Что такое Бастион Azure

Бастион Azure — это служба, которая позволяет подключаться к виртуальной машине с помощью браузера и портала Azure или через собственный клиент SSH или RDP, уже установленный на локальном компьютере. Бастион Azure — это полностью управляемая платформой служба PaaS, которая подготавливается в виртуальной сети. Она обеспечивает безопасное и бесперебойное подключение RDP или SSH к виртуальным машинам непосредственно на портале Azure по протоколу TLS. При подключении с помощью Azure Bastion виртуальным машинам не требуются общедоступные IP-адреса, агенты или специальное клиентское ПО.

Бастион обеспечивает безопасное подключение по RDP и SSH ко всем виртуальным машинам в виртуальной сети, в которой он предоставляется. Бастион Azure позволяет защитить порты RDP и SSH ваших виртуальных машин от внешних проникновений, обеспечивая при этом безопасный доступ с использованием этих протоколов.

Схема, демонстрирующая архитектуру Бастиона Azure

Основные преимущества

Преимущество Описание
RDP и SSH через портал Azure Вы можете перейти к сеансу RDP и SSH прямо на портале Azure, используя один щелчок для совместной работы.
Удаленный сеанс по протоколу TLS и обход брандмауэра для RDP и SSH Бастион Azure использует веб-клиент на основе HTML5, который автоматически передается на локальное устройство. Сеанс RDP и SSH работает по протоколу TLS через порт 443. Это позволяет безопаснее перемещать трафик через брандмауэры.
На виртуальной машине Azure не требуется общедоступный IP-адрес. Бастион Azure открывает подключение RDP и SSH к вашей виртуальной машине Azure, используя частный IP-адрес на виртуальной машине. На вашей виртуальной машине не требуется общедоступный IP-адрес.
Беспроблемное управление группами безопасности сети (NSG) Вам не нужно применять группы безопасности сети в подсети Бастиона Azure. Поскольку Бастион Azure подключается к вашим виртуальным машинам по частному IP-адресу, вы можете настроить свои NSG так, чтобы они разрешали RDP или SSH только из Бастиона Azure. Это устраняет необходимость управлять NSG каждый раз, когда необходимо безопасно подключиться к виртуальным машинам. Дополнительные сведения о группах безопасности сети см. в этой статье.
Нет необходимости управлять отдельным узлом-бастионом на виртуальной машине Бастион Azure — это полностью управляемая платформа службы PaaS от Azure, которая внутреннее защищена для обеспечения надежного подключения RDP или SSH.
Защита от сканирования портов Ваши виртуальные машины защищены от сканирования портов злоумышленниками, так как вам не нужно предоставлять доступ к виртуальным машинам через Интернет.
Централизованная защита Бастион Azure расположен по периметру виртуальной сети, поэтому не стоит беспокоиться об усилении защиты каждой виртуальной машины в вашей виртуальной сети.
Защита от эксплойтов нулевого дня Платформа Azure защищает от эксплойтов нулевого дня, в результате чего Бастион Azure защищен и всегда актуален для вас.

Номера SKU

Бастион Azure имеет два доступных номера SKU: уровня "Базовый" и уровня "Стандартный". Дополнительные сведения, в том числе информацию об обновлении номера SKU, см. в статье Параметры конфигурации.

В таблице ниже приведены функции и соответствующие номера SKU.

Компонент SKU "Базовый" SKU "Стандартный"
Подключение к целевым виртуальным машинам в одноранговых виртуальных сетях Да Да
Доступ к закрытым ключам виртуальной машины Linux в Azure Key Vault (AKV) Да Да
Подключение к виртуальной машине Linux с помощью SSH Да Да
Подключение к виртуальной машине Windows с помощью RDP Да Да
Проверка подлинности по протоколу Kerberos Да Да
Аудиовыход виртуальной машины Да Да
Ссылка для общего доступа нет Да
Подключение к виртуальным машинам с помощью собственного клиента нет Да
Подключение к виртуальным машинам через IP-адрес нет Да
Масштабирование узлов Нет Да
Определение настраиваемого входящего порта Нет Да
Подключение к виртуальной машине Linux с помощью RDP Нет Да
Подключение к виртуальной машине Windows с помощью SSH Нет Да
Отправка или скачивание файлов Нет Да
Отключение копирования и вставки (веб-клиенты) нет Да

Архитектура

Бастион Azure развертывается в виртуальной сети и поддерживает пиринг между виртуальными сетями. В частности, Бастион Azure управляет подключением RDP или SSH к виртуальным машинам, созданным в локальных или одноранговых виртуальных сетях.

RDP и SSH являются одними из основных средств, с помощью которых вы можете подключаться к рабочим нагрузкам, которые выполняются в Azure. Предоставление портов RDP или SSH через Интернет нежелательно и рассматривается как поверхность существенной угрозы. Часто это связано с уязвимостями протокола. Чтобы сдержать эту поверхность угрозы, можно развернуть узлы-Бастионы (также известные как jump-серверы) на открытой стороне вашей сети периметра. Серверы Бастиона разработаны и настроены для выдерживания атак. Серверы Бастиона также обеспечивают подключение RDP и SSH к рабочим нагрузкам, которые находятся за Бастионом, а также внутри сети.

В настоящее время по умолчанию новые развертывания Бастиона не поддерживают избыточности между зонами. Ранее развернутые бастионы могут быть избыточными между зонами. Исключениями являются развертывания Бастиона в Центральной Корее и Юго-Восточной Азии, которые поддерживают избыточности между зонами.

Схема, демонстрирующая архитектуру Бастиона Azure

На этом рисунке показана архитектура развертывания Бастиона Azure. На этой схеме:

  • Узел-бастион развертывается в виртуальной сети, содержащей подсеть AzureBastionSubnet с минимальным префиксом /26.
  • Пользователь подключается к порталу Azure с помощью любого браузера HTML5.
  • Чтобы подключиться, пользователь выбирает виртуальную машину.
  • Одним щелчком мыши в браузере открывается сеанс RDP или SSH.
  • На виртуальной машине Azure не требуется общедоступный IP-адрес.

Масштабирование узлов

Бастион Azure поддерживает масштабирование узла вручную. Можно настроить количество базовых экземпляров (единиц масштабирования) для управления числом параллельных подключений RDP и SSH, которые может поддерживать Бастион Azure. Увеличение количества базовых экземпляров позволяет Бастиону Azure управлять большим количеством одновременных сеансов. Уменьшение количества экземпляров уменьшает число одновременно поддерживаемых сеансов. Бастион Azure поддерживает до 50 базовых экземпляров. Эта функция доступна только для номера SKU Бастиона Azure уровня "Стандартный".

Дополнительные сведения см. в статье Параметры конфигурации.

Цены

Цены на Бастион Azure — это сочетание почасовых цен на основе SKU и экземпляров (единиц масштабирования), а также скорости передачи данных. Почасовые цены начинаются с момента развертывания Бастиона, независимо от использования исходящих данных. Последние сведения о ценах см. на странице цен на Бастион Azure .

Новые возможности

Подпишитесь на RSS-канал и просматривайте последние обновления компонентов для Бастиона Azure на странице Обновления Azure.

Вопросы и ответы о Бастионе

Часто задаваемые вопросы см. в разделе Вопросы и ответы о Бастионе.

Дальнейшие действия