Az Azure Bastion ismertetése

  • 6 perc

Tegyük fel, hogy több olyan virtuális hálózatot állított be, amelyek NSG-k és Azure-tűzfalak kombinációját használják az eszközökhöz és erőforrásokhoz való hozzáférés védelmére és szűrésére, beleértve a virtuális gépeket is. Mostantól védve van a külső fenyegetésektől, de engedélyeznie kell a távolról dolgozó fejlesztőknek és adatelemzőknek, hogy közvetlenül hozzáférjenek ezekhez a virtuális gépekhez.

Egy hagyományos modellben el kell helyeznie a Távoli asztali protokoll (RDP) és/vagy a Secure Shell (SSH) portokat az interneten. Ezek a protokollok a virtuális gépek távoli elérésére használhatók. Ez a folyamat jelentős felületi fenyegetést hoz létre, amelyet kihasználhatnak azok a támadók, akik nyílt felügyeleti portokkal, például RDP-vel vagy SSH-val aktívan vadásznak az akadálymentes gépekre. Ha egy virtuális gépet sikeresen feltörnek, a rendszer belépési pontként használja a környezet további erőforrásainak megtámadásához.

Azure Bastion

Az Azure Bastion egy üzembe helyezhető szolgáltatás, amely lehetővé teszi a virtuális géphez való csatlakozást a böngésző és az Azure Portal használatával. Az Azure Bastion szolgáltatás egy teljesen platform által felügyelt PaaS-szolgáltatás, amelyet a virtuális hálózaton belül építhet ki. Az Azure Bastion biztonságos és zökkenőmentes RDP- és SSH-kapcsolatot biztosít a virtuális gépekhez közvetlenül az Azure Portalról a Transport Layer Security (TLS) használatával. Ha az Azure Bastionon keresztül csatlakozik, a virtuális gépeinek nincs szüksége nyilvános IP-címre, ügynökre vagy meghatározott ügyfélszoftverre.

Diagram showing how a user can make a remote desktop connection to an Azure VM using Azure Bastion.

A Bastion biztonságos RDP- és SSH-kapcsolatot biztosít a virtuális hálózat összes virtuális gépéhez, valamint a társhálózati virtuális hálózatokhoz, amelyekben ki van építve. Az Azure Bastion használatával megvédheti a virtuális gépeket az RDP/SSH-portok külső világba való felfedésétől, miközben továbbra is biztonságos hozzáférést biztosít az RDP/SSH használatával.

Az Azure Bastion üzembe helyezése virtuális hálózatonként történik, és támogatja a virtuális hálózatok közötti társviszony-létesítést, nem előfizetésenként/fiókonként vagy virtuális gépenként. Miután kiépítette az Azure Bastion szolgáltatást a virtuális hálózaton, az RDP/SSH-felület elérhető lesz az azonos virtuális hálózatban lévő összes virtuális gép és a társhálózatú virtuális hálózatok számára.

Az Azure Bastion főbb előnyei

Az Azure Bastion legfontosabb előnyei a következők:

  • RDP és SSH közvetlenül az Azure Portalon: Egy kattintással közvetlenül az Azure Portalon érheti el az RDP- és SSH-munkamenetet.
  • Távoli munkamenet TLS-en keresztül és tűzfalbejárás RDP/SSH esetén: Az Azure Portalról a virtuális géphez való csatlakozással megnyílik egy HTML5-alapú webügyfél, amely automatikusan streamel a helyi eszközre. A távoli asztali protokoll (RDP) és a Secure Shell (SSH) segítségével biztonságosan haladhat át a vállalati tűzfalakon. A kapcsolat biztonságossá tételéhez használja a Transport Layer Security (TLS) protokollt a titkosítás létrehozásához.
  • Nincs szükség nyilvános IP-címre az Azure-beli virtuális gépen: Az Azure Bastion megnyitja az RDP-/SSH-kapcsolatot az Azure-beli virtuális géphez privát IP-cím használatával a virtuális gépen. Nincs szükség nyilvános IP-címre.
  • Nincs gond az NSG-k kezelésével: Az Azure-ból származó, teljes körűen felügyelt paaS-szolgáltatás, amely belsőleg meg van építve a biztonságos RDP/SSH-kapcsolat biztosításához. Nem kell NSG-ket alkalmaznia egy Azure Bastion-alhálózaton.
  • Portvizsgálat elleni védelem: Mivel nem kell a virtuális gépeket az interneten keresztül elérhetővé tennie, a virtuális gépek védettek lesznek a virtuális hálózaton kívül található gazemberek és rosszindulatú felhasználók portvizsgálata ellen.
  • A zéró napi kihasználtság elleni védelem egy helyen: az Azure Bastion egy teljesen platform által felügyelt PaaS-szolgáltatás. Mivel a virtuális hálózat peremhálózatán helyezkedik el, nem kell aggódnia a virtuális hálózat egyes virtuális gépeinek megerősítése miatt. Az Azure platform védelmet nyújt a nulladik napi kihasználtság ellen az Azure Bastion megerősítésével és mindig naprakész állapotban tartásával.

Az Azure Bastion használatával biztonságos RDP- és SSH-kapcsolatot hozhat létre az Azure-beli virtuális gépekhez.

Az Azure Bastion két elérhető termékváltozatot kínál, az Alapszintűt és a Standardot. Az elérhető termékváltozatokban elérhető funkciókkal kapcsolatos további információkért tekintse meg az összefoglaló és az erőforrásegység További információ szakaszában található csatolt dokumentációt.