規劃及實作公用端點的遠端存取、Azure Bastion 與 Just-In-Tim (JIT) 虛擬機器 (VM) 存取權
Azure Bastion 是一項您可以部署的服務,讓您使用瀏覽器和 Azure 入口網站,或原生 SSH 或透過已在您本機電腦上安裝的 RDP 用戶端,連線至虛擬機器。 Azure Bastion 服務是您可在虛擬網路內佈建的完全平台受控 PaaS 服務。 其可讓您直接從 Azure 入口網站或透過原生用戶端,經由 TLS 安全順暢地透過 RDP/SSH 連線到虛擬機器。 透過 Azure Bastion 連線時,您的虛擬機器不需要公用 IP 位址、代理程式或特殊用戶端軟體。
Bastion 為佈建所在虛擬網路中的所有 VM,提供安全的 RDP 和 SSH 連線。 使用 Azure Bastion 來保護您的虛擬機器免於向外公開 RDP/SSH 連接埠,同時提供使用 RDP/SSH 的安全存取。
下圖顯示透過使用基本或標準 SKU 的 Bastion 部署連線至虛擬機器。
重點優勢
| 優點 | 說明 |
|---|---|
| 透過 Azure 入口網站使用 RDP 和 SSH | 只要在 Azure 入口網站中按一下無縫體驗,就可以直接進入 RDP 和 SSH 工作階段。 |
| RDP/SSH 透過 TLS 和防火牆周遊的遠端工作階段 | Azure Bastion 使用自動串流到本機裝置的 HTML5 Web 用戶端。 RDP/SSH 工作階段使用連接埠 443 透過 TLS 連線。 這使流量可更安全地周遊防火牆。 Bastion 支援 TLS 1.2 和更新版本。 不支援舊版 TLS。 |
| Azure VM 上不需要公用 IP 位址 | Azure Bastion 使用 VM 上的私人 IP 位址,開啟對 Azure VM 的 RDP/SSH 連線。 您在虛擬機器上不需要公用 IP 位址。 |
| 輕鬆管理網路安全性群組 (NSG) | 您不需要將任何 NSG 套用至 Azure Bastion 子網路。 因為 Azure Bastion 透過私人 IP 來連線至虛擬機器,您可以將 NSG 設定為只允許來自 Azure Bastion 的 RDP/SSH。 每次需要安全地連線至虛擬機器時,就不必再麻煩管理 NSG。 |
| 不需要在 VM 上另外管理堡壘主機 | Azure Bastion 是 Azure 的完全受控平台 PaaS 服務,內部經過強化,為您提供安全的 RDP/SSH 連線。 |
| 針對連接埠掃描的保護 | 因為您不需向網際網路公開 VM,得以保護 VM 免遭惡意使用者掃描連接埠。 |
| 僅需強化一處 | Azure Bastion 位於虛擬網路的的周邊,所以您不需煩惱要強化虛擬網路中的每一部 VM。 |
| 防範零時差惡意探索 | Azure 平台保持 Azure Bastion 強化並永遠維持更新,以防範零時差惡意探索。 |
SKU (庫存單位)
Azure Bastion 有兩個可用的 SKU: 基本和標準。 下表顯示功能和對應的 SKU。
| 功能 | 開發人員 SKU | 基本 SKU | 標準 SKU |
|---|---|---|---|
| 連線到相同虛擬網路中的目標 VM | Yes | .是 | Yes |
| 連線到同儕節點虛擬網路中的目標 VM | No | .是 | Yes |
| 支援同時連線 | No | .是 | Yes |
| 存取 Azure Key Vault (AKV) 中的 Linux VM 私密金鑰 | No | .是 | Yes |
| 使用 SSH 連線到 Linux VM | Yes | .是 | Yes |
| 使用 RDP 連線到 Windows VM | Yes | .是 | Yes |
| 使用 RDP 連線到 Linux VM | No | 無 | Yes |
| 使用 SSH 連線到 Windows VM | No | 無 | Yes |
| 指定自訂傳入連接埠 | No | 無 | Yes |
| 使用 Azure CLI 連線到 VM | No | 無 | Yes |
| 主機調整 | No | 無 | Yes |
| 上傳或下載檔案 | No | 無 | Yes |
| Kerberos 驗證 | No | .是 | Yes |
| 可共用的連結 | No | 無 | Yes |
| 透過 IP 位址連線到 VM | No | 無 | Yes |
| VM 音訊輸出 | Yes | .是 | Yes |
| 停用複製/貼上 (網頁型用戶端) | No | 無 | Yes |
架構
Azure Bastion 會部署至虛擬網路,並支援虛擬網路對等互連。 具體而言,Azure Bastion 會管理本機或對等互連虛擬網路中所建立 VM 的 RDP/SSH 連線能力。
RDP 和 SSH 是連接到 Azure 中運行的工作負載的一些基本方法。 透過網際網路公開 RDP/SSH 連接埠並非預期,而且會視為重大威脅。 這通常是由於協定弱點造成的。 為了抑制這項威脅表面,您可以在周邊網路的公用端部署堡壘主機 (也稱為「跳板伺服器」)。 堡壘主機伺服器是設計及設定來防禦攻擊。 堡壘伺服器也會提供與位於堡壘後方 (以及進一步的網路內) 工作負載的 RDP 和 SSH 連線。
根據預設,新的 Bastion 部署目前不支援區域備援。 先前部署的堡壘可能或可能不是區域備援。 例外狀況是南韓中部和東南亞的 Bastion 部署,這些部署確實支援區域備援。
- Bastion 主機部署在包含至少 /26 前置詞之 AzureBastionSubnet 子網路的虛擬網路中。
- 使用者使用任何 HTML5 瀏覽器連線到 Azure 入口網站。
- 使用者選取要連線的虛擬機器。
- 只要按一下,RDP/SSH 工作階段就會在瀏覽器中開啟。
- Azure VM 上不需公用 IP。
主機調整
Azure Bastion 支援手動主機調整。 您可以設定主機執行個體數目 (縮放單位),以管理 Azure Bastion 可支援的同時 RDP/SSH 連線數目。 增加主機執行個體數目可讓 Azure Bastion 管理更多同時工作階段。 減少執行個體數目會減少同時技術支援工作階段的數目。 Azure Bastion 最多可支援 50 個主機執行個體。 此功能僅適用於 Azure Bastion 標準 SKU。