Co to jest usługa Azure Bastion?

Ukończone

Usługa Azure Bastion zapewnia bezpieczne połączenie zdalne z witryny Azure Portal do maszyn wirtualnych (VM) platformy Azure za pośrednictwem protokołu Transport Layer Security (TLS). Usługę Azure Bastion można aprowizować do tej samej sieci wirtualnej platformy Azure co maszyny wirtualne lub równorzędnej sieci wirtualnej, a następnie połączyć się z dowolną maszyną wirtualną w tej sieci wirtualnej lub równorzędnej sieci wirtualnej bezpośrednio z witryny Azure Portal.

Zapewnianie bezpiecznej łączności RDP i SSH z wewnętrzną maszyną wirtualną

Przy użyciu usługi Azure Bastion możesz łatwo otworzyć sesję protokołu RDP lub SSH z witryny Azure Portal do maszyny wirtualnej, która nie jest publicznie uwidoczniona. Usługa Azure Bastion łączy się z maszynami wirtualnymi za pośrednictwem prywatnego adresu IP. Nie trzeba uwidaczniać portów RDP, portów SSH ani publicznych adresów IP wewnętrznych maszyn wirtualnych.

Ponieważ usługa Azure Bastion jest w pełni zarządzaną platformą jako usługą (PaaS), nie musisz stosować żadnych sieciowych grup zabezpieczeń do podsieci usługi Azure Bastion. Jeśli jednak potrzebujesz dodatkowych zabezpieczeń, możesz skonfigurować sieciowe grupy zabezpieczeń, aby zezwalać na połączenia RDP i SSH tylko z usługi Azure Bastion.

Usługa Azure Bastion zapewnia łączność RDP i SSH ze wszystkimi maszynami wirtualnymi w tej samej sieci wirtualnej co podsieć usługi Azure Bastion lub w równorzędnej sieci wirtualnej. Nie musisz instalować dodatkowego klienta, agenta ani oprogramowania do korzystania z usługi Azure Bastion.

Nawiązywanie połączenia z maszyną wirtualną za pomocą usługi Azure Bastion

Po wdrożeniu usługi Azure Bastion na stronie przeglądu maszyny wirtualnej wybierz pozycję Połącz>Bastion>Użyj usługi Bastion. Następnie wprowadź poświadczenia logowania dla maszyny wirtualnej, aby nawiązać połączenie.

Zrzut ekranu strony usługi Azure Bastion z monitem o podanie nazwy użytkownika i hasła do maszyny wirtualnej.

Kluczowe funkcje zabezpieczeń

  • Ruch inicjowany z usługi Azure Bastion do docelowych maszyn wirtualnych pozostaje w obrębie sieci wirtualnej lub między równorzędnymi sieciami wirtualnymi.
  • Nie trzeba stosować sieciowych grup zabezpieczeń do podsieci usługi Azure Bastion, ponieważ jest ona wzmocniona wewnętrznie. Jednak w celu uzyskania dodatkowych zabezpieczeń można skonfigurować sieciowe grupy zabezpieczeń tak, aby zezwalać tylko na zdalne połączenia do docelowych maszyn wirtualnych z hosta usługi Azure Bastion.
  • Usługa Azure Bastion ułatwia ochronę przed skanowaniem portów. Porty RDP, porty SSH oraz publiczne adresy IP maszyn wirtualnych nie są publicznie uwidoczniane.
  • Usługa Azure Bastion ułatwia ochronę programami wykorzystującymi luki zero-day. Znajduje się on w obwodzie sieci wirtualnej, więc nie musisz martwić się o wzmocnienie zabezpieczeń każdej maszyny wirtualnej w sieci wirtualnej. Platforma Azure utrzymuje aktualność usługi Azure Bastion.
  • Usługa integruje się z urządzeniami zabezpieczeń dla sieci wirtualnej platformy Azure, takimi jak Azure Firewall.
  • Za pomocą tej usługi możesz monitorować połączenia zdalne i zarządzać nimi.

Obsługiwane sesje współbieżne

W poniższej tabeli pokazano, ile współbieżnych sesji protokołu RDP i SSH może obsługiwać każdy zasób usługi Azure Bastion przy założeniu normalnego, codziennego użycia. W przypadku odbywania się innych sesji protokołu RDP lub sesji SSH te liczby mogą się różnić.

Zasób Limit
Współbieżne połączenia RDP 25
Współbieżne połączenia SSH 50

Funkcje obsługiwane podczas połączenia z maszyną wirtualną

W poniższej tabeli przedstawiono niektóre funkcje środowiska użytkownika obsługiwane przez usługę Azure Bastion:

Funkcja Obsługuje
Przeglądarkach - Windows: Przeglądarka Microsoft Edge, Microsoft Edge Chromium lub Google Chrome
— Apple Mac: Przeglądarka Google Chrome lub Microsoft Edge Chromium
Układ klawiatury na maszynie wirtualnej - en-us-qwerty- en-gb-qwerty

- de-ch-qwertz- de-de-qwertz

- fr-be-azerty
- fr-fr-fr-azerty
- fr-ch-qwertz
- hu-hu-q-qwertz
- it-it-qwerty
- ja-jp-qwerty
- pt-br-qwerty- es-es-qwerty

- es-latam-qwerty
- sv-se-qwerty
- tr-tr-qwerty
Funkcje w ramach maszyny wirtualnej — Kopiowanie tekstu i wklejanie
— funkcje, takie jak kopiowanie plików, nie są obecnie obsługiwane

Role wymagane do korzystania z usługi Azure Bastion

Podobnie jak w przypadku innych zasobów platformy Azure, potrzebny jest dostęp do grupy zasobów lub samego zasobu usługi Azure Bastion w celu wdrożenia usługi Azure Bastion lub zarządzania nią.

Następujące role zapewniają najmniejsze wymagane uprawnienia, które pozwalają nawiązać połączenie z zasobem maszyny wirtualnej przy użyciu usługi Azure Bastion:

  • Rola czytelnika na maszynie wirtualnej
  • Rola czytelnika na karcie sieciowej z prywatnym adresem IP maszyny wirtualnej
  • Rola czytelnika na zasobie usługi Azure Bastion