ما هو Azure Bastion؟
من الضروري أن تكون قادراً على إدارة الأجهزة الافتراضية المستضافة عن بعد بشكلٍ آمن. للبدء، دعنا نحدد الإدارة الآمنة عن بعد، ثم نراجع ميزات Azure Bastion. تساعدك هذه النظرة العامة على تحديد ما إذا كان Azure Bastion مناسبا لمتطلباتك.
ما الإدارة الآمنة عن بعد؟
الإدارة الآمنة عن بعد هي القدرة على الاتصال بمورد بعيد دون تعريض هذا المورد لمخاطر الأمان. قد يكون هذا النوع من الاتصال صعبا في بعض الأحيان، خاصة إذا كان المورد يتم الوصول إليه عبر الإنترنت.
عندما يتصل المسؤولون بالأجهزة الافتراضية البعيدة، فإنهم عادةً ما يستخدمون إما بروتوكول سطح المكتب البعيد وإما بروتوكول النقل الآمن لتحقيق أهدافهم الإدارية. تكمن المشكلة في أنه عند الاتصال بالأجهزة الافتراضية المستضافة، يجب عليك الاتصال بعنوان IP العام الخاص به. ومع ذلك، فإن تعريض منافذ IP التي يستخدمها بروتوكول سطح المكتب البعيد وبروتوكول النقل الآمن (3389 و22) للإنترنت أمر غير مرغوب فيه للغاية، لأنه يمثل مخاطر أمنية كبيرة.
تعريف Azure Bastion
Azure Bastion عبارة عن نظام أساسي مُدار بالكامل كخدمة النظام الأساسي التي تساعد في توفير وصول بروتوكول سطح المكتب البعيد وبروتوكول النقل الآمن بشكلٍ آمن وسلس إلى الأجهزة الافتراضية من Azure الخاصة بك مباشرةً من خلال مدخل Azure.
Azure Bastion:
- تم تصميمه وتكوينه لمقاومة الهجمات.
- يوفر اتصال بروتوكول سطح المكتب البعيد وبروتوكول النقل الآمن بأحمال عمل Azure فيما بعد bastion.
يصف الجدول التالي الميزات المتوفرة بعد توزيع Bastion Azure.
| الميزة | الوصف |
|---|---|
| بروتوكول سطح المكتب البعيد وبروتوكول النقل الآمن من خلال مدخل Azure | يمكنك الوصول إلى جلسة RDP وSSH مباشرةً في مدخل Azure باستخدام تجربة سلسة بنقرة واحدة. |
| جلسة عن بُعد عبر بروتوكول أمان طبقة النقل وجدار حماية اجتياز لـ RDP/SSH | يستخدم Azure Bastion عميل ويب يستند إلى HTML5 يتم بثه تلقائيًا إلى جهازك المحلي. جلسة RDP/SSH الخاصة بك عبر TLS على المنفذ 443. يتيح ذلك لحركة المرور اجتياز جدران الحماية بشكل أكثر أماناً. يدعم Bastion TLS 1.2 وما فوق. إصدارات TLS القديمة غير مدعومة. |
| لا يلزم وجود عنوان IP عام على الجهاز الظاهري لـ Azure | يفتح Azure Bastion اتصال RDP/SSH بجهاز ظاهري في Azure باستخدام عنوان IP خاص على الجهاز الظاهري الخاص بك. أي أنك لا تحتاج إلى عنوان IP عام على جهازك الظاهري. |
| لا متاعب في إدارة مجموعات أمان الشبكات | لن تحتاج إلى تطبيق أي مجموعات لأمان الشبكة في الشبكة الفرعية لخدمة Azure Bastion. ولأن Azure Bastion تتصل بجهازك الظاهري عبر عنوان IP خاص، يمكنك تكوين مجموعات أمان الشبكة لديك بحيث تتيح اتصال RDP/SSH من Azure Bastion فقط. ما يخلصك من متاعب إدارة مجموعات أمان الشبكة في كل مرة تحتاج إلى الاتصال بالأجهزة الظاهرية لديك بأمان. |
| لا حاجة لإدارة مضيف bastion منفصل على جهاز ظاهري | Azure Bastion هي خدمة PaaS للنظام الأساسي المُدار بالكامل من Azure يتم زيادة حمايتها داخلياً لتوفير اتصال RDP/SSH آمن. |
| الحماية من مسح المنافذ ضوئيًا | تتم حماية أجهزتك الظاهرية من فحص المنافذ بواسطة المستخدمين المضرين والمخادعين لأنك لست بحاجة إلى الكشف عن الأجهزة الظاهرية على الإنترنت. |
| زيادة حماية في مكان واحد فقط | يقع Azure Bastion في محيط شبكتك الافتراضية، لذلك لا داعي للقلق بشأن تقوية كل من الأجهزة الافتراضية في شبكتك الافتراضية. |
| الحماية من الثغرات الأمنية الأولية | يحمي النظام الأساسي لدى Azure من عمليات استغلال الثغرات الأمنية الأولية من خلال الحفاظ على زيادة حماية Azure Bastion ودائمًا ما تكون محدّثة لك. |
كيفية تجنب الكشف عن منافذ الإدارة عن بعد
من خلال تنفيذ Azure Bastion، يمكنك إدارة الأجهزة الافتراضية في Azure ضمن شبكة Azure الافتراضية المكونة إما باستخدام بروتوكول سطح المكتب البعيد وإما بروتوكول النقل الآمن، دون الحاجة إلى عرض منافذ الإدارة هذه على الإنترنت العام. باستخدام Azure Bastion، يمكنك:
- الاتصال بسهولة بالأجهزة الافتراضية في Azure. توصيل جلسات عمل بروتوكول سطح المكتب البعيد وبروتوكول النقل الآمن مباشرة في بوابة Azure.
- تجنب تعريض منافذ الإدارة للإنترنت. سجل الدخول إلى الأجهزة الافتراضية في Azure وتجنب التعرض للإنترنت العام باستخدام بروتوكول النقل الآمن وبروتوكول سطح المكتب البعيد باستخدام عناوين IP الخاصة فقط.
- تجنب إعادة التكوين الشاملة للبنية الأساسية لشبكتك. دمج واجتياز جدران الحماية الموجودة ومحيط الأمان باستخدام عميل ويب حديث يستند إلى HTML5 عبر TLS على المنفذ 443.
- تسجيل الدخول ببساطة. استخدم مفاتيح بروتوكول النقل الآمن للمصادقة عند تسجيل الدخول إلى الأجهزة الافتراضية في Azure.
تلميح
يمكنك حفظ جميع مفاتيح بروتوكول النقل الآمن الخاصة في Azure Key Vault لدعم تخزين المفتاح المركزي.