Vad är Azure Bastion?
Det är viktigt att kunna administrera och hantera fjärranslutna virtuella datorer på ett säkert sätt. Börja med att definiera säker fjärrhantering och granska sedan funktionerna i Azure Bastion. Den här översikten hjälper dig att avgöra om Azure Bastion passar bra för dina behov.
Vad är säker fjärrhantering?
Säker fjärrhantering är möjligheten att ansluta till en fjärrresurs utan att utsätta resursen för säkerhetsrisker. Den här typen av anslutning kan ibland vara utmanande, särskilt om resursen nås via Internet.
När administratörer ansluter till fjärranslutna virtuella datorer använder de vanligtvis antingen RDP eller SSH för att uppnå sina administrativa mål. Problemet är att för att ansluta till en värdbaserad virtuell dator måste du ansluta till dess offentliga IP-adress. Att exponera IP-portarna som används av RDP och SSH (3389 och 22) för Internet är dock mycket oönskat, eftersom det medför betydande säkerhetsrisker.
Azure Bastion-definition
Azure Bastion är en fullständigt hanterad plattform som en tjänst (PaaS) som hjälper till att ge säker och sömlös RDP- och SSH-åtkomst till dina virtuella Azure-datorer direkt via Azure-portalen.
Azure Bastion:
- Är utformad och konfigurerad för att motstå attacker.
- Tillhandahåller RDP- och SSH-anslutning till dina Azure-arbetsbelastningar bakom bastionen.
I följande tabell beskrivs de funktioner som är tillgängliga när du har distribuerat Azure Bastion.
| Förmån | beskrivning |
|---|---|
| RDP och SSH via Azure-portalen | Du kan komma till RDP- och SSH-sessionen direkt i Azure-portalen med en sömlös upplevelse med ett klick. |
| Fjärrsession över TLS och brandväggsbläddering för RDP/SSH | Azure Bastion använder en HTML5-baserad webbklient som automatiskt strömmas till din lokala enhet. RDP/SSH-sessionen är över TLS på port 443. Detta gör att trafiken kan passera brandväggar på ett säkrare sätt. Bastion stöder TLS 1.2 och senare. Äldre TLS-versioner stöds inte. |
| Ingen offentlig IP-adress krävs på den virtuella Azure-datorn | Azure Bastion öppnar RDP/SSH-anslutningen till din virtuella Azure-dator med hjälp av den privata IP-adressen på den virtuella datorn. Du behöver ingen offentlig IP-adress på den virtuella datorn. |
| Inget krångel med att hantera nätverkssäkerhetsgrupper (NSG:er) | Du behöver inte tillämpa NSG:er på Azure Bastion-undernätet. Eftersom Azure Bastion ansluter till dina virtuella datorer via privat IP kan du konfigurera dina NSG:er för att endast tillåta RDP/SSH från Azure Bastion. Detta tar bort besväret med att hantera NSG:er varje gång du behöver ansluta på ett säkert sätt till dina virtuella datorer. |
| Du behöver inte hantera en separat skyddsvärd på en virtuell dator | Azure Bastion är en fullständigt hanterad PaaS-plattformstjänst från Azure som är härdad internt för att ge dig en säker RDP/SSH-anslutning. |
| Skydd mot portgenomsökning | Dina virtuella datorer skyddas mot portgenomsökning av obehöriga och skadliga användare eftersom du inte behöver exponera de virtuella datorerna för Internet. |
| Endast härdning på ett ställe | Azure Bastion finns i perimetern för ditt virtuella nätverk, så du behöver inte bekymra dig om att härda var och en av de virtuella datorerna i ditt virtuella nätverk. |
| Skydd mot nolldagarsexploateringar | Azure-plattformen skyddar mot nolldagsexploateringar genom att hålla Azure Bastion härdad och alltid uppdaterad för dig. |
Så här undviker du att exponera fjärrhanteringsportar
Genom att implementera Azure Bastion kan du hantera de virtuella Azure-datorerna i ett konfigurerat virtuellt Azure-nätverk med rdp eller SSH, utan att behöva exponera dessa hanteringsportar för det offentliga Internet. Med hjälp av Azure Bastion kan du:
- Anslut enkelt till dina virtuella Azure-datorer. Anslut dina RDP- och SSH-sessioner direkt i Azure-portalen.
- Undvik att exponera hanteringsportar på Internet. Logga in på dina virtuella Azure-datorer och undvik offentlig internetexponering med SSH och RDP endast med privata IP-adresser.
- Undvik omfattande omkonfiguration av din befintliga nätverksinfrastruktur. Integrera och passera befintliga brandväggar och säkerhetsperimeter med hjälp av en modern HTML5-baserad webbklient via TLS på port 443.
- Förenkla inloggningen. Använd dina SSH-nycklar för autentisering när du loggar in på dina virtuella Azure-datorer.
Dricks
Du kan spara alla dina privata SSH-nycklar i Azure Key Vault för att stödja centraliserad nyckellagring.