När du ska använda Azure Bastion
I den här lektionen utforskar du hur Azure Bastion används och avgör om det är ett lämpligt val för säker anslutning till en fjärransluten virtuell dator. Du utvärderar Azure Bastion baserat på följande kriterier:
- Säkerhet
- Enkel hantering
- Integrering med andra appar
Administratörer måste förlita sig på fjärrhantering för administration och underhåll av en organisations Azure-resurser, inklusive virtuella datorer, och de appar som är installerade på dessa virtuella datorer. Det är viktigt att tänka på möjligheten att ansluta säkert till dessa resurser och appar utan att exponera dem för Internet. Du kan använda Azure Bastion för att fjärransluta till och hantera värdbaserade virtuella datorer utan att exponera hanteringsportar för Internet. Vissa administratörer har dock åtgärdat detta krav med hjälp av hoppservrar, som ibland kallas hopprutor. I den här lektionen avgör du om Azure Bastion kan ersätta hopprutor som en metod för att tillhandahålla säker fjärrhanteringsåtkomst.
Kommentar
En hoppruta är en virtuell Azure-dator med en offentlig IP-adress som är tillgänglig från Internet.
I ett typiskt jump box-scenario:
- Organisationens virtuella datorer konfigureras endast med privata IP-adresser och är inte direkt tillgängliga från Internet.
- Hopprutan distribueras till samma virtuella nätverk som virtuella datorer som administratörer vill fjärrhantera med hjälp av RDP och SSH.
- En nätverkssäkerhetsgrupp hanterar nätverkstrafikflödet mellan Internet, hopprutan och de virtuella måldatorerna.
- Administratörer ansluter till hopprutan med RDP med hjälp av den offentliga IP-adressen.
Viktigt!
Eftersom du ansluter till hopprutan med RDP på en offentlig IP-adress kan säkerheten i hopprutan äventyras.
Hopprutan är en virtuell dator som kör ett serveroperativsystem, så du måste:
- Håll den virtuella datorn uppdaterad med korrigeringar och andra uppdateringar.
- Konfigurera lämpliga NSG:er för att skydda trafikflödet i det virtuella nätverket mellan hopprutan och de virtuella måldatorerna.
Beslutsvillkor
För att avgöra om en jump box eller Azure Bastion är det bättre alternativet att fjärrhantera organisationens Azure-resurser kan du överväga kriterier som säkerhet, enkel hantering och integrering. Här är en analys av dessa kriterier.
| Villkor | Analys |
|---|---|
| Säkerhet | Azure Bastion exponerar inte RDP/SSH på sin offentliga IP-adress. Till skillnad från en jump box stöder Azure Bastion endast TLS-skyddade anslutningar från Azure-portalen. Med Azure Bastion behöver du inte konfigurera NSG:er för att skydda trafikflödet. |
| Enkel hantering | Azure Bastion är en fullständigt hanterad PaaS-tjänst. Det är inte en virtuell dator som en hoppruta, vilket kräver regelbundna uppdateringar. Du behöver inte en klient eller agent för att använda Azure Bastion, och du behöver inte heller tillämpa korrigeringar och uppdateringar på den. Du behöver inte heller installera eller underhålla någon annan programvara på hanteringskonsoler. |
| Integration | Du kan integrera Azure Bastion med andra interna säkerhetstjänster i Azure, till exempel Azure Firewall. Hoppservrar har inte det här alternativet. |
Kommentar
Du distribuerar Azure Bastion per virtuellt nätverk (eller peer-kopplat virtuellt nätverk) i stället för per prenumeration, konto eller virtuell dator.
Tillämpa kriterierna
Azure Bastion tar upp huvudmålet att aktivera säker fjärrhantering av värdbaserade virtuella datorer. Som en hanterad tjänst behöver du inte uppdatera Azure Bastion eller konfigurera NSG:er och relaterade inställningar manuellt. Azure Bastion är den bästa lösningen för säker fjärrhantering av virtuella Azure-värddatorer.
Överväg att använda Azure Bastion när du har fjärranslutna virtuella Azure-datorer att hantera och:
- Du måste ansluta till dessa virtuella datorer med hjälp av RDP/SSH.
- Du vill inte underhålla metoden som du ansluter till dessa virtuella fjärrdatorer med.
- Du vill inte konfigurera NSG-inställningar för att aktivera fjärrhantering.
- Du vill undvika att använda hopprutor.
När du fastställer antalet Azure Bastion-värdar som ska distribueras bör du tänka på att du behöver en per virtuellt nätverk (eller peer-kopplat virtuellt nätverk). Du behöver inte distribuera Azure Bastion per virtuell dator eller per undernät.