Azure Bastion 정보
Azure Bastion은 개인 IP 주소를 통해 가상 머신에 안전하게 연결하기 위해 프로비전하는 완전 관리형 PaaS 서비스입니다. Azure Portal의 TLS를 통해 직접 또는 로컬 컴퓨터에 이미 설치된 네이티브 SSH 또는 RDP 클라이언트를 통해 가상 머신에 안전하고 원활한 RDP/SSH 연결을 제공합니다. Azure Bastion을 통해 연결하는 경우 가상 머신에 공용 IP 주소, 에이전트 또는 특수 클라이언트 소프트웨어가 필요하지 않습니다.
Bastion은 프로비전된 가상 네트워크의 모든 VM에 대한 보안 RDP 및 SSH 연결을 제공합니다. Azure Bastion을 사용하면 RDP/SSH를 사용한 보안 액세스 기능을 제공하면서 외부 환경에는 RDP/SSH 포트가 노출되지 않게 가상 머신을 보호할 수 있습니다.
주요 이점
이점 | 설명 |
---|---|
Azure Portal을 통한 RDP 및 SSH | 단 한 번의 클릭으로 원활한 환경을 사용하여 Azure Portal에서 RDP 및 SSH 세션을 가져올 수 있습니다. |
RDP/SSH를 위한 TLS 및 방화벽 통과를 통한 원격 세션 | Azure Bastion은 자동으로 로컬 디바이스로 스트리밍되는 HTML5 기반 웹 클라이언트를 사용합니다. RDP/SSH 세션은 포트 443에서 TLS를 통해 진행됩니다. 이렇게 하면 트래픽이 방화벽을 더 안전하게 통과할 수 있습니다. Bastion은 TLS 1.2를 지원합니다. 이전 TLS 버전은 지원되지 않습니다. |
Azure VM에 공용 IP 주소가 필요하지 않습니다. | Azure Bastion은 VM에서 개인 IP 주소를 사용하여 Azure VM에 대한 RDP/SSH 연결을 엽니다. 가상 머신에서 공용 IP 주소가 필요하지 않습니다. |
NSG(네트워크 보안 그룹) 관리의 번거로움이 없음 | Azure Bastion 서브넷에 NSG를 적용할 필요가 없습니다. Azure Bastion은 개인 IP를 통해 가상 머신에 연결하므로 Azure Bastion의 RDP/SSH만 허용하도록 NSG를 구성할 수 있습니다. 이렇게 하면 가상 머신에 안전하게 연결하기 위해 매번 NSG를 관리하는 번거로움이 사라집니다. NSG에 대한 자세한 내용은 네트워크 보안 그룹을 참조하세요. |
VM에서 별도의 베스천 호스트를 관리할 필요가 없습니다. | Azure Bastion은 안전한 RDP/SSH 연결을 제공하기 위해 내부적으로 강화된 Azure의 완전 관리형 플랫폼 PaaS 서비스입니다. |
포트 검색으로부터 보호 | VM을 인터넷에 공개할 필요가 없기 때문에 사기 및 악성 해커의 포트 검색으로부터 VM을 보호할 수 있습니다. |
단일 지점에서 강화 | Azure Bastion은 가상 네트워크의 경계에 위치하므로 가상 네트워크의 각 VM을 강화할 필요가 없습니다. |
제로 데이 공격으로부터 보호 | Azure 플랫폼은 Azure Bastion을 강화하고 항상 최신 상태로 유지함으로써 제로 데이 공격으로부터 보호합니다. |
SKU
Azure Bastion은 여러 SKU 계층을 제공합니다. 다음 표에서는 기능 및 해당 SKU를 보여 줍니다. SKU에 대한 자세한 내용은 구성 설정 문서를 참조하세요.
기능 | 개발자 SKU | 기본 SKU | 표준 SKU | 프리미엄 SKU |
---|---|---|---|---|
동일한 가상 네트워크의 대상 VM에 연결 | 예 | 네 | 네 | 예 |
피어링 가상 네트워크의 대상 VM에 대한 연결 | 예 | 예 | 예 | 예 |
동시 연결 지원 | 예 | 예 | 네 | 예 |
AKV(Azure Key Vault)에서 Linux VM 프라이빗 키에 액세스 | 예 | 예 | 네 | 예 |
SSH를 사용하여 Linux VM에 연결 | 예 | 예 | 예 | 예 |
RDP를 사용하여 Windows VM에 연결 | 예 | 예 | 예 | 예 |
RDP를 사용하여 Linux VM에 연결 | 아니요 | 아니요 | 예 | 예 |
SSH를 사용하여 Windows VM에 연결 | 아니요 | 아니요 | 예 | 예 |
사용자 지정 인바운드 포트 지정 | 아니요 | 아니요 | 예 | 예 |
Azure CLI를 사용하여 VM에 연결 | 아니요 | 아니요 | 예 | 예 |
호스트 스케일링 | 아니요 | 아니요 | 예 | 예 |
파일 업로드 또는 다운로드 | 아니요 | 아니요 | 예 | 예 |
Kerberos 인증 | 예 | 예 | 예 | 예 |
공유 가능한 링크 | 아니요 | 아니요 | 예 | 예 |
IP 주소를 통해 VM에 연결 | 아니요 | 아니요 | 예 | 예 |
VM 오디오 출력 | 예 | 네 | 네 | 예 |
복사/붙여넣기 사용 안 함(웹 기반 클라이언트) | 아니요 | 아니요 | 예 | 예 |
세션 녹화 | 아니요 | 없음 | 아니요 | 예 |
프라이빗 전용 배포 | 아니요 | 없음 | 아니요 | 예 |
아키텍처
Azure Bastion은 선택한 SKU 및 옵션 구성에 따라 여러 배포 아키텍처를 제공합니다. 대부분의 SKU의 경우 Bastion은 가상 네트워크에 배포되고 가상 네트워크 피어링을 지원합니다. 특히 Azure Bastion은 로컬 또는 피어링된 가상 네트워크에서 만든 VM에 대한 RDP/SSH 연결을 관리합니다.
RDP 및 SSH는 Azure에서 실행 중인 워크로드에 연결하는 데 사용할 수 있는 기본 수단 중 일부입니다. 인터넷을 통해 RDP/SSH 포트를 노출하는 것은 바람직하지 않으며 중요한 위협 요소로 간주됩니다. 이는 프로토콜 취약성으로 인해 종종 발생합니다. 이 위협 요소를 포함하기 위해 경계 네트워크의 공용 측에 요새 호스트(점프 서버라고도 함)를 배포할 수 있습니다. Bastion 호스트 서버는 공격에 대응하도록 설계 및 구성됩니다. 또한 Bastion 서버는 요새 뒤와 네트워크 내부에 있는 워크로드 모두에 대한 RDP 및 SSH 연결을 제공합니다.
Bastion을 배포할 때 선택하는 SKU에 따라 아키텍처와 사용 가능한 기능이 결정됩니다. 더 많은 기능을 지원하기 위해 더 높은 SKU로 업그레이드할 수 있지만 배포 후에는 SKU를 다운그레이드할 수 없습니다. 프라이빗 전용 및 개발자 SKU와 같은 특정 아키텍처는 배포 시 구성해야 합니다. 각 아키텍처에 대한 자세한 내용은 Bastion 디자인 및 아키텍처를 참조하세요.
다음 다이어그램에서는 Azure Bastion에 사용 가능한 아키텍처를 보여 줍니다.
기본 이상 SKU
개발자 SKU
프라이빗 전용 배포(미리 보기)
가용성 영역
일부 지역에서는 가용성 영역(또는 영역 중복성을 위해 여러 영역)에 Azure Bastion을 배포하는 기능을 지원합니다. 영역별로 배포하려면 수동으로 지정된 설정을 사용하여 Bastion을 배포합니다(자동 기본 설정을 사용하여 배포하지 마세요). 배포 시 원하는 가용성 영역을 지정합니다. Bastion이 배포된 후에는 영역 가용성을 변경할 수 없습니다.
가용성 영역에 대한 지원은 현재 미리 보기 상태입니다. 미리 보기 동안 다음 지역을 사용할 수 있습니다.
- 미국 동부
- 오스트레일리아 동부
- 미국 동부 2
- 미국 중부
- 카타르 중부
- 남아프리카 공화국 북부
- 서유럽
- 미국 서부 2
- 북유럽
- 스웨덴 중부
- 영국 남부
- 캐나다 중부
호스트 스케일링
Azure Bastion은 수동 호스트 스케일링을 지원합니다. Azure Bastion에서 지원할 수 있는 동시 RDP/SSH 연결 수를 관리하기 위해 호스트 인스턴스 수(스케일 단위)를 구성할 수 있습니다. 호스트 인스턴스 수를 늘리면 Azure Bastion이 더 많은 동시 세션을 관리할 수 있습니다. 인스턴스 수를 줄이면 지원되는 동시 세션 수가 줄어듭니다. Azure Bastion은 최대 50개의 호스트 인스턴스를 지원합니다. 이 기능은 표준 SKU 이상에서 사용할 수 있습니다.
자세한 내용은 구성 설정 문서를 참조하세요.
가격 책정
Azure Bastion 가격 책정은 SKU 및 인스턴스(스케일 단위)를 기준으로 시간별 가격 책정과 데이터 전송 요금의 조합입니다. 시간별 가격 책정은 아웃바운드 데이터 사용량에 관계없이 Bastion이 배포된 순간부터 시작됩니다. 최신 가격 책정 정보는 Azure Bastion 가격 책정 페이지를 참조하세요.
새로운 기능
RSS 피드를 구독하고 Azure 업데이트 페이지에서 최신 Azure Bastion 기능 업데이트를 확인합니다.
Bastion FAQ
자주 묻는 질문은 FAQ를 참조하세요.