Azure Bastion nedir?

Azure Bastion, özel IP adresi aracılığıyla sanal makinelere güvenli bir şekilde bağlanmak için sağladığınız tam olarak yönetilen bir PaaS hizmetidir. Sanal makinelerinize doğrudan Azure portalından TLS üzerinden veya yerel bilgisayarınızda zaten yüklü olan yerel SSH veya RDP istemcisi aracılığıyla güvenli ve sorunsuz RDP/SSH bağlantısı sağlar. Azure Bastion aracılığıyla bağlandığınızda sanal makinelerinizin genel IP adresine, aracıya veya özel istemci yazılımına ihtiyacı olmaz.

Bastion, sağlandığı sanal ağdaki tüm VM'lere güvenli RDP ve SSH bağlantısı sağlar. Azure Bastion'ı kullanmak, sanal makinelerinizi RDP/SSH bağlantı noktalarını dış dünyaya göstermeden korurken, RDP/SSH kullanarak güvenli erişim sağlamaya devam eder.

Aşağıdaki diyagramda, Temel veya Standart SKU kullanan bir Bastion dağıtımı aracılığıyla sanal makinelere bağlantılar gösterilmektedir.

Diagram showing Azure Bastion architecture.

Temel avantajlar

Avantaj Açıklama
Azure portalı üzerinden RDP ve SSH Tek tıklamayla sorunsuz bir deneyim kullanarak RDP ve SSH oturumuna doğrudan Azure portalından ulaşabilirsiniz.
RDP/SSH için TLS üzerinden Uzak Oturum ve güvenlik duvarı geçişi Azure Bastion, yerel cihazınıza otomatik olarak akışla aktarılan HTML5 tabanlı bir web istemcisi kullanır. RDP/SSH oturumunuz 443 numaralı bağlantı noktasında TLS üzerinden. Bu, trafiğin güvenlik duvarlarını daha güvenli bir şekilde dolaşmasını sağlar. Bastion TLS 1.2'i destekler. Eski TLS sürümleri desteklenmez.
Azure VM'de Genel IP adresi gerekmez Azure Bastion, VM'nizdeki özel IP adresini kullanarak Azure VM'nize RDP/SSH bağlantısını açar. Sanal makinenizde genel IP adresine ihtiyacınız yoktur.
Ağ Güvenlik Gruplarını (NSG) yönetme zahmeti yok Azure Bastion alt ağına herhangi bir NSG uygulamanız gerekmez. Azure Bastion sanal makinelerinize özel IP üzerinden bağlandığından, NSG'lerinizi yalnızca Azure Bastion'dan RDP/SSH'ye izin verecek şekilde yapılandırabilirsiniz. Bu, sanal makinelerinize güvenli bir şekilde bağlanmanız gerektiğinde NSG'leri yönetme zahmetini ortadan kaldırır. NSG'ler hakkında daha fazla bilgi için bkz . Ağ Güvenlik Grupları.
VM'de ayrı bir savunma konasını yönetmeye gerek yoktur Azure Bastion, azure tarafından sunulan ve güvenli RDP/SSH bağlantısı sağlamak için dahili olarak sağlamlaştırılmış, tam olarak yönetilen bir platform PaaS hizmetidir.
Bağlantı noktası taramaya karşı koruma VM'lerinizi İnternet'te kullanıma sunmanız gerekmeyen sanal makineleriniz, standart dışı ve kötü amaçlı kullanıcılar tarafından bağlantı noktası taramasına karşı korunur.
Tek bir yerde sağlamlaştırma Azure Bastion sanal ağınızın çevresinde yer alır, bu nedenle sanal ağınızdaki vm'lerin her birini sağlamlaştırma konusunda endişelenmeniz gerekmez.
Sıfır gün açıklarına karşı koruma Azure platformu, Azure Bastion'ı sağlam ve her zaman güncel tutarak sıfır günlük açıklara karşı koruma sağlar.

SKU'lar

Azure Bastion birden çok SKU katmanı sunar. Aşağıdaki tabloda özellikler ve buna karşılık gelen SKU'lar gösterilmektedir.

Özellik Geliştirici SKU'su Temel SKU Standart SKU
Aynı sanal ağdaki VM'leri hedeflemek için Bağlan Evet Evet Evet
Eşlenmiş sanal ağlardaki VM'leri hedeflemek için Bağlan Hayır Evet Evet
Eşzamanlı bağlantılar için destek Hayır Evet Evet
Azure Key Vault'ta (AKV) Linux VM Özel Anahtarlara Erişme Hayır Evet Evet
SSH kullanarak Linux VM'ye Bağlan Evet Evet Evet
RDP kullanarak Windows VM'ye Bağlan Evet Evet Evet
RDP kullanarak Linux VM'ye Bağlan Hayır Hayı Evet
SSH kullanarak Windows VM'ye Bağlan Hayır Hayı Evet
Özel gelen bağlantı noktası belirtme Hayır Hayı Evet
Azure CLI kullanarak VM'lere Bağlan Hayır Hayı Evet
Konak ölçeklendirme Hayır Hayı Evet
Dosyaları karşıya yükleme veya indirme Hayır Hayı Evet
Kerberos kimlik doğrulaması Hayır Evet Evet
Paylaşılabilir bağlantı Hayır Hayı Evet
IP adresi aracılığıyla VM'lere Bağlan Hayır Hayı Evet
VM ses çıkışı Evet Evet Evet
Kopyalama/yapıştırmayı devre dışı bırakma (web tabanlı istemciler) Hayır Hayı Evet

SKU'ları yükseltme ve yeni Geliştirici SKU'su (şu anda Önizlemede) hakkında bilgi de dahil olmak üzere SKU'lar hakkında daha fazla bilgi için Yapılandırma ayarları makalesine bakın.

Mimari

Bu bölüm, farklı şekilde dağıtılan Geliştirici SKU'su dışındaki tüm SKU katmanları için geçerlidir. Azure Bastion bir sanal ağa dağıtılır ve sanal ağ eşlemesini destekler. Özellikle, Azure Bastion yerel veya eşlenmiş sanal ağlarda oluşturulan VM'lere RDP/SSH bağlantısını yönetir.

RDP ve SSH, Azure'da çalışan iş yüklerinize bağlanabileceğiniz temel araçlardan bazılarıdır. RDP/SSH bağlantı noktalarının İnternet üzerinden açığa çıkarılması istenmiyor ve önemli bir tehdit yüzeyi olarak görülüyor. Bunun nedeni genellikle protokol güvenlik açıklarıdır. Bu tehdit yüzeyini içermek için çevre ağınızın genel tarafına savunma konakları (atlama sunucuları olarak da bilinir) dağıtabilirsiniz. Bastion konak sunucuları saldırılara dayanacak şekilde tasarlanmıştır ve yapılandırılır. Bastion sunucuları ayrıca savunmanın arkasında ve ağın içinde yer alan iş yüklerine RDP ve SSH bağlantısı sağlar.

Şu anda, yeni Bastion dağıtımları varsayılan olarak bölge yedekliliklerini desteklememektedir. Daha önce dağıtılan savunmalar alanlar arası yedekli olabilir veya olmayabilir. Bunun istisnaları Orta Kore ve Güneydoğu Asya'daki Bastion dağıtımlarıdır ve bu dağıtımlar bölge yedekliliklerini destekler.

Diagram showing Azure Bastion architecture.

Bu şekilde Azure Bastion dağıtımının mimarisi gösterilmektedir. Bu diyagram Geliştirici SKU'su için geçerli değildir. Bu diyagramda:

  • Bastion konağı, en az /26 ön ekli AzureBastionSubnet alt ağını içeren sanal ağa dağıtılır.
  • Kullanıcı herhangi bir HTML5 tarayıcısını kullanarak Azure portalına bağlanır.
  • Kullanıcı bağlanacak sanal makineyi seçer.
  • Tek tıklamayla RDP/SSH oturumu tarayıcıda açılır.
  • Azure VM'de genel IP gerekmez.

Konak ölçeklendirme

Azure Bastion el ile konak ölçeklendirmeyi destekler. Azure Bastion'ın destekleyebilecek eşzamanlı RDP/SSH bağlantı sayısını yönetmek için konak örneği sayısını (ölçek birimleri) yapılandırabilirsiniz. Konak örneklerinin sayısını artırmak, Azure Bastion'ın daha fazla eşzamanlı oturum yönetmesine olanak tanır. Örnek sayısını azaltmak, desteklenen eşzamanlı oturum sayısını azaltır. Azure Bastion en fazla 50 konak örneğini destekler. Bu özellik yalnızca Azure Bastion Standart SKU'su için kullanılabilir.

Daha fazla bilgi için Yapılandırma ayarları makalesine bakın.

Fiyatlandırma

Azure Bastion fiyatlandırması, SKU ve örneklere (ölçek birimleri) göre saatlik fiyatlandırmanın yanı sıra veri aktarım oranlarının bir birleşimidir. Saatlik fiyatlandırma, giden veri kullanımına bakılmaksızın Bastion dağıtıldığından itibaren başlar. En son fiyatlandırma bilgileri için Bkz . Azure Bastion fiyatlandırma sayfası.

Yenilikler

RSS akışına abone olun ve Azure Güncelleştirmeler sayfasında en son Azure Bastion özellik güncelleştirmelerini görüntüleyin.

Bastion hakkında SSS

Sık sorulan sorular için Bastion SSS bölümüne bakın.

Sonraki adımlar