Azure Bastion 정보
Azure Bastion은 개인 IP 주소를 통해 가상 머신에 안전하게 연결하기 위해 프로비전하는 완전 관리형 PaaS 서비스입니다. Azure Portal의 TLS를 통해 직접 또는 로컬 컴퓨터에 이미 설치된 네이티브 SSH 또는 RDP 클라이언트를 통해 가상 머신에 안전하고 원활한 RDP/SSH 연결을 제공합니다. Azure Bastion을 통해 연결하는 경우 가상 머신에 공용 IP 주소, 에이전트 또는 특수 클라이언트 소프트웨어가 필요하지 않습니다.
Bastion은 프로비전된 가상 네트워크의 모든 VM에 대한 보안 RDP 및 SSH 연결을 제공합니다. Azure Bastion을 사용하면 RDP/SSH를 사용한 보안 액세스 기능을 제공하면서 외부 환경에는 RDP/SSH 포트가 노출되지 않게 가상 머신을 보호할 수 있습니다.
다음 다이어그램은 기본 또는 표준 SKU를 사용하는 Bastion 배포를 통한 가상 머신에 대한 연결을 보여 줍니다.
주요 이점
| 이점 | 설명 |
|---|---|
| Azure Portal을 통한 RDP 및 SSH | 단 한 번의 클릭으로 원활한 환경을 사용하여 Azure Portal에서 RDP 및 SSH 세션을 가져올 수 있습니다. |
| RDP/SSH를 위한 TLS 및 방화벽 통과를 통한 원격 세션 | Azure Bastion은 자동으로 로컬 디바이스로 스트리밍되는 HTML5 기반 웹 클라이언트를 사용합니다. RDP/SSH 세션은 포트 443에서 TLS를 통해 진행됩니다. 이렇게 하면 트래픽이 방화벽을 더 안전하게 통과할 수 있습니다. Bastion은 TLS 1.2를 지원합니다. 이전 TLS 버전은 지원되지 않습니다. |
| Azure VM에 공용 IP 주소가 필요하지 않습니다. | Azure Bastion은 VM에서 개인 IP 주소를 사용하여 Azure VM에 대한 RDP/SSH 연결을 엽니다. 가상 머신에서 공용 IP 주소가 필요하지 않습니다. |
| NSG(네트워크 보안 그룹) 관리의 번거로움이 없음 | Azure Bastion 서브넷에 NSG를 적용할 필요가 없습니다. Azure Bastion은 개인 IP를 통해 가상 머신에 연결하므로 Azure Bastion의 RDP/SSH만 허용하도록 NSG를 구성할 수 있습니다. 이렇게 하면 가상 머신에 안전하게 연결하기 위해 매번 NSG를 관리하는 번거로움이 사라집니다. NSG에 대한 자세한 내용은 네트워크 보안 그룹을 참조하세요. |
| VM에서 별도의 베스천 호스트를 관리할 필요가 없습니다. | Azure Bastion은 안전한 RDP/SSH 연결을 제공하기 위해 내부적으로 강화된 Azure의 완전 관리형 플랫폼 PaaS 서비스입니다. |
| 포트 검색으로부터 보호 | VM을 인터넷에 공개할 필요가 없기 때문에 사기 및 악성 해커의 포트 검색으로부터 VM을 보호할 수 있습니다. |
| 단일 지점에서 강화 | Azure Bastion은 가상 네트워크의 경계에 위치하므로 가상 네트워크의 각 VM을 강화할 필요가 없습니다. |
| 제로 데이 공격으로부터 보호 | Azure 플랫폼은 Azure Bastion을 강화하고 항상 최신 상태로 유지함으로써 제로 데이 공격으로부터 보호합니다. |
SKU
Azure Bastion은 여러 SKU 계층을 제공합니다. 다음 표에서는 기능 및 해당 SKU를 보여 줍니다.
| 기능 | 개발자 SKU | 기본 SKU | 표준 SKU |
|---|---|---|---|
| 동일한 가상 네트워크의 대상 VM에 연결 | 예 | 네 | 예 |
| 피어링 가상 네트워크의 대상 VM에 대한 연결 | 예 | 예 | 예 |
| 동시 연결 지원 | 예 | 네 | 예 |
| AKV(Azure Key Vault)에서 Linux VM 프라이빗 키에 액세스 | 예 | 네 | 예 |
| SSH를 사용하여 Linux VM에 연결 | 예 | 예 | 예 |
| RDP를 사용하여 Windows VM에 연결 | 예 | 예 | 예 |
| RDP를 사용하여 Linux VM에 연결 | 아니요 | 없음 | 예 |
| SSH를 사용하여 Windows VM에 연결 | 아니요 | 없음 | 예 |
| 사용자 지정 인바운드 포트 지정 | 아니요 | 없음 | 예 |
| Azure CLI를 사용하여 VM에 연결 | 아니요 | 없음 | 예 |
| 호스트 스케일링 | 아니요 | 없음 | 예 |
| 파일 업로드 또는 다운로드 | 아니요 | 없음 | 예 |
| Kerberos 인증 | 예 | 예 | 예 |
| 공유 가능한 링크 | 아니요 | 없음 | 예 |
| IP 주소를 통해 VM에 연결 | 아니요 | 없음 | 예 |
| VM 오디오 출력 | 예 | 네 | 예 |
| 복사/붙여넣기 사용 안 함(웹 기반 클라이언트) | 아니요 | 없음 | 예 |
SKU 업그레이드 방법 및 새 개발자 SKU(현재 미리 보기)에 대한 정보를 포함하여 SKU에 대한 자세한 내용은 구성 설정 문서를 참조하세요.
아키텍처
이 섹션은 다르게 배포되는 개발자 SKU를 제외한 모든 SKU 계층에 적용됩니다. Azure Bastion은 가상 네트워크에 배포되고 가상 네트워크 피어링을 지원합니다. 특히 Azure Bastion은 로컬 또는 피어링된 가상 네트워크에서 만든 VM에 대한 RDP/SSH 연결을 관리합니다.
RDP 및 SSH는 Azure에서 실행 중인 워크로드에 연결하는 데 사용할 수 있는 기본 수단 중 일부입니다. 인터넷을 통해 RDP/SSH 포트를 노출하는 것은 바람직하지 않으며 중요한 위협 요소로 간주됩니다. 이는 프로토콜 취약성으로 인해 종종 발생합니다. 이 위협 요소를 포함하기 위해 경계 네트워크의 공용 측에 요새 호스트(점프 서버라고도 함)를 배포할 수 있습니다. Bastion 호스트 서버는 공격에 대응하도록 설계 및 구성됩니다. 또한 Bastion 서버는 요새 뒤와 네트워크 내부에 있는 워크로드 모두에 대한 RDP 및 SSH 연결을 제공합니다.
현재 기본적으로 새 Bastion 배포는 영역 중복을 지원하지 않습니다. 이전에 배포된 베스천은 영역 중복일 수도 있고 그렇지 않을 수도 있습니다. 예외는 지역 중복을 지원하는 한국 중부 및 동남 아시아의 Bastion 배포입니다.
이 그림은 Azure Bastion 배포 아키텍처를 보여줍니다. 이 다이어그램은 개발자 SKU에는 적용되지 않습니다. 이 다이어그램에서
- Bastion 호스트는 최소/26 접두사가 있는 AzureBastionSubnet 서브넷이 포함된 가상 네트워크에 배포됩니다.
- 사용자는 HTML5 브라우저를 사용하여 Azure Portal에 연결합니다.
- 사용자가 연결할 가상 머신을 선택합니다.
- 한 번의 클릭으로 RDP/SSH 세션이 브라우저에서 열립니다.
- Azure VM에 공용 IP가 필요하지 않습니다.
호스트 스케일링
Azure Bastion은 수동 호스트 스케일링을 지원합니다. Azure Bastion에서 지원할 수 있는 동시 RDP/SSH 연결 수를 관리하기 위해 호스트 인스턴스 수(스케일 단위)를 구성할 수 있습니다. 호스트 인스턴스 수를 늘리면 Azure Bastion이 더 많은 동시 세션을 관리할 수 있습니다. 인스턴스 수를 줄이면 지원되는 동시 세션 수가 줄어듭니다. Azure Bastion은 최대 50개의 호스트 인스턴스를 지원합니다. 이 기능은 Azure Bastion 표준 SKU에만 사용할 수 있습니다.
자세한 내용은 구성 설정 문서를 참조하세요.
가격 책정
Azure Bastion 가격 책정은 SKU 및 인스턴스(스케일 단위)를 기준으로 시간별 가격 책정과 데이터 전송 요금의 조합입니다. 시간별 가격 책정은 아웃바운드 데이터 사용량에 관계없이 Bastion이 배포된 순간부터 시작됩니다. 최신 가격 책정 정보는 Azure Bastion 가격 책정 페이지를 참조하세요.
새로운 기능
RSS 피드를 구독하고 Azure 업데이트 페이지에서 최신 Azure Bastion 기능 업데이트를 확인합니다.
Bastion FAQ
자주 묻는 질문은 FAQ를 참조하세요.