Apa itu Azure Bastion?
Azure Bastion adalah layanan PaaS terkelola penuh yang Anda provisikan untuk terhubung dengan aman ke komputer virtual melalui alamat IP privat. Ini menyediakan konektivitas RDP/SSH yang aman dan mulus ke komputer virtual Anda langsung melalui TLS dari portal Azure, atau melalui klien SSH atau RDP asli yang sudah diinstal di komputer lokal Anda. Saat Anda tersambung melalui Azure Bastion, komputer virtual Anda tidak memerlukan alamat IP publik, agen, atau perangkat lunak klien khusus.
Bastion menyediakan konektivitas RDP dan SSH yang aman ke semua VM di jaringan virtual tempat VM disediakan. Menggunakan Azure Bastion melindungi komputer virtual Anda dari mengekspos port RDP/SSH ke dunia luar, sambil tetap menyediakan akses aman menggunakan RDP/SSH.
Diagram berikut menunjukkan koneksi ke komputer virtual melalui penyebaran Bastion yang menggunakan SKU Dasar atau Standar.
Manfaat utama
| Keuntungan | Deskripsi |
|---|---|
| RDP dan SSH melalui portal Microsoft Azure | Anda dapat masuk ke sesi RDP dan SSH secara langsung di portal Azure menggunakan pengalaman lancar satu klik. |
| Sesi Jarak Jauh melalui TLS dan firewall traversal untuk RDP / SSH | Azure Bastion menggunakan klien web berbasis HTML5 yang secara otomatis dialirkan ke perangkat lokal Anda. Sesi RDP/SSH Anda melalui TLS pada port 443. Ini memungkinkan lalu lintas melintasi firewall dengan lebih aman. Bastion mendukung TLS 1.2. Versi TLS yang lebih lama tidak didukung. |
| Tidak diperlukan alamat IP Publik pada Azure VM | Azure Bastion membuka koneksi RDP/SSH ke Azure VM Anda menggunakan alamat IP privat di mesin virtual Anda. Anda tidak memerlukan alamat IP publik di mesin virtual Anda. |
| Tidak perlu repot mengelola Kelompok Keamanan Jaringan (NSG) | Anda tidak perlu menerapkan NSG apa pun di subnet Azure Bastion. Karena Azure Bastion tersambung ke komputer virtual Anda melalui IP privat, Anda dapat mengonfigurasi NSG untuk mengizinkan RDP/SSH dari Azure Bastion saja. Ini menghilangkan kerumitan dalam mengelola NSG setiap kali Anda perlu tersambung dengan aman ke komputer virtual Anda. Untuk informasi selengkapnya tentang NSG, lihat Kelompok Keamanan Jaringan. |
| Tidak perlu mengelola host bastion terpisah pada mesin virtual | Azure Bastion adalah layanan PaaS platform yang dikelola sepenuhnya dari Azure yang diperkuat secara internal untuk memberikan Anda konektivitas RDP/SSH yang aman. |
| Perlindungan terhadap pemindaian port | Mesin virtual Anda dilindungi terhadap pemindaian port oleh peretas jahat dan berbahaya karena Anda tidak perlu mengeksposnya ke internet. |
| Pengerasan di satu tempat saja | Azure Bastion berada di perimeter jaringan virtual, jadi, Anda tidak perlu khawatir dengan pengerasan tiap komputer virtual di jaringan virtual. |
| Melindungi dari eksploitasi zero-day | Platform Azure memproteksi dari eksploitasi zero-day dengan menjaga Azure Bastion tetap menguat dan selalu diperbarui untuk Anda. |
SKU
Azure Bastion menawarkan beberapa tingkat SKU. Tabel berikut ini menampilkan fitur dan SKU terkait.
| Fitur | SKU Pengembang | SKU Dasar | SKU Standar |
|---|---|---|---|
| Koneksi untuk menargetkan VM di jaringan virtual yang sama | Ya | Ya | Ya |
| Koneksi untuk menargetkan VM di jaringan virtual di-peer | Tidak | Ya | Ya |
| Dukungan untuk koneksi bersamaan | Tidak | Ya | Ya |
| Mengakses Kunci Privat Linux VM di Azure Key Vault (AKV) | Tidak | Ya | Ya |
| Menghubungkan ke mesin virtual Linux menggunakan SSH | Ya | Ya | Ya |
| Menyambungkan ke mesin virtual Windows menggunakan RDP | Ya | Ya | Ya |
| Menghubungkan ke VM Linux menggunakan RDP | Tidak | No | Ya |
| Menghubungkan ke VM Windows menggunakan SSH | Tidak | No | Ya |
| Menentukan port masuk kustom | Tidak | No | Ya |
| Koneksi ke VM menggunakan Azure CLI | Tidak | No | Ya |
| Penskalaan host | Tidak | No | Ya |
| Unggah atau unduh file | Tidak | No | Ya |
| Otentikasi Kerberos | Tidak | Ya | Ya |
| Tautan yang dapat dibagikan | Tidak | No | Ya |
| Koneksi ke VM melalui alamat IP | Tidak | No | Ya |
| Output audio mesin virtual | Ya | Ya | Ya |
| Menonaktifkan salin/tempel (klien berbasis web) | Tidak | No | Ya |
Untuk informasi selengkapnya tentang SKU, termasuk cara meningkatkan SKU dan informasi tentang SKU Pengembang baru (saat ini dalam Pratinjau), lihat artikel Pengaturan konfigurasi .
Arsitektur
Bagian ini berlaku untuk semua tingkatan SKU kecuali SKU Pengembang, yang disebarkan secara berbeda. Azure Bastion diterapkan ke jaringan virtual dan mendukung peering jaringan virtual. Secara khusus, Azure Bastion mengelola konektivitas RDP/SSH ke VM yang dibuat di jaringan virtual lokal atau di-peer.
RDP dan SSH adalah beberapa cara mendasar di mana Anda dapat tersambung ke beban kerja Anda yang berjalan di Azure. Mengekspos port RDP/SSH melalui Internet tidak diinginkan dan dipandang sebagai permukaan ancaman yang signifikan. Ini sering disebabkan oleh kerentanan protokol. Untuk menahan permukaan ancaman ini, Anda dapat menyebarkan host bastion (juga dikenal sebagai jump-server) di sisi publik jaringan sekitar Anda. Server host Bastion dirancang dan dikonfigurasi untuk menahan serangan. Server Bastion juga menyediakan konektivitas RDP dan SSH ke beban kerja di belakang bastion, serta yang lebih jauh di dalam jaringan.
Saat ini, secara default, penyebaran Bastion baru tidak mendukung redundansi zona. Bastion yang disebarkan sebelumnya mungkin, atau mungkin tidak, menjadi zona-redundan. Pengecualiannya adalah penyebaran Bastion di Korea Tengah dan Asia Tenggara, yang mendukung redundansi zona.
Gambar ini menunjukkan arsitektur penyebaran Azure Bastion. Diagram ini tidak berlaku untuk SKU Pengembang. Di dalam diagram ini:
- Host Bastion disebarkan di jaringan virtual yang berisi subnet AzureBastionSubnet yang memiliki awalan minimal /26.
- Pengguna tersambung ke portal Microsoft Azure menggunakan browser HTML5 apa pun.
- Pengguna memilih komputer virtual untuk disambungkan.
- Dengan sekali klik, sesi RDP/SSH terbuka di browser.
- Tidak diperlukan IP publik pada Azure VM.
Penskalaan host
Azure Bastion mendukung penskalaan host manual. Anda dapat mengonfigurasi jumlah instans host (unit skala) untuk mengelola jumlah koneksi RDP/SSH bersamaan yang dapat didukung Azure Bastion. Meningkatkan jumlah instans host memungkinkan Azure Bastion mengelola sesi yang lebih bersamaan. Mengurangi jumlah instans mengurangi jumlah sesi yang didukung bersamaan. Azure Bastion mendukung hingga 50 instans host. Fitur ini hanya tersedia untuk SKU Standar Azure Bastion.
Untuk informasi selengkapnya, lihat artikel Pengaturan konfigurasi.
Harga
Harga Azure Bastion adalah kombinasi harga per jam berdasarkan SKU dan instans (unit skala), ditambah tarif transfer data. Harga per jam dimulai sejak Bastion disebarkan, terlepas dari penggunaan data keluar. Untuk informasi harga terbaru, lihat halaman harga Azure Bastion.
Yang baru?
Berlangganan umpan RSS dan lihat pembaruan fitur Azure Bastion terbaru di halaman Pembaruan Azure.
FAQ Bastion
Untuk tanya jawab umum, lihatlah FAQ Bastion.
Langkah berikutnya
- Mulai Cepat: Menyebarkan Bastion secara otomatis - SKU Dasar
- Mulai Cepat: Menyebarkan Bastion secara otomatis - SKU Pengembang
- Tutorial: Menyebarkan Bastion menggunakan pengaturan yang ditentukan
- Pelajari modul: Pengantar Azure Bastion
- Pelajari tentang beberapa kemampuan jaringan utama Azure lainnya
- Pelajari selengkapnya tentang keamanan jaringan Azure