Planera och implementera fjärråtkomst till offentliga slutpunkter, azure bastion och jit-åtkomst (just-in-time) för virtuell dator (VM)
Azure Bastion är en tjänst som du distribuerar som gör att du kan ansluta till en virtuell dator med hjälp av webbläsaren och Azure Portal, eller via den interna SSH- eller RDP-klienten som redan är installerad på den lokala datorn. Tjänsten Azure Bastion är en helt plattformshanterad PaaS-tjänst som du etablerar i ditt virtuella nätverk. Det ger säker och sömlös RDP/SSH-anslutning till dina virtuella datorer direkt via TLS från Azure Portal eller via den interna klienten. När du ansluter via Azure Bastion behöver dina virtuella datorer inte någon offentlig IP-adress, agent eller särskild klientprogramvara.
Bastion tillhandahåller säker RDP- och SSH-anslutning till alla virtuella datorer i det virtuella nätverk där den etableras. Genom att använda Azure Bastion skyddas dina virtuella datorer från att exponera RDP/SSH-portar för omvärlden, samtidigt som de ger säker åtkomst med RDP/SSH.
Följande diagram visar anslutningar till virtuella datorer via en Bastion-distribution som använder en Basic- eller Standard-SKU.
Viktiga fördelar
| Förmån | Beskrivning |
|---|---|
| RDP och SSH via Azure Portal | Du kan komma till RDP- och SSH-sessionen direkt i Azure Portal med en sömlös upplevelse med ett klick. |
| Fjärrsession över TLS och brandväggsbläddering för RDP/SSH | Azure Bastion använder en HTML5-baserad webbklient som automatiskt strömmas till din lokala enhet. RDP/SSH-sessionen är över TLS på port 443. Detta gör att trafiken kan passera brandväggar på ett säkrare sätt. Bastion stöder TLS 1.2 och senare. Äldre TLS-versioner stöds inte. |
| Ingen offentlig IP-adress krävs på den virtuella Azure-datorn | Azure Bastion öppnar RDP/SSH-anslutningen till din virtuella Azure-dator med hjälp av den privata IP-adressen på den virtuella datorn. Du behöver ingen offentlig IP-adress på den virtuella datorn. |
| Inget krångel med att hantera nätverkssäkerhetsgrupper (NSG:er) | Du behöver inte tillämpa NSG:er på Azure Bastion-undernätet. Eftersom Azure Bastion ansluter till dina virtuella datorer via privat IP kan du konfigurera dina NSG:er för att endast tillåta RDP/SSH från Azure Bastion. Detta tar bort besväret med att hantera NSG:er varje gång du behöver ansluta på ett säkert sätt till dina virtuella datorer. |
| Du behöver inte hantera en separat skyddsvärd på en virtuell dator | Azure Bastion är en fullständigt hanterad PaaS-plattformstjänst från Azure som är härdad internt för att ge dig en säker RDP/SSH-anslutning. |
| Skydd mot portgenomsökning | Dina virtuella datorer skyddas mot portgenomsökning av obehöriga och skadliga användare eftersom du inte behöver exponera de virtuella datorerna för Internet. |
| Endast härdning på ett ställe | Azure Bastion finns i perimetern för ditt virtuella nätverk, så du behöver inte bekymra dig om att härda var och en av de virtuella datorerna i ditt virtuella nätverk. |
| Skydd mot nolldagarsexploateringar | Azure-plattformen skyddar mot nolldagsexploateringar genom att hålla Azure Bastion härdad och alltid uppdaterad för dig. |
SKU:er (lagerhållningsenheter)
Azure Bastion har två tillgängliga SKU:er, Basic och Standard. I följande tabell visas funktioner och motsvarande SKU:er.
| Funktion | Utvecklar-SKU | Grundläggande SKU | Standard-SKU |
|---|---|---|---|
| Ansluta till virtuella måldatorer i samma virtuella nätverk | Ja | Ja | Ja |
| Ansluta till virtuella måldatorer i peer-kopplade virtuella nätverk | Nej | Ja | Ja |
| Stöd för samtidiga anslutningar | Nej | Ja | Ja |
| Åtkomst till privata Nycklar för virtuella Linux-datorer i Azure Key Vault (AKV) | Nej | Ja | Ja |
| Ansluta till en virtuell Linux-dator med SSH | Ja | Ja | Ja |
| Ansluta till en virtuell Windows-dator med RDP | Ja | Ja | Ja |
| Ansluta till en virtuell Linux-dator med RDP | Nej | Nej | Ja |
| Ansluta till en virtuell Windows-dator med hjälp av SSH | Nej | Nej | Ja |
| Ange anpassad inkommande port | Nej | Nej | Ja |
| Ansluta till virtuella datorer med Azure CLI | Nej | Nej | Ja |
| Värdskalning | Nej | Nej | Ja |
| Ladda upp eller ladda ned filer | Nej | Nej | Ja |
| Kerberos-autentisering | Nej | Ja | Ja |
| Delningsbar länk | Nej | Nej | Ja |
| Ansluta till virtuella datorer via IP-adress | Nej | Nej | Ja |
| Utdata från vm-ljud | Ja | Ja | Ja |
| Inaktivera kopiera/klistra in (webbaserade klienter) | Nej | Nej | Ja |
Arkitektur
Azure Bastion distribueras till ett virtuellt nätverk och har stöd för peering av virtuella nätverk. Mer specifikt hanterar Azure Bastion RDP/SSH-anslutning till virtuella datorer som skapats i de lokala eller peer-kopplade virtuella nätverken.
RDP och SSH är några av de grundläggande sätten att ansluta till dina arbetsbelastningar som körs i Azure. Att exponera RDP/SSH-portar via Internet är inte önskvärt och ses som en betydande hotyta. Detta beror ofta på protokollsårbarheter. Om du vill innehålla den här hotytan kan du distribuera skyddsvärdar (även kallade jump-servers) på den offentliga sidan av perimeternätverket. Bastion-värdservrar är utformade och konfigurerade för att klara attacker. Bastion-servrar ger också RDP- och SSH-anslutning till arbetsbelastningarna som sitter bakom bastionen, samt längre in i nätverket.
För närvarande stöder nya Bastion-distributioner för närvarande inte zonredundans. Tidigare distribuerade bastioner kan vara zonredundanta. Undantagen är Bastion-distributioner i Korea, centrala och Sydostasien, som stöder zonredundanser.
- Bastion-värden distribueras i det virtuella nätverket som innehåller undernätet AzureBastionSubnet som har minst /26 prefix.
- Användaren ansluter till Azure Portal med valfri HTML5-webbläsare.
- Användaren väljer den virtuella dator som ska anslutas till.
- Med ett enda klick öppnas RDP/SSH-sessionen i webbläsaren.
- Ingen offentlig IP-adress krävs på den virtuella Azure-datorn.
Värdskalning
Azure Bastion stöder manuell värdskalning. Du kan konfigurera antalet värdinstanser (skalningsenheter) för att hantera antalet samtidiga RDP/SSH-anslutningar som Azure Bastion kan stödja. Genom att öka antalet värdinstanser kan Azure Bastion hantera fler samtidiga sessioner. Om du minskar antalet instanser minskar antalet samtidiga sessioner som stöds. Azure Bastion stöder upp till 50 värdinstanser. Den här funktionen är endast tillgänglig för Azure Bastion Standard SKU.