Описание Бастиона Azure

  • 6 мин

Предположим, что вы настроили несколько виртуальных сетей, которые используют сочетание группы безопасности сети и брандмауэров Azure для защиты и фильтрации доступа к ресурсам, включая виртуальные машины (VM). Теперь вы защищены от внешних угроз, но вам нужно предоставить доступ к этим виртуальным машинам разработчикам и аналитикам данных, которые работают удаленно.

В традиционной модели необходимо предоставить доступ к портам протокол удаленного рабочего стола (RDP) и/или Secure Shell (SSH) в Интернете. Эти протоколы можно использовать для получения удаленного доступа к виртуальным машинам. Этот процесс создает значительную поверхность угрозы, которую могут использовать злоумышленники, которые активно охотятся на доступные компьютеры с открытыми портами управления, такими как RDP или SSH. Если злоумышленники получают доступ к виртуальной машине, они используют ее в качестве точки входа для атак на другие ресурсы в вашей среде.

Бастион Azure

Бастион Azure — это развертываемая служба, которая позволяет подключаться к виртуальной машине с помощью браузера и портала Azure. Бастион Azure — это полностью управляемая платформой служба PaaS, которая подготавливается в виртуальной сети. Azure Bastion обеспечивает безопасное и простое подключение по протоколу RDP или SSH к виртуальным машинам непосредственно из портала Azure с помощью протокола TLS. При подключении с помощью Azure Bastion виртуальным машинам не требуются общедоступные IP-адреса, агенты или специальное клиентское ПО.

Схема, на которой показано, как создать подключение удаленного рабочего стола к виртуальной машине Azure с помощью Бастиона Azure.

Бастион обеспечивает безопасное подключение RDP и SSH ко всем виртуальным машинам в виртуальной сети и одноранговых виртуальных сетях, где он предоставляется. Бастион Azure защищает виртуальные машины от предоставления портов RDP/SSH внешним пользователям, обеспечивая при этом безопасный доступ с помощью протокола RDP/SSH.

Развертывание Бастиона Azure выполняется для каждой виртуальной сети с поддержкой пиринга виртуальных сетей, а не для подписки, учетной записи или виртуальной машины. После подготовки службы Бастиона Azure в виртуальной сети интерфейс RDP/SSH доступен для всех виртуальных машин в одной виртуальной сети и одноранговых виртуальных сетей.

Основные преимущества Бастиона Azure

Ниже приведены ключевые преимущества Бастиона Azure:

  • RDP и SSH прямо на портале Azure: вы можете напрямую перейти к сеансу RDP и SSH прямо на портале Azure в один щелчок.
  • Удаленный сеанс через TLS и обход брандмауэра для RDP/SSH. Из портала Azure подключение к виртуальной машине откроет веб-клиент на основе HTML5, который автоматически передается на локальное устройство. Вы получите протокол удаленного рабочего стола (RDP) и Secure Shell (SSH) для безопасного прохода по корпоративным брандмауэрам. Безопасность подключения обеспечивается с помощью протокола TLS для установления шифрования.
  • На виртуальной машине Azure не требуется общедоступный IP-адрес: бастион Azure открывает подключение RDP и SSH к вашей виртуальной машине Azure, используя частный IP-адрес на виртуальной машине. Вам не требуется публичный IP-адрес.
  • Нет проблемы управления группами безопасности сети: полностью управляемая служба PaaS платформы из Azure, которая закрепилась внутренне для обеспечения безопасного подключения RDP/SSH. Вам не нужно применять группы безопасности сети в подсети Azure Bastion.
  • Защита от сканирования портов: поскольку вам не нужно предоставлять свои виртуальные машины в общедоступный Интернет, ваши виртуальные машины защищены от сканирования портов неавторизированными пользователями и пользователями-злоумышленниками, расположенными за пределами вашей виртуальной сети.
  • Защита в одном месте от эксплойтов нулевого дня. Бастион Azure — это полностью управляемая платформой PaaS-служба. Поскольку она находится по периметру виртуальной сети, не стоит беспокоиться об усилении защиты каждой виртуальной машины в вашей виртуальной сети. Платформа Azure защищает от эксплойтов нулевого дня, в результате чего Бастион Azure защищен и всегда актуален для вас.

Используйте Azure Bastion для установления безопасного подключения RDP и SSH к виртуальным машинам в Azure.

Бастион Azure предлагает несколько уровней SKU. Дополнительные сведения о Бастионе Azure, включая функции, доступные в доступных номерах SKU, см. в связанной документации под названием "Что такое Бастион Azure", в разделе "Дополнительные сведения" в разделе сводки и ресурсов.