متى تستخدم Azure Bastion
في هذه الوحدة، يمكنك استكشاف استخدامات Azure Bastion وتحديد ما إذا كان خيارا مناسبا للاتصال بأمان بجهاز ظاهري بعيد. يمكنك تقييم Azure Bastion استنادا إلى المعايير التالية:
- الأمان
- سهولة الإدارة
- التكامل مع التطبيقات الأخرى
يجب أن يعتمد المسؤولون على الإدارة عن بُعد لإدارة موارد Azure الخاصة بالمؤسسة وصيانتها، والتي تشمل الأجهزة الافتراضية والتطبيقات المثبتة على تلك الأجهزة الظاهرية. من المهم مراعاة القدرة على الاتصال بهذه الموارد والتطبيقات بأمان دون تعريضها للإنترنت. يمكنك استخدام Azure Bastion للاتصال عن بُعد بأجهزة افتراضية مستضافة وإدارتها دون تعريض مداخل الإدارة للإنترنت. ومع ذلك، فقد تناول بعض المسؤولين هذا المطلب باستخدام خوادم الانتقال، والتي تسمى أحياناً مربعات الانتقال. في هذه الوحدة، يمكنك تحديد ما إذا كان يمكن ل Azure Bastion استبدال مربعات الانتقال كطريقة لتوفير وصول آمن للإدارة عن بعد.
إشعار
مربع الانتقال هو جهاز افتراضي في Azure لديه عنوان IP عام، ويمكن الوصول إليه من خلال الإنترنت.
في سيناريو مربع الانتقال النموذجي:
- يتم تكوين الأجهزة الافتراضية الخاصة بمؤسستك فقط باستخدام عناوين IP خاصة، ولا يمكن الوصول إليها مباشرة عبر الإنترنت.
- يتم نشر مربع الانتقال في نفس الشبكة الافتراضية مثل الأجهزة الافتراضية التي يرغب المسؤولون في إدارتها عن بُعد باستخدام بروتوكول سطح المكتب البعيد وبروتوكول النقل الآمن.
- تدير مجموعة أمان الشبكة تدفق نسبة استخدام الشبكة بين الإنترنت ومربع الانتقال والأجهزة الظاهرية المستهدفة.
- يتصل المسؤولون بصندوق الانتقال باستخدام بروتوكول سطح المكتب البعيد باستخدام عنوان IP العام.
هام
نظراً لأنك تتصل بمربع الانتقال الخاص بك باستخدام بروتوكول سطح المكتب البعيد على عنوان IP عام، يمكن اختراق أمان صندوق الانتقال.
مربع الانتقال هو جهاز ظاهري يعمل بنظام تشغيل خادم، لذلك تحتاج إلى:
- المحافظة على تحديث الجهاز الافتراضي من خلال التصحيحات والتحديثات الأخرى.
- تكوين مجموعات أمان شبكة الاتصال المناسبة للمساعدة في تأمين تدفق حركة المرور داخل الشبكة الافتراضية بين صندوق الانتقال والأجهزة الافتراضية المستهدفة.
معايير القرار
لتحديد ما إذا كان مربع الانتقال أو Azure Bastion هو الخيار الأفضل لإدارة موارد Azure الخاصة بمؤسستك عن بُعد، ضع في اعتبارك معايير مثل الأمان وسهولة الإدارة والتكامل. وفيما يلي تحليل لهذه المعايير.
| المعايير | التحليل |
|---|---|
| الأمان | عدم عرض Azure Bastion بروتوكول سطح المكتب البعيد/بروتوكول النقل الآمن على عنوان IP العام الخاص به. بخلاف مربع الانتقال، فإن Azure Bastion يدعم الاتصالات المحمية بواسطة بروتوكول أمان طبقة النقل فقط من مدخل Azure. باستخدام Azure Bastion، لن تحتاج إلى تكوين مجموعات أمان شبكة الاتصال للمساعدة في تأمين تدفق حركة المرور. |
| سهولة الإدارة | إن Azure Bastion هي خدمة PaaS مدارة بالكامل. إنه ليس جهازاً افتراضيّاً مثل صندوق الانتقال، والذي يتطلب تحديثات منتظمة. لا تحتاج إلى عميل أو وكيل لاستخدام Azure Bastion، ولا تحتاج إلى تطبيق التصحيحات والتحديثات عليه. لا تحتاج أيضاً إلى تثبيت أو صيانة أي برامج أخرى على وحدات التحكم الإدارية. |
| التكامل | يمكنك دمج Azure Bastion مع خدمات الأمان الأصلية الأخرى في Azure، مثل Azure Firewall. لا تحتوي خوادم الانتقال السريع على هذا الخيار. |
إشعار
يمكنك نشر Azure Bastion لكل شبكة افتراضية (أو شبكة افتراضية مقترنة) بدلاً من كل اشتراك أو حساب أو جهاز افتراضي.
تطبيق المعايير
يتناول Azure Bastion الهدف الرئيسي المتمثل في تمكين الإدارة الآمنة عن بعد للأجهزة الافتراضية المستضافة. كخدمة مدارة، لا تحتاج إلى تحديث Azure Bastion، أو تكوين مجموعات أمان الشبكة والإعدادات ذات الصلة يدويا. يمثل Azure Bastion الحل الأمثل لتمكين الإدارة الآمنة عن بُعد للأجهزة الافتراضية المستضافة من Azure.
ضع في اعتبارك استخدام Azure Bastion عندما تكون لديك أجهزة افتراضية مستضافة من Azure بعيدة لإدارة و:
- يتعين عليك الاتصال بهذه الأجهزة الافتراضية باستخدام بروتوكول سطح المكتب البعيد/بروتوكول النقل الآمن.
- عدم الرغبة في المحافظة على الطريقة التي تتصل بها بالأجهزة الافتراضية البعيدة هذه.
- عدم الرغبة في تكوين إعدادات مجموعات أمان شبكة الاتصال لتمكين الإدارة عن بعد.
- الرغبة في تجنب استخدام مربعات الانتقال.
عند تحديد عدد مضيفات Azure Bastion المراد نشرها، ضع في اعتبارك أنك تتطلب واحداً لكل شبكة افتراضية (أو شبكة افتراضية مقترنة). ليس عليك نشر Azure Bastion على أساس كل جهاز افتراضي أو كل شبكة فرعية.