Wat is Azure Bastion?
Azure Bastion is een volledig beheerde PaaS-service die u inricht om veilig verbinding te maken met virtuele machines via een privé-IP-adres. Het biedt beveiligde en naadloze RDP-/SSH-connectiviteit met uw virtuele machines rechtstreeks via TLS vanuit Azure Portal, of via de systeemeigen SSH- of RDP-client die al op uw lokale computer is geïnstalleerd. Wanneer u verbinding maakt met Azure Bastion, hebben uw virtuele machines geen openbaar IP-adres, agent of speciale clientsoftware nodig.
Bastion biedt beveiligde RDP- en SSH-connectiviteit met alle VM's in het virtuele netwerk waarvoor het is ingericht. Azure Bastion beschermt uw virtuele machines tegen blootstelling van RDP-/SSH-poorten aan de buitenwereld, terwijl u toch beveiligde toegang krijgt geboden met behulp van RDP/SSH.
Belangrijkste voordelen
| Voordeel | Beschrijving |
|---|---|
| RDP en SSH via het Azure-portaal | U kunt de RDP- en SSH-sessie rechtstreeks in Azure Portal openen met behulp van een naadloze ervaring met één klik. |
| Externe sessie via TLS en firewall-traversal voor RDP/SSH | Azure Bastion maakt gebruik van een op HTML5 gebaseerde webclient die automatisch naar uw lokale apparaat wordt gestreamd. Uw RDP-/SSH-sessie is via TLS op poort 443. Hierdoor kan het verkeer veiliger door firewalls gaan. Bastion ondersteunt TLS 1.2. Oudere TLS-versies worden niet ondersteund. |
| Er is geen openbaar IP-adres vereist op de Virtuele Azure-machine | Azure Bastion opent de RDP-/SSH-verbinding met uw Azure-VM met behulp van het privé-IP-adres op uw VIRTUELE machine. U hebt geen openbaar IP-adres nodig op uw virtuele machine. |
| Geen gedoe met het beheren van netwerkbeveiligingsgroepen (NSG's) | U hoeft geen NSG's toe te passen op het Azure Bastion-subnet. Omdat Azure Bastion verbinding maakt met uw virtuele machines via een particulier IP-adres, kunt u uw NSG's zo configureren dat RDP/SSH alleen van Azure Bastion wordt toegestaan. Hierdoor wordt de complexiteit van het beheren van NSG's weggenomen telkens wanneer u veilig verbinding wilt maken met uw virtuele machines. Zie Netwerkbeveiligingsgroepen voor meer informatie over NSG's. |
| U hoeft geen afzonderlijke bastionhost op een VM te beheren | Azure Bastion is een volledig beheerde PaaS-service voor platformen van Azure die intern is beveiligd om u te voorzien van beveiligde RDP-/SSH-connectiviteit. |
| Beveiliging tegen poortscans | Uw VM's zijn beveiligd tegen poortscans door malafide en kwaadwillende gebruikers, omdat u de VM's niet beschikbaar hoeft te maken op internet. |
| Uitsluitend op één plaats harden | Azure Bastion bevindt zich aan de perimeter van uw virtuele netwerk, dus u hoeft zich geen zorgen te maken over het beveiligen van elk van de VM's in uw virtuele netwerk. |
| Bescherming tegen zero-day exploits | Het Azure-platform beschermt tegen zero day-aanvallen door de Azure Bastion te beveiligen en altijd up-to-date te houden. |
SKU's
Azure Bastion biedt meerdere SKU-lagen. In de volgende tabel ziet u functies en bijbehorende SKU's. Zie het artikel Configuratie-instellingen voor meer informatie over SKU's.
| Functie | Basis-SKU | Standaard SKU | Premium artikelnummer (SKU) |
|---|---|---|---|
| Verbinding maken met doel-VM's in hetzelfde virtuele netwerk | Ja | Ja | Ja |
| Verbinding maken met doel-VM's in gekoppelde virtuele netwerken | Ja | Ja | Ja |
| Ondersteuning voor gelijktijdige verbindingen | Ja | Ja | Ja |
| Toegang tot persoonlijke linux-VM-sleutels in Azure Key Vault (AKV) | Ja | Ja | Ja |
| Verbinding maken met linux-VM met behulp van SSH | Ja | Ja | Ja |
| Verbinding maken met windows-VM met behulp van RDP | Ja | Ja | Ja |
| Verbinding maken met linux-VM met behulp van RDP | Nee | Ja | Ja |
| Verbinding maken met windows-VM met behulp van SSH | Nee | Ja | Ja |
| Aangepaste binnenkomende poort opgeven | Nee | Ja | Ja |
| Verbinding maken met VM's met behulp van Azure CLI | Nee | Ja | Ja |
| Schaalbaarheid van hosts | Nee | Ja | Ja |
| Bestanden uploaden of downloaden | Nee | Ja | Ja |
| Kerberos-verificatie | Ja | Ja | Ja |
| Deelbare koppeling | Nee | Ja | Ja |
| Verbinding maken met VM's via IP-adres | Nee | Ja | Ja |
| VM-audio-uitvoer | Ja | Ja | Ja |
| Kopiëren/plakken uitschakelen (webgebaseerde clients) | Nee. | Ja | Ja |
| Sessieopname | Nee | Nee | Ja |
| Implementatie alleen voor privégebruik | Nee | Nee | Ja |
Architectuur
Azure Bastion biedt meerdere implementatiearchitecturen, afhankelijk van de geselecteerde SKU en optieconfiguraties. Voor de meeste SKU's wordt Bastion geïmplementeerd in een virtueel netwerk en ondersteunt peering van virtuele netwerken. Azure Bastion beheert met name RDP-/SSH-connectiviteit met VM's die zijn gemaakt in de lokale of gekoppelde virtuele netwerken.
RDP en SSH zijn twee van de fundamentele middelen waarmee u verbinding kunt maken met uw werkbelastingen die worden uitgevoerd in Azure. Het beschikbaar maken van RDP-/SSH-poorten via internet is niet gewenst en wordt gezien als een aanzienlijke bedreiging. Dit komt vaak door kwetsbaarheden in protocollen. Om deze dreiging te beheersen, kunt u Bastion-hosts (ook wel jump-servers genoemd) aan de openbare kant van uw perimeternetwerk implementeren. Bastion-hostservers zijn ontworpen en geconfigureerd om aanvallen te weerstaan. Bastion-servers bieden ook RDP- en SSH-connectiviteit voor de werkbelastingen achter Bastion en dieper in het netwerk.
De SKU die u selecteert wanneer u Bastion implementeert, bepaalt de architectuur en de beschikbare functies. U kunt upgraden naar een hogere SKU om meer functies te ondersteunen, maar u kunt een SKU niet downgraden na de implementatie. Bepaalde architecturen, zoals alleen-privé en de Bastion Developer-aanbieding, moeten worden geconfigureerd op het moment van de implementatie. Zie Bastion-ontwerp en -architectuur voor meer informatie over elke architectuur.
In de volgende diagrammen ziet u de beschikbare architecturen voor Azure Bastion.
Basic SKU en hoger
Bastion Developer
Uitsluitend privé-uitrol
Beschikbaarheidszones
Sommige regio's ondersteunen de mogelijkheid om Azure Bastion te implementeren in een beschikbaarheidszone (of meerdere, voor zoneredundantie). Om zonaal te implementeren, implementeer Bastion met behulp van handmatig opgegeven instellingen (niet implementeren met behulp van de automatische standaardinstellingen). Geef de gewenste beschikbaarheidszones op het moment van de implementatie op. U kunt de zonegebonden beschikbaarheid niet wijzigen nadat Bastion is geïmplementeerd.
Ondersteuning voor Beschikbaarheidszones is momenteel beschikbaar als preview-versie. Tijdens de preview zijn de volgende regio's beschikbaar:
- Oost-VS
- Australië - oost
- Oost-VS 2
- Centraal VS
- Centraal Qatar
- Zuid-Afrika - noord
- West-Europa
- West VS 2
- Europa - noord
- Zweden - centraal
- Verenigd Koninkrijk Zuid
- Canada Centraal
Host schalen
Azure Bastion biedt ondersteuning voor handmatig schalen van hosts. U kunt het aantal hostexemplaren (schaaleenheden) configureren om het aantal gelijktijdige RDP/SSH-verbindingen dat door Azure Bastion kan worden ondersteund te beheren. Door het aantal hostexemplaren te verhogen, kan Azure Bastion meer gelijktijdige sessies beheren. Het verlagen van het aantal exemplaren vermindert het aantal gelijktijdig ondersteunde sessies. Azure Bastion ondersteunt maximaal 50 hostinstanties. Deze functie is beschikbaar voor standard-SKU en hoger.
Zie het artikel Configuratie-instellingen voor meer informatie.
Prijzen
Azure Bastion-prijzen zijn een combinatie van uurprijzen op basis van SKU en exemplaren (schaaleenheden), plus tarieven voor gegevensoverdracht. Uurprijzen starten vanaf het moment dat Bastion wordt geïmplementeerd, ongeacht het uitgaande gegevensgebruik. Zie de pagina met prijzen van Azure Bastion voor de meest recente prijsinformatie.
Wat is er nieuw?
Abonneer u op de RSS-feed en bekijk de nieuwste updates voor Azure Bastion-onderdelen op de pagina Azure-updates.
Veelgestelde vragen over Bastion
Voor veelgestelde vragen, zie de Bastion FAQ.
Volgende stappen
- Quickstart: Bastion automatisch implementeren met standaardinstellingen en Standard SKU
- Quickstart: Bastion Developer implementeren
- Zelfstudie: Bastion implementeren met behulp van opgegeven instellingen en SKU's
- Learn-module: Inleiding tot Azure Bastion
- Meer informatie over enkele van de andere belangrijke netwerkmogelijkheden van Azure
- Meer informatie over Azure-netwerkbeveiliging