Что такое Бастион Azure
Бастион Azure обеспечивает безопасное удаленное подключение с портала Azure к виртуальным машинам Azure через протокол TLS. Вы можете подготовить Бастион Azure к той же виртуальной сети Azure, что и виртуальные машины или одноранговую виртуальную сеть, а затем подключиться к любой виртуальной машине в этой виртуальной сети или одноранговой виртуальной сети непосредственно из портал Azure.
Обеспечение безопасного подключения к внутренней виртуальной машине по протоколам RDP и SSH
С помощью службы "Бастион Azure" можно легко открывать сеанс RDP или SSH с портала Azure на виртуальной машине, которая не является общедоступной. Служба "Бастион Azure" подключается к виртуальным машинам через частный IP-адрес. Вам не нужно предоставлять порты RDP или SSH либо общедоступные IP-адреса для внутренних виртуальных машин.
Так как Бастион Azure — это полностью управляемая платформа как услуга (PaaS), вам не нужно применять какие-либо группы безопасности сети к подсети Бастиона Azure. Однако если требуется дополнительная безопасность, можно настроить группы безопасности сети (NSG), чтобы разрешить RDP и SSH только из Бастиона Azure.
Бастион Azure обеспечивает подключение RDP и SSH ко всем виртуальным машинам в одной виртуальной сети, что и подсеть Бастиона Azure или одноранговую виртуальную сеть. Вам не нужно устанавливать дополнительный клиент, агент или программное обеспечение для использования Бастиона Azure.
Простое подключение к виртуальной машине с помощью Бастиона Azure
После развертывания Бастиона Azure на странице обзора виртуальной машины выберите Подключить>Бастион>Использовать Бастион. Затем введите учетные данные входа для подключения виртуальной машины.
Ключевые функции безопасности
- Трафик, инициированный из Бастиона Azure для целевых виртуальных машин, остается внутри виртуальной сети или между одноранговыми виртуальными сетями.
- Нет необходимости применять группы безопасности сети к подсети Бастиона Azure, потому что она имеет внутреннюю защиту. Но для дополнительной безопасности вы можете настроить группы безопасности сети, чтобы разрешить удаленные подключения к целевым виртуальным машинам только с узла Бастиона Azure.
- Бастион Azure помогает защититься от сканирования портов. Порты RDP и SSH, а также общедоступные IP-адреса не являются общедоступными для виртуальных машин.
- Бастион Azure помогает защититься от атак, использующих нулевые дни. Он находится по периметру виртуальной сети, поэтому вам не нужно беспокоиться о ужесточение каждой из виртуальных машин в виртуальной сети. Платформа Azure всегда поддерживает Бастион Azure в актуальном состоянии.
- Эта служба интегрируется с собственными устройствами безопасности виртуальной сети Azure, такими как Брандмауэр Azure.
- Ее можно использовать для отслеживания удаленных подключений и управления ими.
Поддерживаемые параллельные сеансы
В следующей таблице показано, сколько параллельных сеансов RDP и SSH может поддерживать каждый ресурс Бастиона Azure при нормальном повседневном использовании. Эти цифры могут отличаться, если есть другие текущие сеансы RDP или SSH.
| Ресурс | Ограничение |
|---|---|
| Параллельные RDP-подключения | 25 |
| Параллельные SSH-подключения | 50 |
Функции, поддерживаемые при подключении к виртуальной машине
В следующей таблице перечислены некоторые функции взаимодействия с пользователем, поддерживаемые Бастионом Azure:
| Функция | Поддерживает |
|---|---|
| Браузеры | — Windows: браузер Microsoft Edge, Microsoft Edge Chromium или Google Chrome — Apple Mac: браузер Google Chrome или Microsoft Edge Chromium |
| Раскладка клавиатуры в виртуальной машине | - en-us-qwerty - en-gb-qwerty - de-ch-qwertz - de-de-qwertz - fr-be-azerty - fr-fr-azerty - fr-ch-qwertz - hu-hu-qwertz - it-it-qwerty - ja-jp-qwerty - pt-br-qwerty - es-es-qwerty - es-latam-qwerty - sv-se-qwerty - tr-tr-qwerty |
| Функции внутри виртуальной машины | — Копирование текста и вставка — такие функции, как копирование файлов, в настоящее время не поддерживаются |
Роли, необходимые для использования Бастиона Azure
Как и в случае с другими ресурсами Azure, для развертывания Бастиона Azure или управления ею вам необходим доступ к группе ресурсов или самому ресурсу Бастиона Azure.
Чтобы вы могли подключиться к ресурсу виртуальной машины с помощью Бастиона Azure, используйте следующие роли, которые предоставляют минимальные необходимые вам разрешения:
- роль читателя на виртуальной машине;
- роль читателя на сетевом адаптере с частным IP-адресом для виртуальной машины;
- роль читателя в ресурсе Бастиона Azure.