ما هو Azure Bastion؟

  • مقالة

Azure Bastion هي خدمة PaaS مدارة بالكامل تقوم بتوفيرها للاتصال بأمان بالأجهزة الظاهرية عبر عنوان IP الخاص. يوفر اتصال RDP/SSH آمنا وسلسا بالأجهزة الظاهرية الخاصة بك مباشرة عبر TLS من مدخل Microsoft Azure، أو عبر عميل SSH أو RDP الأصلي المثبت بالفعل على الكمبيوتر المحلي. عند الاتصال عبر Azure Bastion، لا تحتاج أجهزتك الظاهرية إلى عنوان IP عام أو وكيل أو برنامج عميل خاص.

يوفر Bastion اتصال RDP وSSH آمنا بجميع الأجهزة الظاهرية في الشبكة الظاهرية التي تم توفيرها لها. يحمي استخدام Azure Bastion أجهزتك الظاهرية من تعريض منافذ RDP/SSH للعالم الخارجي، مع الاستمرار في توفير الوصول الآمن باستخدام RDP/SSH.

يوضح الرسم التخطيطي التالي الاتصالات بالأجهزة الظاهرية عبر توزيع Bastion الذي يستخدم SKU أساسي أو قياسي.

Diagram showing Azure Bastion architecture.

المزايا الرئيسية

الميزة ‏‏الوصف
بروتوكول سطح المكتب البعيد وبروتوكول النقل الآمن من خلال مدخل Azure يمكنك الوصول إلى جلسة RDP وSSH مباشرةً في مدخل Azure باستخدام تجربة سلسة بنقرة واحدة.
جلسة عن بُعد عبر بروتوكول أمان طبقة النقل وجدار حماية اجتياز لـ RDP/SSH يستخدم Azure Bastion عميل ويب يستند إلى HTML5 يتم بثه تلقائيًا إلى جهازك المحلي. جلسة RDP/SSH الخاصة بك عبر TLS على المنفذ 443. يتيح ذلك لحركة المرور اجتياز جدران الحماية بشكل أكثر أماناً. يدعم Bastion TLS 1.2. إصدارات TLS القديمة غير مدعومة.
لا يلزم وجود عنوان IP عام على الجهاز الظاهري لـ Azure يفتح Azure Bastion اتصال RDP/SSH بجهاز ظاهري في Azure باستخدام عنوان IP خاص على الجهاز الظاهري الخاص بك. أي أنك لا تحتاج إلى عنوان IP عام على جهازك الظاهري.
لا متاعب في إدارة مجموعات أمان الشبكات لن تحتاج إلى تطبيق أي مجموعات لأمان الشبكة في الشبكة الفرعية لخدمة Azure Bastion. ولأن Azure Bastion تتصل بجهازك الظاهري عبر عنوان IP خاص، يمكنك تكوين مجموعات أمان الشبكة لديك بحيث تتيح اتصال RDP/SSH من Azure Bastion فقط. ما يخلصك من متاعب إدارة مجموعات أمان الشبكة في كل مرة تحتاج إلى الاتصال بالأجهزة الظاهرية لديك بأمان. لمزيد من المعلومات حول مجموعات أمان الشبكة راجع مجموعات أمان الشبكة.
لا حاجة لإدارة مضيف bastion منفصل على جهاز ظاهري Azure Bastion هي خدمة PaaS للنظام الأساسي المُدار بالكامل من Azure يتم زيادة حمايتها داخلياً لتوفير اتصال RDP/SSH آمن.
الحماية من مسح المنافذ ضوئيًا تتم حماية أجهزتك الظاهرية من فحص المنافذ بواسطة المستخدمين المضرين والمخادعين لأنك لست بحاجة إلى الكشف عن الأجهزة الظاهرية على الإنترنت.
زيادة حماية في مكان واحد فقط يقع Azure Bastion في محيط شبكتك الافتراضية، لذلك لا داعي للقلق بشأن تقوية كل من الأجهزة الافتراضية في شبكتك الافتراضية.
الحماية من الثغرات الأمنية الأولية يحمي النظام الأساسي لدى Azure من عمليات استغلال الثغرات الأمنية الأولية من خلال الحفاظ على زيادة حماية Azure Bastion ودائمًا ما تكون محدّثة لك.

وحدات SKU

يقدم Azure Bastion مستويات SKU متعددة. يوضح الجدول الآتي الميزات ووحدات SKU المطابقة.

ميزة وحدة SKU للمطور SKU الأساسية SKU القياسية
الاتصال لاستهداف الأجهزة الظاهرية في نفس الشبكة الظاهرية ‏‏نعم‬ نعم ‏‏نعم‬
الاتصال بالأجهزة الظاهرية الهدف في شبكات ظاهرية نظيرة لا نعم نعم
دعم الاتصالات المتزامنة لا نعم ‏‏نعم‬
الوصول إلى المفاتيح الخاصة للأجهزة الظاهرية لـ Linux في Azure Key Vault (AKV) لا نعم ‏‏نعم‬
الاتصال بـ Linux VM باستخدام SSH ‏‏نعم‬ نعم نعم
الاتصال بـ Windows VM باستخدام RDP ‏‏نعم‬ نعم نعم
قم بالاتصال بـLinux VM باستخدام RDP لا لا ‏‏نعم‬
قم بالاتصال إلى Windows VM باستخدام SSH لا لا نعم
تحديد منفذ وارد مخصص لا لا نعم
الاتصال إلى الأجهزة الظاهرية باستخدام Azure CLI لا لا نعم
تغيير حجم المضيف لا لا نعم
تحميل الملفات أو تنزيلها لا لا نعم
مصادقة Kerberos لا نعم نعم
ارتباط قابل للمشاركة لا لا نعم
الاتصال إلى الأجهزة الظاهرية عبر عنوان IP لا لا نعم
إخراج صوت VM ‏‏نعم‬ نعم ‏‏نعم‬
تعطيل النسخ/اللصق (العملاء على شبكة الإنترنت) لا لا ‏‏نعم‬

لمزيد من المعلومات حول وحدات SKU، بما في ذلك كيفية ترقية SKU ومعلومات حول SKU المطور الجديد (حاليا في المعاينة )، راجع مقالة إعدادات التكوين.

البنية

ينطبق هذا القسم على جميع مستويات SKU باستثناء Developer SKU، والتي يتم نشرها بشكل مختلف. يتم استخدام Azure Bastion في شبكة ظاهرية ويدعم تناظر الشبكات الظاهرية. وبشكلٍ خاص، يدير Azure Bastion اتصال RDP/SSH بالأجهزة الظاهرية الذي تم إنشاؤه في الشبكات الظاهرية المحلية أو النظيرة.

فاتصالات RDP وSSH تعد من الوسائل الأساسية التي يمكنك من خلالها الاتصال بأحمال العمل التي قيد التشغيل في Azure. لا يُفضل كشف منافذ RDP/SSH عبر الإنترنت ويعد ذلك مصدر تهديد كبير. ويرجع ذلك غالباً إلى نقاط ضعف في البروتوكول. ولاحتواء مصدر التهديد هذا، يمكنك استخدام مضيفي bastion (المعروفين باسم خوادم القفز) على الجانب العام من شبكتك المحيطية. تم تصميم خوادم المضيف Bastion وتكوينها لتحمل الهجمات. وهي توفر كذلك اتصال RDP وSSH بأحمال العمل الموجودة التي تتخطى bastion، بالإضافة إلى الموجودة على مسافات أعمق داخل الشبكة.

حاليا، بشكل افتراضي، لا تدعم عمليات توزيع Bastion الجديدة التكرارات في المنطقة. قد تكون الحصن المنشورة مسبقا، أو قد لا تكون، زائدة عن الحاجة إلى المنطقة. الاستثناءات هي عمليات نشر Bastion في كوريا الوسطى وجنوب شرق آسيا، والتي تدعم التكرارات في المنطقة.

Diagram showing Azure Bastion architecture.

يوضح هذا الشكل تصميم استخدام Azure Bastion. لا ينطبق هذا الرسم التخطيطي على Developer SKU. في هذا المخطط:

  • يتم استخدام المضيف Bastion في الشبكة الظاهرية التي تضم الشبكة الفرعية AzureBastionSubnet التي تتميز بجد أدنى للبادئات يصل إلى 26 بادئة.
  • ويتصل المستخدم بمدخل Azure باستخدام أي متصفح HTML5.
  • حيث يحدد المستخدم الجهاز الظاهري الذي يرغب في الاتصال به.
  • وبنقرة واحدة، يتم فتح جلسة RDP/SSH في المتصفح.
  • لا تحتاج إلى عنوان IP عام في الأجهزة الظاهرية لـAzure.

تغيير حجم المضيف

يدعم Azure Bastion تغيير حجم المضيف يدوياً. يمكنك تكوين عدد مثيلات المضيف (وحدات المقياس) من أجل إدارة عدد اتصالات RDP/SSH المتزامنة التي يمكن أن يدعمها Azure Bastion. ويتيح رفع عدد مثيلات المضيف لـAzure Bastion إدارة جلسات متزامنة أكثر. أما تقليل عدد المثيلات، فيقلل عدد الجلسات المتزامنة المدعومة. يدعم Azure Bastion ما يصل إلى 50 مثيلاً للمضيف. تتوفر هذه الميزة في وحدة SKU القياسية لـAzure Bastion فقط.

لمزيد من المعلومات، راجع مقالة إعدادات التكوين.

التسعير

تسعير Azure Bastion هو مزيج من التسعير بالساعة استنادا إلى SKU والمثيلات (وحدات المقياس)، بالإضافة إلى معدلات نقل البيانات. يبدأ التسعير بالساعة من لحظة نشر Bastion، بغض النظر عن استخدام البيانات الصادرة. للحصول على أحدث معلومات التسعير، راجع صفحة تسعير Azure Bastion.

ما الجديد؟

اشترك في موجز RSS واعرض آخر تحديثات الميزات لخدمة Azure Bastio على صفحة تحديثات Azure.

الأسئلة المتداولة عن Bastion

للاطلاع على الأسئلة المتداولة راجع الأسئلة المتداولة حول Bastion.

الخطوات التالية