Co je Azure Bastion?

  • Článek

Azure Bastion je plně spravovaná služba PaaS, kterou zřídíte pro bezpečné připojení k virtuálním počítačům přes privátní IP adresu. Poskytuje zabezpečené a bezproblémové připojení RDP/SSH k vašim virtuálním počítačům přímo přes protokol TLS z webu Azure Portal nebo přes nativního klienta SSH nebo RDP, který už je na místním počítači nainstalovaný. Když se připojíte přes Azure Bastion, virtuální počítače nepotřebují veřejnou IP adresu, agenta ani speciální klientský software.

Bastion poskytuje zabezpečené připojení RDP a SSH ke všem virtuálním počítačům ve virtuální síti, pro které je zřízená. Použití služby Azure Bastion chrání vaše virtuální počítače před vystavením portů RDP/SSH vnějšímu světu a přitom zajišťuje zabezpečený přístup pomocí protokolu RDP/SSH.

Klíčové výhody

Výhoda Popis
RDP a SSH prostřednictvím webu Azure Portal K relaci RDP a SSH se můžete dostat přímo na webu Azure Portal pomocí bezproblémového prostředí s jedním kliknutím.
Vzdálená relace přes protokol TLS a procházení brány firewall pro protokol RDP/SSH Azure Bastion používá webového klienta založeného na HTML5, který se automaticky streamuje do místního zařízení. Relace RDP/SSH je přes protokol TLS na portu 443. To umožňuje provoz bezpečněji procházet branami firewall. Bastion podporuje protokol TLS 1.2. Starší verze protokolu TLS nejsou podporované.
Na virtuálním počítači Azure není nutná žádná veřejná IP adresa. Azure Bastion otevře připojení RDP/SSH k virtuálnímu počítači Azure pomocí privátní IP adresy na virtuálním počítači. Na virtuálním počítači nepotřebujete veřejnou IP adresu.
Bez potíží se správou skupin zabezpečení sítě (NSG) U podsítě Azure Bastion nemusíte používat žádné skupiny zabezpečení sítě. Vzhledem k tomu, že se Azure Bastion připojuje k virtuálním počítačům přes privátní IP adresu, můžete nakonfigurovat skupiny zabezpečení sítě tak, aby povolily protokol RDP/SSH jenom z Azure Bastionu. Tím se odebere množství potíží se správou skupin zabezpečení sítě pokaždé, když se potřebujete bezpečně připojit k virtuálním počítačům. Další informace oskupinách
Na virtuálním počítači není potřeba spravovat samostatného hostitele bastionu. Azure Bastion je plně spravovaná služba PaaS platformy z Azure, která je interně posílená a poskytuje zabezpečené připojení RDP/SSH.
Ochrana před kontrolou portů Vaše virtuální počítače jsou chráněné proti kontrole portů podvodnými a škodlivými uživateli, protože virtuální počítače nemusíte vystavit na internetu.
Posílení zabezpečení pouze na jednom místě Azure Bastion se nachází v hranici vaší virtuální sítě, takže se nemusíte starat o posílení zabezpečení jednotlivých virtuálních počítačů ve vaší virtuální síti.
Ochrana před zneužitím nulového dne Platforma Azure chrání před nulovým zneužitím tím, že udržuje posílenou a vždy aktuální službu Azure Bastion.

Skladové položky

Azure Bastion nabízí několik úrovní skladové položky. Následující tabulka uvádí funkce a odpovídající skladové položky. Další informace o cenových úrovních najdete v článku Nastavení konfigurace.

Funkce Skladová položka pro vývojáře Základní SKU Standardní SKU
Připojení k cílovým virtuálním počítačům ve stejné virtuální síti Ano Ano Yes
Připojení pro cílové virtuální počítače v partnerských virtuálních sítích No Ano Ano
Podpora souběžných připojení No Ano Yes
Přístup k privátním klíčům virtuálního počítače s Linuxem ve službě Azure Key Vault (AKV) No Ano Yes
Připojení k virtuálnímu počítači s Linuxem pomocí SSH Ano Ano Ano
Připojení k virtuálnímu počítači s Windows pomocí protokolu RDP Ano Ano Ano
Připojení k virtuálnímu počítači s Linuxem pomocí protokolu RDP No No Ano
Připojení k virtuálnímu počítači s Windows pomocí SSH No No Ano
Určení vlastního příchozího portu No No Ano
Připojení k virtuálním počítačům pomocí Azure CLI No No Ano
Škálování hostitele No No Ano
Nahrání nebo stažení souborů No No Ano
Ověřování protokolem Kerberos No Ano Ano
Odkaz ke sdílení No No Ano
Připojení k virtuálním počítačům přes IP adresu No No Ano
Výstup zvuku virtuálního počítače Ano Ano Yes
Zakázání kopírování a vkládání (webových klientů) No No Ano

Architektura

Azure Bastion nabízí několik architektur nasazení v závislosti na vybrané skladové poště a konfiguraci možností. U většiny skladových položek se Bastion nasadí do virtuální sítě a podporuje partnerský vztah virtuálních sítí. Konkrétně Azure Bastion spravuje připojení RDP/SSH k virtuálním počítačům vytvořeným v místních nebo partnerských virtuálních sítích.

RDP a SSH jsou některé základní prostředky, kterými se můžete připojit ke svým úlohám běžícím v Azure. Vystavení portů RDP/SSH přes internet není žádoucí a považuje se za významnou hrozbu. Důvodem je často ohrožení zabezpečení protokolu. Pokud chcete tuto hrozbu obsahovat, můžete nasadit hostitele bastionu (označované také jako jump-servery) na veřejné straně hraniční sítě. Hostitelské servery Bastion jsou navržené a nakonfigurované tak, aby odolá útokům. Servery Bastion také poskytují připojení RDP a SSH k úlohám, které se nachází za bastionem, a také dále uvnitř sítě.

Diagram: Bastion – základní skladová položka a vyšší

Diagram znázorňující architekturu služby Azure Bastion

  • Hostitel Bastionu je nasazen ve virtuální síti, která obsahuje podsíť AzureBastionSubnet s minimální předponou /26.
  • Uživatel se připojí k webu Azure Portal pomocí libovolného prohlížeče HTML5.
  • Uživatel vybere virtuální počítač, ke kterému se chcete připojit.
  • Jediným kliknutím se relace RDP/SSH otevře v prohlížeči.
  • U některých konfigurací se uživatel může k virtuálnímu počítači připojit přes nativního klienta operačního systému.
  • Na virtuálním počítači Azure se nevyžaduje žádná veřejná IP adresa.

Diagram: Bastion – skladová položka pro vývojáře

Diagram znázorňující architekturu SKU vývojáře služby Azure Bastion

Skladová položka Bastion Developer je bezplatná, odlehčená skladová položka. Tato skladová položka je ideální pro uživatele pro vývoj/testování, kteří se chtějí bezpečně připojit ke svým virtuálním počítačům, ale nepotřebují další funkce Bastionu ani škálování hostitele. Pomocí skladové položky pro vývojáře se můžete připojit k jednomu virtuálnímu počítači Azure najednou přímo přes stránku pro připojení virtuálního počítače.

Když nasadíte Bastion pomocí skladové položky pro vývojáře, požadavky na nasazení se liší od nasazení pomocí jiných skladových položek. Obvykle se při vytváření hostitele bastionu nasadí hostitel do podsítě AzureBastionSubnet ve vaší virtuální síti. Hostitel Bastionu je vyhrazený pro vaše použití. Když použijete skladovou položku pro vývojáře, hostitel bastionu není nasazený do vaší virtuální sítě a nepotřebujete AzureBastionSubnet. Hostitel bastionu SKU pro vývojáře ale není vyhrazeným prostředkem. Místo toho je součástí sdíleného fondu.

Vzhledem k tomu, že prostředek bastionu SKU pro vývojáře není vyhrazený, jsou funkce skladové položky pro vývojáře omezené. Informace o funkcích podle skladové položky najdete v části Nastavení konfigurace Bastionu. Skladovou položku pro vývojáře můžete kdykoli upgradovat na vyšší skladovou položku, pokud potřebujete podporovat více funkcí. Viz Upgrade skladové položky.

Zóny dostupnosti

Některé oblasti podporují možnost nasazení služby Azure Bastion do zóny dostupnosti (nebo více pro redundanci zón). Pokud chcete nasadit zónově, nasaďte Bastion pomocí ručně zadaných nastavení (nenasazujte pomocí automatického výchozího nastavení). Zadejte požadované zóny dostupnosti v době nasazení. Po nasazení Bastionu nemůžete změnit zónovou dostupnost.

Podpora pro Zóny dostupnosti je aktuálně ve verzi Preview. Ve verzi Preview jsou k dispozici následující oblasti:

  • USA – východ
  • Austrálie – východ
  • USA – východ 2
  • USA – střed
  • Střední Katar
  • Jižní Afrika – sever
  • Západní Evropa
  • Západní USA 2
  • Severní Evropa
  • Švédsko – střed
  • Velká Británie – jih
  • Střední Kanada

Škálování hostitele

Azure Bastion podporuje ruční škálování hostitele. Počet instancí hostitele (jednotky škálování) můžete nakonfigurovat tak, aby spravovali počet souběžných připojení RDP/SSH, která může Azure Bastion podporovat. Zvýšení počtu instancí hostitele umožňuje službě Azure Bastion spravovat více souběžných relací. Snížení počtu instancí snižuje počet souběžných podporovaných relací. Azure Bastion podporuje až 50 instancí hostitele. Tato funkce je dostupná jenom pro skladovou položku Azure Bastion Standard.

Další informace najdete v článku Nastavení konfigurace.

Ceny

Ceny služby Azure Bastion jsou kombinací hodinových cen na základě skladových položek a instancí (jednotek škálování) a rychlosti přenosu dat. Hodinová cena začíná od okamžiku nasazení Bastionu bez ohledu na využití odchozích dat. Nejnovější informace o cenách najdete na stránce s cenami služby Azure Bastion.

Co je nového?

Přihlaste se k odběru informačního kanálu RSS a podívejte se na nejnovější aktualizace funkcí služby Azure Bastion na stránce Azure Aktualizace.

Nejčastější dotazy ke službě Bastion

Nejčastější dotazy najdete v nejčastějších dotazech ke službě Bastion.

Další kroky