Dela via

Använda Azure Bastion för fjärråtkomst till virtuella datorer

  • Artikel

Vilken fjärråtkomstlösning du väljer beror på faktorer som skalning, topologi och säkerhetskrav. Den här artikeln beskriver hur du ger fjärråtkomst till virtuella datorer som distribueras i en Azure-arkitektur för landningszoner. Den här vägledningen fokuserar på Azure Bastion för fjärråtkomst.

Azure erbjuder tekniker som fungerar tillsammans för att underlätta mycket säker fjärråtkomst till virtuella datorer:

  • Azure Bastion är en PaaS-lösning (plattform som en tjänst) som du kan använda för att komma åt virtuella datorer via en webbläsare eller via den interna SSH- eller RDP-klienten på Windows-arbetsstationer.

  • just-in-time(JIT) åtkomst tillhandahålls via Microsoft Defender för molnet.

  • Hybridanslutningsalternativ, till exempel Azure ExpressRoute och VPN.

  • En offentlig IP-adress som är kopplad direkt till den virtuella datorn eller via en NAT-regel via en offentlig Azure-lastbalanserare.

Designöverväganden

  • När det är tillgängligt kan du använda befintliga hybridanslutningar till virtuella Azure-nätverk via ExpressRoute- eller S2S- och P2S VPN-anslutningar för att ge fjärråtkomst från lokala datorer till virtuella Windows- och Linux-datorer i Azure.

  • Nätverkssäkerhetsgrupper (NSG:er) kan användas för att skydda SSH- och RDP-anslutningar till virtuella Azure-datorer.

  • JIT tillåter fjärr-SSH- och RDP-åtkomst via Internet utan att behöva distribuera någon annan infrastruktur för virtuella datorer som stöds. JIT stöder:

    • Virtuella datorer som distribueras via Azure Resource Manager.
    • Virtuella datorer som distribueras med klassiska distributionsmodeller.
    • Virtuella datorer som skyddas av Azure Firewalls i samma virtuella nätverk som den virtuella datorn.
    • Virtuella datorer som skyddas av Azure-brandväggar som styrs av Azure Firewall Manager.

  • Azure Bastion ger ett extra kontrolllager. Det möjliggör mycket säker och sömlös RDP- och SSH-anslutning till dina virtuella datorer direkt från Azure-portalen eller intern klient via en säker TLS-kanal. Azure Bastion förnekar också behovet av hybridanslutning.

  • Använd lämplig Azure Bastion SKU baserat på dina krav. Mer information finns i Konfigurationsinställningar för Azure Bastion.

  • Läs vanliga frågor och svar om Azure Bastion om du vill ha svar på vanliga frågor om tjänsten.

  • Azure Bastion med Kerberos-autentisering kräver att både domänkontrollanterna och Azure Bastion finns i samma virtuella nätverk. Mer information finns i Azure Bastion Kerberos-autentisering.

  • Azure Bastion kan användas i en Azure Virtual WAN-topologi. Det finns dock vissa begränsningar:

    • Azure Bastion kan inte distribueras i en virtuell Virtual WAN-hubb.

    • Azure Bastion måste använda Premium- eller Standard-SKU:n. Funktionen IP-baserad anslutning måste vara aktiverad på Azure Bastion-resursen. Mer information finns i AZURE Bastion IP-baserad anslutningsdokumentation.

    • Azure Bastion kan installeras i valfritt virtuellt spoke-nätverk som är anslutet till ett virtuellt WAN. Azure Bastion ger åtkomst till virtuella datorer i ett eget virtuellt nätverk via virtuella Virtual WAN-nätverksanslutningar. Det kan också ge åtkomst till virtuella datorer i andra virtuella nätverk som är anslutna till samma virtuella WAN via dess associerade hubbar. En lyckad distribution kräver lämplig routning konfiguration. Du kan till exempel distribuera Azure Bastion genom att använda mönstret för hubbtillägg .

    • Azure Bastion Standard SKU kräver ett dedikerat undernät (AzureBastionSubnet), medan utvecklar-SKU:n inte gör det.

  • Developer SKU är en kostnadsfri, nollkonfigurationsversion av Azure Bastion-tjänsten. Till skillnad från Standard SKU är utvecklar-SKU:n inte en dedikerad resurs, men den fungerar som en del av en delad pool och stöder inte peering för virtuella nätverk.

Tips

Azure Bastion IP-baserad anslutning möjliggör också anslutning till lokala datorer om det finns en hybridanslutning mellan Azure Bastion-resursen och den dator som du vill ansluta till. Mer information finns i Ansluta till en virtuell dator via en angiven privat IP-adress.

Designrekommendationer

  • Distribuera Azure Bastion Premium eller Standard SKU för produktionsarbetsbelastningar. För sandbox- och testmiljöer använder du utvecklar-SKU:n i valda regioner.

  • Använd befintlig ExpressRoute- eller VPN-anslutning för att ge fjärråtkomst till virtuella Azure-datorer som är tillgängliga från ditt lokala nätverk.

  • I en Virtual WAN-baserad nätverkstopologi där du behöver fjärråtkomst till virtuella datorer via Internet kan du distribuera Azure Bastion i varje virtuellt ekernätverk för respektive virtuella datorer.

    Eller så kan du distribuera en centraliserad Azure Bastion-instans i en enda eker i din Virtual WAN-topologi. Den här konfigurationen minskar antalet Azure Bastion-instanser som ska hanteras i din miljö. Det här scenariot kräver att användare som loggar in på Windows- och Linux-virtuella maskiner via Azure Bastion har rollen Läsare på Azure Bastion-resursen och det valda spoke-virtuella nätverket. Vissa implementeringar kan ha säkerhets- eller efterlevnadsöverväganden som begränsar eller förhindrar detta krav. Följande diagram visar en Azure Virtual WAN-topologi.

    diagram som visar en Azure Virtual WAN-topologi.

  • I en nätverkstopologi med nav och eker där du behöver fjärråtkomst till virtuella Azure-datorer via Internet:

    • Du kan distribuera en enda Azure Bastion-värd i den centrala virtuella nätverksplatsen, vilket möjliggör anslutning till Azure-VM:er i anslutande virtuella nätverk via nätverksskuggning. Den här konfigurationen minskar antalet Azure Bastion-instanser som ska hanteras i din miljö. Det här scenariot kräver att användare som loggar in på virtuella Windows- och Linux-datorer via Azure Bastion har en Reader-roll på Azure Bastion-resursen och det virtuella hubbnätverket. Vissa implementeringar kan ha säkerhets- eller efterlevnadsöverväganden som begränsar eller förhindrar detta krav. Följande diagram visar en Azure hub-and-spoke topologi.

    Diagram som visar en topologi för Azure hub-and-spoke.

    • Din miljö kanske inte tillåter att användare tilldelas läsarens roll för rollbaserad åtkomstkontroll (RBAC) på Azure Bastion-resursen och det virtuella hubbnätverket. Använd Azure Bastion Basic eller Standard SKU för att tillhandahålla anslutning till virtuella datorer inom ett "spoke" virtuellt nätverk. Distribuera en dedikerad Azure Bastion-instans till varje spoke-virtuellt nätverk som kräver fjärråtkomst. Följande diagram visar en fristående topologi för virtuella Azure-nätverk.

    diagram som visar en fristående topologi för ett virtuellt Azure-nätverk.

  • Konfigurera NSG-regler för att skydda Azure Bastion och de virtuella datorer som den tillhandahåller anslutning till. Mer information finns i Arbeta med virtuella datorer och NSG:er i Azure Bastion.

  • Konfigurera Azure Bastion-diagnostikloggar så att de skickas till den centrala Log Analytics-arbetsytan. Mer information finns i Aktivera och arbeta med Azure Bastion-resursloggar.

  • Se till att du skapar nödvändiga RBAC-rolltilldelningar för användare eller grupper som ansluter till de virtuella datorerna via Azure Bastion.

  • Om du ansluter till virtuella Linux-datorer via SSH upprättar du anslutningen via en privat nyckel i Azure Key Vault.

  • Distribuera Azure Bastion med ExpressRoute- eller VPN-åtkomst för att hantera specifika behov som nödåtkomst.

  • Aktivera inte fjärråtkomst till virtuella Windows- och Linux-datorer via offentliga IP-adresser som är direkt anslutna till de virtuella datorerna. Distribuera inte fjärråtkomst utan strikta NSG-regler och brandväggar.