Apa itu Azure Bastion?
Azure Bastion adalah layanan PaaS terkelola penuh yang Anda provisikan untuk terhubung dengan aman ke komputer virtual melalui alamat IP privat. Ini menyediakan konektivitas RDP/SSH yang aman dan mulus ke komputer virtual Anda langsung melalui TLS dari portal Azure, atau melalui klien SSH atau RDP asli yang sudah diinstal di komputer lokal Anda. Saat Anda tersambung melalui Azure Bastion, komputer virtual Anda tidak memerlukan alamat IP publik, agen, atau perangkat lunak klien khusus.
Bastion menyediakan konektivitas RDP dan SSH yang aman ke semua VM di jaringan virtual tempat VM disediakan. Menggunakan Azure Bastion melindungi komputer virtual Anda dari mengekspos port RDP/SSH ke dunia luar, sambil tetap menyediakan akses aman menggunakan RDP/SSH.
Manfaat utama
| Keuntungan | Deskripsi |
|---|---|
| RDP dan SSH melalui portal Microsoft Azure | Anda dapat masuk ke sesi RDP dan SSH secara langsung di portal Azure menggunakan pengalaman lancar satu klik. |
| Sesi Jarak Jauh melalui TLS dan firewall traversal untuk RDP / SSH | Azure Bastion menggunakan klien web berbasis HTML5 yang secara otomatis dialirkan ke perangkat lokal Anda. Sesi RDP/SSH Anda melalui TLS pada port 443. Ini memungkinkan lalu lintas melintasi firewall dengan lebih aman. Bastion mendukung TLS 1.2. Versi TLS yang lebih lama tidak didukung. |
| Tidak diperlukan alamat IP Publik pada Azure VM | Azure Bastion membuka koneksi RDP/SSH ke Azure VM Anda menggunakan alamat IP privat di mesin virtual Anda. Anda tidak memerlukan alamat IP publik di mesin virtual Anda. |
| Tidak perlu repot mengelola Kelompok Keamanan Jaringan (NSG) | Anda tidak perlu menerapkan NSG apa pun di subnet Azure Bastion. Karena Azure Bastion tersambung ke komputer virtual Anda melalui IP privat, Anda dapat mengonfigurasi NSG untuk mengizinkan RDP/SSH dari Azure Bastion saja. Ini menghilangkan kerumitan dalam mengelola NSG setiap kali Anda perlu tersambung dengan aman ke komputer virtual Anda. Untuk informasi selengkapnya tentang NSG, lihat Kelompok Keamanan Jaringan. |
| Tidak perlu mengelola host bastion terpisah pada mesin virtual | Azure Bastion adalah layanan PaaS platform yang dikelola sepenuhnya dari Azure yang diperkuat secara internal untuk memberikan Anda konektivitas RDP/SSH yang aman. |
| Perlindungan terhadap pemindaian port | Mesin virtual Anda dilindungi terhadap pemindaian port oleh peretas jahat dan berbahaya karena Anda tidak perlu mengeksposnya ke internet. |
| Pengerasan di satu tempat saja | Azure Bastion berada di perimeter jaringan virtual, jadi, Anda tidak perlu khawatir dengan pengerasan tiap komputer virtual di jaringan virtual. |
| Melindungi dari eksploitasi zero-day | Platform Azure memproteksi dari eksploitasi zero-day dengan menjaga Azure Bastion tetap menguat dan selalu diperbarui untuk Anda. |
SKU
Azure Bastion menawarkan beberapa tingkat SKU. Tabel berikut ini menampilkan fitur dan SKU terkait. Untuk informasi selengkapnya tentang SKU, lihat artikel Pengaturan konfigurasi.
| Fitur | SKU Pengembang | SKU Dasar | SKU Standar | SKU Premium |
|---|---|---|---|---|
| Koneksi untuk menargetkan VM di jaringan virtual yang sama | Ya | Ya | Ya | Ya |
| Koneksi untuk menargetkan VM di jaringan virtual di-peer | Tidak | Ya | Ya | Ya |
| Dukungan untuk koneksi bersamaan | Tidak | Ya | Ya | Ya |
| Mengakses Kunci Privat Linux VM di Azure Key Vault (AKV) | Tidak | Ya | Ya | Ya |
| Menghubungkan ke mesin virtual Linux menggunakan SSH | Ya | Ya | Ya | Ya |
| Menyambungkan ke mesin virtual Windows menggunakan RDP | Ya | Ya | Ya | Ya |
| Menghubungkan ke VM Linux menggunakan RDP | Tidak | No | Ya | Ya |
| Menghubungkan ke VM Windows menggunakan SSH | Tidak | No | Ya | Ya |
| Menentukan port masuk kustom | Tidak | No | Ya | Ya |
| Koneksi ke VM menggunakan Azure CLI | Tidak | No | Ya | Ya |
| Penskalaan host | Tidak | No | Ya | Ya |
| Unggah atau unduh file | Tidak | No | Ya | Ya |
| Otentikasi Kerberos | Tidak | Ya | Ya | Ya |
| Tautan yang dapat dibagikan | Tidak | No | Ya | Ya |
| Koneksi ke VM melalui alamat IP | Tidak | No | Ya | Ya |
| Output audio mesin virtual | Ya | Ya | Ya | Ya |
| Menonaktifkan salin/tempel (klien berbasis web) | Tidak | No | Ya | Ya |
| Perekaman sesi | Tidak | No | No | Ya |
| Penyebaran khusus privat | Tidak | No | No | Ya |
Sistem
Azure Bastion menawarkan beberapa arsitektur penyebaran, tergantung pada konfigurasi SKU dan opsi yang dipilih. Untuk sebagian besar SKU, Bastion disebarkan ke jaringan virtual dan mendukung peering jaringan virtual. Secara khusus, Azure Bastion mengelola konektivitas RDP/SSH ke VM yang dibuat di jaringan virtual lokal atau di-peer.
RDP dan SSH adalah beberapa cara mendasar di mana Anda dapat tersambung ke beban kerja Anda yang berjalan di Azure. Mengekspos port RDP/SSH melalui Internet tidak diinginkan dan dipandang sebagai permukaan ancaman yang signifikan. Ini sering disebabkan oleh kerentanan protokol. Untuk menahan permukaan ancaman ini, Anda dapat menyebarkan host bastion (juga dikenal sebagai jump-server) di sisi publik jaringan sekitar Anda. Server host Bastion dirancang dan dikonfigurasi untuk menahan serangan. Server Bastion juga menyediakan konektivitas RDP dan SSH ke beban kerja di belakang bastion, serta yang lebih jauh di dalam jaringan.
SKU yang Anda pilih saat menyebarkan Bastion menentukan arsitektur dan fitur yang tersedia. Anda dapat meningkatkan ke SKU yang lebih tinggi untuk mendukung lebih banyak fitur, tetapi Anda tidak dapat menurunkan SKU setelah menyebarkan. Arsitektur tertentu, seperti SKU Khusus Privat dan Pengembang, harus dikonfigurasi pada saat penyebaran. Untuk informasi selengkapnya tentang setiap arsitektur, lihat Desain dan arsitektur Bastion.
Diagram berikut menunjukkan arsitektur yang tersedia untuk Azure Bastion.
SKU dasar dan yang lebih tinggi
SKU Pengembang
Penyebaran khusus privat (Pratinjau)
Zona ketersediaan
Beberapa wilayah mendukung kemampuan untuk menyebarkan Azure Bastion di zona ketersediaan (atau beberapa, untuk redundansi zona). Untuk menyebarkan secara zona, sebarkan Bastion menggunakan pengaturan yang ditentukan secara manual (jangan sebarkan menggunakan pengaturan default otomatis). Tentukan zona ketersediaan yang diinginkan pada saat penyebaran. Anda tidak dapat mengubah ketersediaan zona setelah Bastion disebarkan.
Dukungan untuk Zona Ketersediaan saat ini dalam pratinjau. Selama pratinjau, wilayah berikut tersedia:
- AS Timur
- Australia Timur
- AS Timur 2
- US Tengah
- Qatar Tengah
- Afrika Selatan Utara
- Eropa Barat
- US Barat 2
- Eropa Utara
- Swedia Tengah
- UK Selatan
- Kanada Tengah
Penskalaan host
Azure Bastion mendukung penskalaan host manual. Anda dapat mengonfigurasi jumlah instans host (unit skala) untuk mengelola jumlah koneksi RDP/SSH bersamaan yang dapat didukung Azure Bastion. Meningkatkan jumlah instans host memungkinkan Azure Bastion mengelola sesi yang lebih bersamaan. Mengurangi jumlah instans mengurangi jumlah sesi yang didukung bersamaan. Azure Bastion mendukung hingga 50 instans host. Fitur ini tersedia untuk SKU Standar dan yang lebih tinggi.
Untuk informasi selengkapnya, lihat artikel Pengaturan konfigurasi.
Harga
Harga Azure Bastion adalah kombinasi harga per jam berdasarkan SKU dan instans (unit skala), ditambah tarif transfer data. Harga per jam dimulai sejak Bastion disebarkan, terlepas dari penggunaan data keluar. Untuk informasi harga terbaru, lihat halaman harga Azure Bastion.
Apa yang baru?
Berlangganan umpan RSS dan lihat pembaruan fitur Azure Bastion terbaru di halaman Pembaruan Azure.
FAQ Bastion
Untuk tanya jawab umum, lihatlah FAQ Bastion.
Langkah berikutnya
- Mulai Cepat: Menyebarkan Bastion secara otomatis - SKU Dasar
- Mulai Cepat: Menyebarkan Bastion secara otomatis - SKU Pengembang
- Tutorial: Menyebarkan Bastion menggunakan pengaturan yang ditentukan
- Pelajari modul: Pengantar Azure Bastion
- Pelajari tentang beberapa kemampuan jaringan utama Azure lainnya
- Pelajari selengkapnya tentang keamanan jaringan Azure