Co je Azure Bastion?

Dokončeno

Azure Bastion poskytuje zabezpečené vzdálené připojení z webu Azure Portal k virtuálním počítačům Azure přes protokol TLS (Transport Layer Security). Azure Bastion můžete zřídit ve stejné virtuální síti Azure jako virtuální počítače nebo v partnerské virtuální síti a pak se připojit k libovolnému virtuálnímu počítači v této virtuální síti nebo partnerské virtuální síti přímo z webu Azure Portal.

Zajištění zabezpečeného připojení protokolu RDP a SSH k internímu virtuálnímu počítači

Azure Bastion slouží ke snadnému otevření relace RDP nebo SSH z webu Azure Portal s virtuálním počítačem, který není veřejně přístupný. Azure Bastion se připojuje k vašim virtuálním strojům přes privátní IP adresu. Pro své interní virtuální počítače nemusíte zpřístupňovat porty RDP nebo SSH ani veřejné IP adresy.

Vzhledem k tomu, že Azure Bastion je plně spravovaná platforma jako služba (PaaS), nemusíte pro podsíť Azure Bastion používat žádné skupiny zabezpečení sítě. Pokud ale chcete další zabezpečení, můžete nakonfigurovat skupiny zabezpečení sítě (NSG) tak, aby povolily protokol RDP a SSH jenom ze služby Azure Bastion.

Azure Bastion poskytuje připojení RDP a SSH ke všem virtuálním počítačům ve stejné virtuální síti jako podsíť Azure Bastion nebo v partnerské virtuální síti. Abyste mohli používat Azure Bastion, nemusíte instalovat dalšího klienta, agenta nebo software.

Připojení k virtuálnímu počítači pomocí služby Azure Bastion

Po nasazení služby Azure Bastion na stránce přehledu virtuálních počítačů vyberte Připojit>Bastion>Použít Bastion. Potom zadejte přihlašovací údaje pro připojení virtuálního počítače.

Snímek obrazovky stránky služby Azure Bastion s výzvou k zadání uživatelského jména a hesla k virtuálnímu počítači

Klíčové bezpečnostní funkce

  • Provoz iniciovaný ze služby Azure Bastion k cílovým virtuálním počítačům zůstane ve virtuální síti nebo v rámci partnerských virtuálních sítí.
  • Pro podsíť služby Azure Bastion nemusíte používat skupiny zabezpečení sítě, protože je interně posílená. Pro zvýšení zabezpečení můžete nakonfigurovat skupiny zabezpečení sítě tak, aby umožňovaly pouze vzdálená připojení k cílovým virtuálním počítačům z hostitele Azure Bastion.
  • Azure Bastion pomáhá chránit před skenováním portů. Porty RDP, porty SSH a veřejné IP adresy nejsou u vašich virtuálních počítačů veřejně přístupné.
  • Služba Azure Bastion pomáhá chránit před neoprávněným použitím. Nachází se v hranici vaší virtuální sítě, takže se nemusíte starat o posílení zabezpečení jednotlivých virtuálních počítačů ve vaší virtuální síti. Platforma Azure udržuje Azure Bastion stále aktuální.
  • Tato služba se integruje s nativními bezpečnostními zařízeními pro virtuální síť Azure, jako je Azure Firewall.
  • Službu můžete použít ke sledování a správě vzdálených připojení.

Podpora souběžných relací

Následující tabulka ukazuje, kolik souběžných relací RDP a SSH může každý prostředek Azure Bastion podporovat za předpokladu běžného každodenního používání. Pokud existují další probíhající relace RDP nebo SSH, mohou se tyto počty lišit.

Prostředek Omezení
Souběžná připojení RDP 25
Souběžná připojení SSH 50

Funkce podporované během připojení k virtuálnímu počítači

Následující tabulka uvádí některé z funkcí uživatelského prostředí, které Azure Bastion podporuje:

Funkce Podporuje
Prohlížeče – Windows: Prohlížeč Microsoft Edge, Microsoft Edge Chromium nebo Google Chrome
– Apple Mac: Prohlížeč Google Chrome nebo Microsoft Edge Chromium
Rozložení klávesnice na virtuálním počítači - en-us-qwerty
- en-gb-qwerty
- de-ch-qwertz
- de-de-qwertz
- fr-be-azerty
- fr-fr-azerty
- fr-ch-qwertz
- hu-hu-qwertz
- it-it-qwerty
- ja-jp-qwerty
- pt-br-qwerty
- es-es-qwerty
- es-latam-qwerty
- sv-se-qwerty
- tr-tr-qwerty
Funkce v rámci virtuálního počítače – Kopírování a vkládání
textu – Funkce, jako je kopírování souborů, se v současné době nepodporují.

Role potřebné k použití služby Azure Bastion

Stejně jako u jiných prostředků Azure potřebujete k nasazení nebo správě služby Azure Bastion přístup ke skupině prostředků nebo k samotnému prostředku Azure Bastion.

Následující role poskytují nejnižší možné oprávnění, které potřebujete pro připojení k prostředku virtuálního počítače pomocí služby Azure Bastion:

  • Role čtenáře u virtuálního počítače
  • Role čtenáře u síťové karty s privátní IP adresou virtuálního počítače
  • Role čtenáře u prostředku Azure Bastion