Vad är Azure Bastion?
Azure Bastion tillhandahåller en säker fjärranslutning från Azure-portalen till virtuella Azure-datorer via TLS (Transport Layer Security). Du kan etablera Azure Bastion till samma virtuella Azure-nätverk som dina virtuella datorer eller till ett peer-kopplat virtuellt nätverk och sedan ansluta till valfri virtuell dator i det virtuella nätverket eller ett peer-kopplat virtuellt nätverk direkt från Azure-portalen.
Tillhandahålla säker RDP- och SSH-anslutning till en intern virtuell dator
Med Azure Bastion kan du enkelt öppna en RDP- eller SSH-session från Azure-portalen till en virtuell dator som inte är offentligt exponerad. Azure Bastion ansluter till dina virtuella datorer via privat IP. Du behöver inte exponera RDP- eller SSH-portar, eller offentliga IP-adresser för dina interna virtuella datorer.
Eftersom Azure Bastion är en fullständigt hanterad plattform som en tjänst (PaaS) behöver du inte tillämpa några nätverkssäkerhetsgrupper på Azure Bastion-undernätet. Men om du vill ha ytterligare säkerhet kan du konfigurera nätverkssäkerhetsgrupper (NSG:er) så att RDP och SSH endast tillåts från Azure Bastion.
Azure Bastion tillhandahåller RDP- och SSH-anslutning till alla virtuella datorer i samma virtuella nätverk som Azure Bastion-undernätet eller i ett peer-kopplat virtuellt nätverk. Du behöver inte installera någon ytterligare klient, agent eller programvara för att använda Azure Bastion.
Ansluta till en virtuell dator med hjälp av Azure Bastion
När du har distribuerat Azure Bastion väljer du Anslut>Bastion>Använd Bastion på sidan med översikten över virtuella datorer. Ange sedan inloggningsuppgifterna för den virtuella datorn som ska anslutas.
Viktiga säkerhetsfunktioner
- Trafik som initieras från Azure Bastion mot virtuella datorer, ligger kvar i det virtuella nätverket eller mellan peer-kopplade virtuella nätverk.
- Du behöver inte tillämpa nätverkssäkerhetsgrupper på Azure Bastion-undernätet, eftersom det har förstärkts internt. Vill du ändå ha ytterligare säkerhet kan du konfigurera nätverkssäkerhetsgrupper så att de endast tillåter fjärranslutningar till de virtuella måldatorerna från Azure Bastion-värden.
- Azure Bastion hjälper till att skydda mot portskanning. RDP- och SSH-portar samt offentliga IP-adresser exponeras inte offentligt för dina virtuella datorer.
- Azure Bastion hjälper till att skydda mot dagnollhot. Den finns i perimetern för ditt virtuella nätverk, så du behöver inte bekymra dig om att härda var och en av de virtuella datorerna i ditt virtuella nätverk. Azure-plattformen håller Azure Bastion uppdaterat.
- Tjänsten integreras med intern säkerhetsutrustning för virtuella Azure-nätverk som t.ex. Azure Firewall.
- Du kan använda tjänsten till att övervaka och hantera fjärranslutningar.
Samtidiga sessioner stöds
Följande tabell visar hur många samtidiga RDP- och SSH-sessioner varje Azure Bastion-resurs kan ge stöd för vid normal daglig användning. Om det finns andra pågående RDP- eller SSH-sessioner kan dessa siffror variera.
| Resurs | Gräns |
|---|---|
| Samtidiga RDP-anslutningar | 25 |
| Samtidiga SSH-anslutningar | 50 |
Funktioner som stöds vid anslutning till en virtuell dator
I följande tabell visas några av de användarupplevelsefunktioner som Azure Bastion stöder:
| Funktion | Stöder |
|---|---|
| Webbläsare | – Windows: Microsoft Edge-webbläsare, Microsoft Edge Chromium eller Google Chrome – Apple Mac: Webbläsaren Google Chrome eller Microsoft Edge Chromium |
| Tangentbordslayout på den virtuella datorn | - en-us-qwerty- en-gb-qwerty- de-ch-qwertz- de-de-qwertz- fr-be-azerty- fr-fr-azerty- fr-ch-qwertz- hu-hu-qwertz - it-it-qwerty- ja-jp-qwerty- pt-br-qwerty- es-es-qwerty- es-latam-qwerty- sv-se-qwerty- tr-tr-qwerty |
| Funktioner i virtuell dator | – Textkopiering och klistra in – Funktioner som filkopiering stöds inte för närvarande |
Roller som krävs för att använda Azure Bastion
Precis som i andra Azure-resurser behöver du åtkomst till resursgruppen eller själva Azure Bastion-resursen för att kunna distribuera eller hantera Azure Bastion.
För att du ska kunna ansluta till den virtuella datorresursen med hjälp av Azure Bastion, ger följande roller den lägsta behörighet som du behöver:
- Läsarroll på den virtuella datorn
- Läsarroll på nätverkskortet med den virtuella datorns privata IP-adress
- Läsarroll på Azure Bastion-resursen