Co to jest usługa Azure Bastion?
Azure Bastion to w pełni zarządzana usługa PaaS, która umożliwia bezpieczne łączenie się z maszynami wirtualnymi za pośrednictwem prywatnego adresu IP. Zapewnia bezpieczną i bezproblemową łączność RDP/SSH z maszynami wirtualnymi bezpośrednio za pośrednictwem protokołu TLS z witryny Azure Portal lub za pośrednictwem natywnego klienta SSH lub RDP zainstalowanego już na komputerze lokalnym. Po nawiązaniu połączenia za pośrednictwem usługi Azure Bastion maszyny wirtualne nie potrzebują publicznego adresu IP, agenta ani specjalnego oprogramowania klienckiego.
Usługa Bastion zapewnia bezpieczną łączność RDP i SSH ze wszystkimi maszynami wirtualnymi w sieci wirtualnej, dla których jest aprowizowana. Usługa Azure Bastion chroni maszyny wirtualne przed ujawnieniem portów RDP/SSH na zewnątrz, jednocześnie zapewniając bezpieczny dostęp przy użyciu protokołu RDP/SSH.
Na poniższym diagramie przedstawiono połączenia z maszynami wirtualnymi za pośrednictwem wdrożenia usługi Bastion, które korzysta z jednostki SKU w warstwie Podstawowa lub Standardowa.
Główne korzyści
| Korzyści | opis |
|---|---|
| Protokół RDP i protokół SSH za pośrednictwem witryny Azure Portal | Możesz przejść do sesji RDP i SSH bezpośrednio w witrynie Azure Portal przy użyciu bezproblemowego środowiska jednokrotnego kliknięcia. |
| Sesja zdalna za pośrednictwem protokołu TLS i przechodzenia przez zaporę dla protokołu RDP/SSH | Usługa Azure Bastion używa klienta internetowego opartego na języku HTML5, który jest automatycznie przesyłany strumieniowo do urządzenia lokalnego. Sesja protokołu RDP/SSH odbywa się za pośrednictwem protokołu TLS na porcie 443. Dzięki temu ruch może bezpieczniej przechodzić przez zapory. Usługa Bastion obsługuje protokół TLS 1.2. Starsze wersje protokołu TLS nie są obsługiwane. |
| Na maszynie wirtualnej platformy Azure nie jest wymagany publiczny adres IP | Usługa Azure Bastion otwiera połączenie RDP/SSH z maszyną wirtualną platformy Azure przy użyciu prywatnego adresu IP na maszynie wirtualnej. Nie potrzebujesz publicznego adresu IP na maszynie wirtualnej. |
| Brak problemów z zarządzaniem sieciowymi grupami zabezpieczeń | Nie musisz stosować żadnych sieciowych grup zabezpieczeń do podsieci usługi Azure Bastion. Ponieważ usługa Azure Bastion łączy się z maszynami wirtualnymi za pośrednictwem prywatnego adresu IP, możesz skonfigurować sieciowe grupy zabezpieczeń tak, aby zezwalały na używanie protokołu RDP/SSH tylko z usługi Azure Bastion. Eliminuje to problemy z zarządzaniem sieciowymi grupami zabezpieczeń za każdym razem, gdy trzeba bezpiecznie nawiązać połączenie z maszynami wirtualnymi. Aby uzyskać więcej informacji na temat sieciowych grup zabezpieczeń, zobacz Sieciowe grupy zabezpieczeń. |
| Nie trzeba zarządzać oddzielnym hostem bastionu na maszynie wirtualnej | Azure Bastion to w pełni zarządzana usługa PaaS platformy z platformy Azure, która jest wzmocniona wewnętrznie w celu zapewnienia bezpiecznej łączności RDP/SSH. |
| Ochrona przed skanowaniem portów | Maszyny wirtualne są chronione przed skanowaniem portów przez nieautoryzowanych i złośliwych użytkowników, ponieważ nie trzeba ujawniać maszyn wirtualnych w Internecie. |
| Wzmacnianie tylko w jednym miejscu | Usługa Azure Bastion znajduje się w obwodzie sieci wirtualnej, więc nie musisz martwić się o wzmocnienie zabezpieczeń każdej maszyny wirtualnej w sieci wirtualnej. |
| Ochrona przed programami wykorzystującymi luki zero-dniowe | Platforma Azure chroni przed programami wykorzystującymi luki zero-dniowe, zachowując bezpieczeństwo usługi Azure Bastion i zawsze aktualną dla Ciebie. |
Jednostki SKU
Usługa Azure Bastion oferuje wiele warstw jednostki SKU. W poniższej tabeli przedstawiono funkcje i odpowiednie jednostki SKU.
| Funkcja | Jednostka SKU dewelopera | Podstawowy SKU | Standardowy SKU |
|---|---|---|---|
| Połączenie do docelowych maszyn wirtualnych w tej samej sieci wirtualnej | Tak | Tak | Tak |
| Połączenie do docelowych maszyn wirtualnych w równorzędnych sieciach wirtualnych | Nie. | Tak | Tak |
| Obsługa połączeń współbieżnych | Nie. | Tak | Tak |
| Uzyskiwanie dostępu do kluczy prywatnych maszyn wirtualnych z systemem Linux w usłudze Azure Key Vault (AKV) | Nie. | Tak | Tak |
| Połączenie do maszyny wirtualnej z systemem Linux przy użyciu protokołu SSH | Tak | Tak | Tak |
| Połączenie do maszyny wirtualnej z systemem Windows przy użyciu protokołu RDP | Tak | Tak | Tak |
| Połączenie do maszyny wirtualnej z systemem Linux przy użyciu protokołu RDP | Nie | Nie. | Tak |
| Połączenie do maszyny wirtualnej z systemem Windows przy użyciu protokołu SSH | Nie | Nie. | Tak |
| Określanie niestandardowego portu wejściowego | Nie | Nie. | Tak |
| Połączenie do maszyn wirtualnych przy użyciu interfejsu wiersza polecenia platformy Azure | Nie | Nie. | Tak |
| Skalowanie hostów | Nie | Nie. | Tak |
| Przekazywanie lub pobieranie plików | Nie | Nie. | Tak |
| Uwierzytelnianie Kerberos | Nie. | Tak | Tak |
| Link do udostępniania | Nie | Nie. | Tak |
| Połączenie do maszyn wirtualnych za pośrednictwem adresu IP | Nie | Nie. | Tak |
| Dane wyjściowe audio maszyny wirtualnej | Tak | Tak | Tak |
| Wyłączanie kopiowania/wklejania (klienci internetowi) | Nie | Nie. | Tak |
Aby uzyskać więcej informacji na temat jednostek SKU, w tym sposobu uaktualniania jednostki SKU i informacji o nowej jednostce SKU dla deweloperów (obecnie w wersji zapoznawczej), zobacz artykuł Ustawienia konfiguracji.
Architektura
Ta sekcja dotyczy wszystkich warstw jednostki SKU z wyjątkiem jednostki SKU dewelopera, która jest wdrażana inaczej. Usługa Azure Bastion jest wdrażana w sieci wirtualnej i obsługuje komunikację równorzędną sieci wirtualnych. W szczególności usługa Azure Bastion zarządza łącznością RDP/SSH z maszynami wirtualnymi utworzonymi w lokalnych lub równorzędnych sieciach wirtualnych.
Protokoły RDP i SSH to niektóre z podstawowych środków, za pomocą których można łączyć się z obciążeniami uruchomionymi na platformie Azure. Uwidacznianie portów RDP/SSH przez Internet nie jest pożądane i jest postrzegane jako znacząca powierzchnia zagrożenia. Jest to często spowodowane lukami w zabezpieczeniach protokołu. Aby zawierać tę powierzchnię zagrożeń, można wdrożyć hosty bastionu (znane również jako serwery przesiadkowe) po stronie publicznej sieci obwodowej. Serwery hosta bastionu są zaprojektowane i skonfigurowane do wytrzymania ataków. Serwery bastionu zapewniają również łączność RDP i SSH z obciążeniami siedzącymi za bastionem, a także dalej wewnątrz sieci.
Obecnie nowe wdrożenia usługi Bastion domyślnie nie obsługują nadmiarowości stref. Wcześniej wdrożone bastiony mogą być strefowo nadmiarowe lub nie. Wyjątki to wdrożenia usługi Bastion w Korei Środkowej i Południowo-Wschodniej, które obsługują nadmiarowość stref.
Na tym rysunku przedstawiono architekturę wdrożenia usługi Azure Bastion. Ten diagram nie ma zastosowania do jednostki SKU dewelopera. Na tym diagramie:
- Host bastionu jest wdrażany w sieci wirtualnej, która zawiera podsieć AzureBastionSubnet, która ma co najmniej /26 prefiks.
- Użytkownik łączy się z witryną Azure Portal przy użyciu dowolnej przeglądarki HTML5.
- Użytkownik wybiera maszynę wirtualną do nawiązania połączenia.
- Jednym kliknięciem zostanie otwarta sesja protokołu RDP/SSH w przeglądarce.
- Na maszynie wirtualnej platformy Azure nie jest wymagany publiczny adres IP.
Skalowanie hostów
Usługa Azure Bastion obsługuje ręczne skalowanie hostów. Możesz skonfigurować liczbę wystąpień hosta (jednostek skalowania), aby zarządzać liczbą współbieżnych połączeń RDP/SSH, które mogą obsługiwać usługa Azure Bastion. Zwiększenie liczby wystąpień hosta umożliwia usłudze Azure Bastion zarządzanie większą liczbą współbieżnych sesji. Zmniejszenie liczby wystąpień zmniejsza liczbę współbieżnych obsługiwanych sesji. Usługa Azure Bastion obsługuje maksymalnie 50 wystąpień hosta. Ta funkcja jest dostępna tylko dla jednostki SKU usługi Azure Bastion w warstwie Standardowa.
Aby uzyskać więcej informacji, zobacz artykuł Configuration settings (Ustawienia konfiguracji).
Cennik
Cennik usługi Azure Bastion to połączenie cen godzinowych opartych na jednostkach SKU i wystąpieniach (jednostkach skalowania) oraz stawkach transferu danych. Ceny godzinowe zaczynają się od momentu wdrożenia usługi Bastion, niezależnie od użycia danych wychodzących. Aby uzyskać najnowsze informacje o cenach, zobacz stronę cennika usługi Azure Bastion.
Co nowego?
Zasubskrybuj kanał informacyjny RSS i wyświetl najnowsze aktualizacje funkcji usługi Azure Bastion na stronie azure Aktualizacje.
Często zadawane pytania dotyczące usługi Bastion
Aby uzyskać często zadawane pytania, zobacz Często zadawane pytania dotyczące usługi Bastion.
Następne kroki
- Szybki start: automatyczne wdrażanie usługi Bastion — podstawowa jednostka SKU
- Szybki start: automatyczne wdrażanie usługi Bastion — jednostka SKU dewelopera
- Samouczek: wdrażanie usługi Bastion przy użyciu określonych ustawień
- Moduł szkoleniowy: Wprowadzenie do usługi Azure Bastion
- Dowiedz się więcej o innych kluczowych możliwościach sieciowych platformy Azure
- Dowiedz się więcej o zabezpieczeniach sieci platformy Azure