Mi az az Azure Bastion?
Az Azure Bastion egy teljes körűen felügyelt PaaS-szolgáltatás, amelyet a virtuális gépekhez való biztonságos csatlakozáshoz épít ki privát IP-címmel. Biztonságos és zökkenőmentes RDP/SSH-kapcsolatot biztosít a virtuális gépekhez közvetlenül tLS-en keresztül az Azure Portalról, vagy a helyi számítógépen már telepített natív SSH- vagy RDP-ügyfélen keresztül. Ha az Azure Bastionon keresztül csatlakozik, a virtuális gépeinek nincs szüksége nyilvános IP-címre, ügynökre vagy meghatározott ügyfélszoftverre.
A Bastion biztonságos RDP- és SSH-kapcsolatot biztosít azon virtuális hálózat összes virtuális gépéhez, amelyhez ki van építve. Az Azure Bastion használatával megvédheti a virtuális gépeket az RDP/SSH-portok külső világba való felfedésétől, miközben továbbra is biztonságos hozzáférést biztosít az RDP/SSH használatával.
Fő előnyök
| Haszon | Leírás |
|---|---|
| RDP és SSH az Azure Portalon | Az RDP- és SSH-munkamenetet közvetlenül az Azure Portalon érheti el egyetlen kattintással, zökkenőmentesen. |
| Távoli munkamenet TLS-en keresztül és tűzfalbejárás RDP/SSH esetén | Az Azure Bastion egy HTML5-alapú webes ügyfelet használ, amely automatikusan streamel a helyi eszközre. Az RDP/SSH-munkamenet a 443-as porton található TLS-en keresztül van. Ez lehetővé teszi, hogy a forgalom biztonságosabban haladjon át a tűzfalakon. A Bastion támogatja a TLS 1.2-t. A régebbi TLS-verziók nem támogatottak. |
| Nincs szükség nyilvános IP-címre az Azure-beli virtuális gépen | Az Azure Bastion megnyitja az RDP-/SSH-kapcsolatot az Azure-beli virtuális géppel a virtuális gépen található privát IP-cím használatával. Nincs szüksége nyilvános IP-címre a virtuális gépen. |
| Nincs gond a hálózati biztonsági csoportok (NSG-k) kezelésével | Nem kell NSG-ket alkalmaznia az Azure Bastion alhálózatra. Mivel az Azure Bastion privát IP-címen keresztül csatlakozik a virtuális gépekhez, konfigurálhatja az NSG-ket, hogy csak az Azure Bastionból engedélyezze az RDP/SSH-t. Ez eltávolítja az NSG-k kezelésének minden olyan szakaszát, amikor biztonságosan csatlakoznia kell a virtuális gépekhez. Az NSG-kkel kapcsolatos további információkért lásd: Hálózati biztonsági csoportok. |
| Nincs szükség külön megerősített gazdagép kezelésére egy virtuális gépen | Az Azure Bastion az Azure-ból származó teljes körűen felügyelt PaaS-szolgáltatás, amely belsőleg van megerősítve, hogy biztonságos RDP-/SSH-kapcsolatot biztosítson. |
| Portvizsgálat elleni védelem | A virtuális gépeket a rosszindulatú és rosszindulatú felhasználók védik a portkeresés ellen, mert nem kell a virtuális gépeket az interneten keresztül elérhetővé tenni. |
| Csak egy helyen történő megkeményedés | Az Azure Bastion a virtuális hálózat peremén helyezkedik el, így nem kell aggódnia a virtuális hálózat egyes virtuális gépeinek megerősítése miatt. |
| Védelem a nulladik napi biztonsági rések ellen | Az Azure platform védelmet nyújt a nulladik napi kihasználtság ellen az Azure Bastion megerősítésével és mindig naprakész állapotban tartásával. |
Termékváltozatok
Az Azure Bastion több termékváltozatszintet is kínál. Az alábbi táblázat a funkciókat és a kapcsolódó termékváltozatokat mutatja be. Az SKU-kkal kapcsolatos további információkért tekintse meg a konfigurációs beállításokról szóló cikket.
| Szolgáltatás | Fejlesztői termékváltozat | Alapszintű termékváltozat | Standard termékváltozat | Prémium szintű termékváltozat |
|---|---|---|---|---|
| Csatlakozás virtuális gépek megcélzása ugyanazon a virtuális hálózaton | Igen | Igen | Igen | Igen |
| Csatlakozás társhálózatok virtuális gépeinek megcélzása | Nem | Igen | Igen | Igen |
| Egyidejű kapcsolatok támogatása | Nem | Igen | Igen | Igen |
| Linux rendszerű virtuálisgép-titkos kulcsok elérése az Azure Key Vaultban (AKV) | Nem | Igen | Igen | Igen |
| Csatlakozás Linux rendszerű virtuális gépre SSH használatával | Igen | Igen | Igen | Igen |
| Csatlakozás Windows rendszerű virtuális gépre RDP használatával | Igen | Igen | Igen | Igen |
| Csatlakozás Linux rendszerű virtuális gépre RDP használatával | Nem | Nem | Igen | Igen |
| Csatlakozás Windows rendszerű virtuális gépre SSH használatával | Nem | Nem | Igen | Igen |
| Egyéni bejövő port megadása | Nem | Nem | Igen | Igen |
| Csatlakozás virtuális gépekhez az Azure CLI használatával | Nem | Nem | Igen | Igen |
| Gazdagép skálázása | Nem | Nem | Igen | Igen |
| Fájlok feltöltése vagy letöltése | Nem | Nem | Igen | Igen |
| Kerberos-hitelesítés | Nem | Igen | Igen | Igen |
| Megosztható hivatkozás | Nem | Nem | Igen | Igen |
| Csatlakozás virtuális gépekre IP-címmel | Nem | Nem | Igen | Igen |
| Virtuális gép hangkimenete | Igen | Igen | Igen | Igen |
| Másolás/beillesztés letiltása (webalapú ügyfelek) | Nem | Nem | Igen | Igen |
| Munkamenet-rögzítés | Nem | Nem | Nem | Igen |
| Csak privát üzembe helyezés | Nem | Nem | Nem | Igen |
Architektúra
Az Azure Bastion a kiválasztott termékváltozattól és beállításkonfigurációktól függően több üzembehelyezési architektúrát is kínál. A legtöbb termékváltozat esetében a Bastion egy virtuális hálózaton van üzembe helyezve, és támogatja a virtuális hálózatok közötti társviszony-létesítést. Az Azure Bastion a helyi vagy társhálózati virtuális hálózatokban létrehozott virtuális gépekhez való RDP-/SSH-kapcsolatot kezeli.
Az RDP és az SSH az alapvető eszközök egyike, amelyen keresztül csatlakozhat az Azure-ban futó számítási feladatokhoz. Az RDP-/SSH-portok interneten keresztüli felfedése nem kívánatos, és jelentős fenyegetési felületnek tekinthető. Ez gyakran a protokoll biztonsági réseinek köszönhető. A fenyegetési felület tárolásához üzembe helyezhet megerősített gazdagépeket (más néven ugrókiszolgálókat) a szegélyhálózat nyilvános oldalán. A Bastion gazdagépkiszolgálókat úgy tervezték és konfigurálták, hogy ellenálljon a támadásoknak. A Bastion-kiszolgálók RDP- és SSH-kapcsolatot is biztosítanak a megerősített környezet mögött található számítási feladatokhoz, valamint a hálózaton belül is.
A Bastion üzembe helyezésekor kiválasztott termékváltozat határozza meg az architektúrát és az elérhető funkciókat. A további funkciók támogatásához frissíthet egy magasabb termékváltozatra, de az üzembe helyezés után nem állíthat le termékváltozatot. Bizonyos architektúrákat, például a csak privát és a fejlesztői termékváltozatot az üzembe helyezéskor kell konfigurálni. További információ az egyes architektúrákról: Bastion design and architecture.
Az alábbi ábrák az Azure Bastion elérhető architektúráit mutatják be.
Alapszintű termékváltozat és magasabb szintű
Fejlesztői termékváltozat
Csak privát üzembe helyezés (előzetes verzió)
Rendelkezésreállási zónák
Egyes régiók támogatják az Azure Bastion üzembe helyezését egy rendelkezésre állási zónában (vagy több, zónaredundancia esetén). A zónaszintű üzembe helyezéshez helyezze üzembe a Bastiont manuálisan megadott beállításokkal (ne az automatikus alapértelmezett beállításokkal telepítse). Adja meg a kívánt rendelkezésre állási zónákat az üzembe helyezéskor. A Bastion üzembe helyezése után nem módosíthatja a zónabeli rendelkezésre állást.
A rendelkezésre állási zónák támogatása jelenleg előzetes verzióban érhető el. Az előzetes verzióban a következő régiók érhetők el:
- USA keleti régiója
- Kelet-Ausztrália
- USA 2. keleti régiója
- Az USA középső régiója
- Közép-Katar
- Dél-Afrika északi régiója
- Nyugat-Európa
- USA 2. nyugati régiója
- Észak-Európa
- Közép-Svédország
- Az Egyesült Királyság déli régiója
- Közép-Kanada
Gazdagép skálázása
Az Azure Bastion támogatja a manuális gazdagépek skálázását. Konfigurálhatja a gazdagéppéldányok (méretezési egységek) számát az egyidejű RDP/SSH-kapcsolatok számának kezeléséhez, amelyeket az Azure Bastion támogat. A gazdagéppéldányok számának növelésével az Azure Bastion több egyidejű munkamenetet kezelhet. A példányok számának csökkentése csökkenti az egyidejűleg támogatott munkamenetek számát. Az Azure Bastion legfeljebb 50 gazdagéppéldányt támogat. Ez a funkció a Standard termékváltozathoz és a magasabb verzióhoz érhető el.
További információkért tekintse meg a konfigurációs beállításokról szóló cikket.
Díjszabás
Az Azure Bastion díjszabása a termékváltozaton és a példányokon (skálázási egységeken) alapuló óránkénti díjszabás és az adatátviteli díjak kombinációja. Az óránkénti díjszabás a Bastion üzembe helyezésének pillanatától kezdődik, a kimenő adathasználattól függetlenül. A legfrissebb díjszabási információkért tekintse meg az Azure Bastion díjszabási oldalát.
Újdonságok
Iratkozzon fel az RSS-hírcsatornára, és tekintse meg az Azure Frissítések oldalon az Azure Bastion legújabb funkciófrissítéseit.
Bastion – GYIK
A gyakori kérdésekért tekintse meg a Bastion GYIK-et.
Következő lépések
- Rövid útmutató: A Bastion automatikus üzembe helyezése – Alapszintű termékváltozat
- Rövid útmutató: A Bastion automatikus üzembe helyezése – Fejlesztői termékváltozat
- Oktatóanyag: A Bastion üzembe helyezése a megadott beállítások használatával
- Learn modul: Bevezetés az Azure Bastion használatába
- Az Azure néhány fontos hálózati funkciójának megismerése
- További információ az Azure hálózati biztonságáról