पर निर्भर करेगी।

निष्कर्ष

एज़्योर बैस्टियन क्लाउड वातावरण की सुरक्षा के लिए एक आवश्यक घटक है, जो वर्चुअल मशीनों तक पहुंचने के लिए एक सुरक्षित और सरलीकृत तरीका प्रदान करता है। इंटरनेट पर आरडीपी/एसएसएच पोर्ट के सीधे संपर्क को समाप्त करके, यह हमले की सतह को काफी कम कर देता है और समग्र सुरक्षा स्थिति को मजबूत करता है। बैस्टियन के लाभों को अधिकतम करने के लिए सावधानीपूर्वक कार्यान्वयन, सुरक्षा सर्वोत्तम प्रथाओं के साथ एकीकरण और निरंतर निगरानी महत्वपूर्ण हैं। इसके साथ जीइस व्यावहारिक दृष्टिकोण के साथ, सुरक्षा पेशेवर और आईटी प्रशासक एज़्योर बैस्टियन को कॉन्फ़िगर करने, मान्य करने और प्रबंधित करने के लिए अच्छी तरह से सुसज्जित होंगे, यह सुनिश्चित करते हुए कि उनकी वर्चुअल मशीनों तक पहुंच हमेशा सुरक्षित और अनुपालनशील है।

संदर्भ:

[1] माइक्रोसॉफ्ट लर्न। एज़्योर बैस्टियन क्या है?। यहां उपलब्ध है: https://learn.microsoft.com/pt-br/azure/bastion/bastion-overview [2] माइक्रोसॉफ्ट लर्न। एज़्योर में वर्चुअल मशीनों तक सुरक्षित रिमोट एक्सेस को सक्षम करने के लिए एज़्योर बैस्टियन का उपयोग करने के लिए डिज़ाइन और योजना संबंधी विचार। यहां उपलब्ध है: [https://learn.microsoft.com/pt-br/azure/cloud-adoption-framework/ready/azure-best-practices/plan-for-virtual-machine-remote-access] (https://learn.microsoft.com/pt-br/azure/cloud-adoption-framework/ready/azure-best-practices/plan-for-virtual-machine-remote-access) [3] माइक्रोसॉफ्ट लर्न। आरडीपी - एज़्योर बैस्टियन का उपयोग करके विंडोज वीएम से कनेक्ट करें। यहां उपलब्ध है: https://learn.microsoft.com/pt-br/azure/bastion/bastion-connect-vm-rdp-windows [4] माइक्रोसॉफ्ट लर्न। बैस्टियन होस्ट कॉन्फ़िगर करें। यहां उपलब्ध है: https://learn.microsoft.com/pt-br/azure/bastion/tutorial-create-host-portal [5] माइक्रोसॉफ्ट लर्न। एसएसएच - एज़्योर बैस्टियन का उपयोग करके लिनक्स वीएम से कनेक्ट करें। यहां उपलब्ध है: https://learn.microsoft.com/pt-br/azure/bastion/bastion-connect-vm-ssh-linux [6] माइक्रोसॉफ्ट लर्न। एज़्योर बैस्टियन सत्र की निगरानी और प्रबंधन। यहां उपलब्ध है: https://learn.microsoft.com/pt-br/azure/bastion/session-monitoring [7] माइक्रोसॉफ्ट लर्न। बैस्टियन सत्र रिकॉर्डिंग कॉन्फ़िगर करें। यहां उपलब्ध है: https://learn.microsoft.com/pt-br/azure/bastion/session-recording