Azure Bastion beschrijven

  • 6 minuten

Stel dat u meerdere virtuele netwerken hebt ingesteld die gebruikmaken van een combinatie van NSG's en Azure Firewalls om de toegang tot de assets en resources te beveiligen en filteren, waaronder virtuele machines (VM's). U bent nu beschermd tegen externe bedreigingen, maar u moet uw ontwikkelaars en data scientist, die op afstand werken, rechtstreeks toegang geven tot deze VM's.

In een traditioneel model moet u de SSH-poorten (Remote Desktop Protocol) en/of Secure Shell (SSH) beschikbaar maken op internet. Deze protocollen kunnen worden gebruikt om externe toegang tot uw VM's te krijgen. Dit proces creëert een aanzienlijke kwetsbaarheid die kan worden misbruikt door aanvallers die actief toegankelijke machines opsporen met open beheerpoorten, zoals RDP of SSH. Wanneer het lukt een VM aan te tasten, wordt deze gebruikt als ingangspunt om verdere resources in uw omgeving aan te vallen.

Azure Bastion

Azure Bastion is een service die u kunt implementeren om verbinding te maken met een virtuele machine met behulp van uw browser en de Azure-portal. De Azure Bastion-service is een volledig door het platform beheerde PaaS-service die u in uw virtuele netwerk inricht. Azure Bastion biedt veilige en naadloze RDP- en SSH-connectiviteit met uw virtuele machines rechtstreeks vanuit Azure Portal met behulp van Transport Layer Security (TLS). Wanneer u verbinding maakt met Azure Bastion, hebben uw virtuele machines geen openbaar IP-adres, agent of speciale clientsoftware nodig.

Diagram waarin wordt getoond hoe een gebruiker een verbinding kan maken met een extern bureaublad met een Azure-VM met behulp van Azure Bastion.

Bastion biedt beveiligde RDP- en SSH-connectiviteit met alle VM's in het virtuele netwerk en gekoppelde virtuele netwerken, waarin deze is ingericht. Azure Bastion beschermt uw virtuele machines tegen blootstelling van RDP-/SSH-poorten aan de buitenwereld, terwijl u toch beveiligde toegang krijgt geboden met behulp van RDP/SSH.

Azure Bastion-implementatie is per virtueel netwerk met ondersteuning voor peering van virtuele netwerken, niet per abonnement/account of virtuele machine. Zodra u de Azure Bastion-service in uw virtuele netwerk hebt ingericht, is de RDP-/SSH-ervaring beschikbaar voor al uw VM's in hetzelfde VNet en gekoppelde VNets.

Belangrijkste voordelen van Azure Bastion

Hier volgen de belangrijkste voordelen van Azure Bastion:

  • RDP en SSH rechtstreeks in Azure Portal: u gaat rechtstreeks naar de RDP- en SSH-sessie in Azure Portal, met behulp van een ervaring met één klik.
  • Externe sessie via TLS en firewall-traversal voor RDP/SSH: vanuit Azure Portal opent een verbinding met de VIRTUELE machine een HTML5-webclient die automatisch naar uw lokale apparaat wordt gestreamd. U krijgt uw Remote Desktop Protocol (RDP) en Secure Shell (SSH) om de bedrijfsfirewalls veilig te doorlopen. De verbinding wordt beveiligd met behulp van het TLS-protocol (Transport Layer Security) om versleuteling tot stand te brengen.
  • Er is geen openbaar IP-adres vereist op de Azure-VM: Azure Bastion opent de RDP-/SSH-verbinding met uw virtuele Azure-machine met behulp van een privé-IP-adres op uw VM. U hebt geen openbaar IP-adres nodig.
  • Geen gedoe met het beheren van NSG's: een volledig beheerde PaaS-service van Azure die intern wordt beveiligd om beveiligde RDP-/SSH-connectiviteit te bieden. U hoeft geen NSG's toe te passen op een Azure Bastion-subnet.
  • Beveiliging tegen poortscans: omdat u uw virtuele machines niet hoeft bloot te stellen aan internet, worden uw VM's beschermd tegen poortscans door malafide en kwaadwillende gebruikers buiten uw virtuele netwerk.
  • Beveiliging op één plaats om te beschermen tegen zero-day exploits: Azure Bastion is een volledig door het platform beheerde PaaS-service. Omdat het zich aan de perimeter van uw virtuele netwerk bevindt, hoeft u zich geen zorgen te maken over het beveiligen van elke virtuele machine in het virtuele netwerk. Het Azure-platform beschermt tegen zero day-aanvallen door de Azure Bastion te beveiligen en altijd up-to-date te houden.

Gebruik Azure Bastion om beveiligde RDP- en SSH-connectiviteit met uw virtuele machines in Azure tot stand te brengen.

Azure Bastion biedt meerdere SKU-lagen. Zie voor meer informatie over Azure Bastion, inclusief de functies die beschikbaar zijn in de beschikbare SKU's, de gekoppelde documentatie met de titel 'Wat is Azure Bastion', in de sectie Meer informatie van de samenvattings- en resourceseenheid.