什么是 Azure Bastion?
你必须能够安全地管理远程托管 VM,这一点至关重要。 首先,让我们定义安全远程管理,然后查看 Azure Bastion 的各项功能。 此概述可帮助你确定 Azure Bastion 是否适合你的要求。
什么是安全远程管理?
安全远程管理是指能够连接到远程资源,而不会使该资源面临安全风险。 此类型的连接有时可能很难实现,尤其是在通过 Internet 访问资源的情况下。
当管理员连接到远程 VM 时,他们通常使用 RDP 或 SSH 来实现其管理目标。 问题是,若要连接到托管 VM,就必须连接到它的公共 IP 地址。 但是,向 Internet 暴露 RDP 和 SSH 所使用的 IP 端口(3389 和 22)是非常不可取的,因为这会带来严重的安全风险。
Azure Bastion 定义
Azure Bastion 是一种完全托管的平台即服务 (PaaS),可帮助你直接通过 Azure 门户使用 RDP 和 SSH 安全无缝地访问 Azure VM。
Azure Bastion:
- 在设计和配置上考虑了如何抵御攻击。
- 使用 RDP 和 SSH 连接到 Bastion 后的 Azure 工作负载。
下表描述了部署 Azure Bastion 后可用的功能。
| 优势 | 描述 |
|---|---|
| 通过 Azure 门户使用 RDP 和 SSH | 可以通过单击无缝体验在 Azure 门户中进行 RDP 和 SSH 会话。 |
| 通过 TLS 和防火墙遍历获取 RDP/SSH 远程会话 | Azure Bastion 使用基于 HTML5 的 Web 客户端,该客户端自动流式传输到本地设备。 RDP/SSH 会话通过 TLS 在端口 443 上进行。 这使流量能够更安全地遍历防火墙。 Bastion 支持 TLS 1.2 及更高版本。 不支持早期 TLS 版本。 |
| Azure VM 无需公共 IP 地址 | Azure Bastion 使用 Azure VM 上的专用 IP 地址与 VM 建立 RDP/SSH 连接。 虚拟机无需公共 IP 地址。 |
| 无需管理网络安全组 (NSG) | 无需向 Azure Bastion 子网应用任何 NSG。 由于 Azure Bastion 通过专用 IP 连接到虚拟机,所以可将 NSG 配置为仅允许来自 Azure Bastion 的 RDP/SSH。 这样消除了每次需要安全地连接到虚拟机时管理 NSG 的麻烦。 |
| 无需在 VM 上管理单独的堡垒主机 | Azure Bastion 是 Azure 提供的完全托管平台 PaaS 服务,其内部进行了加固,以提供安全的 RDP/SSH 连接。 |
| 端口扫描防护 | 由于无需向 Internet 暴露 VM,因此你的 VM 受到保护,使端口免遭未授权和恶意用户扫描。 |
| 仅在一个位置强化 | Azure Bastion 位于虚拟网络外围,因此你无需担心如何强化虚拟网络中的每个 VM。 |
| 防止零日漏洞 | Azure 平台通过使 Azure Bastion 保持强化且始终保持最新来防范零天攻击。 |
如何避免暴露远程管理端口
通过实施 Azure Bastion,你可以使用 RDP 或 SSH 在已配置的 Azure 虚拟网络中管理 Azure VM,而无需向公共 Internet 暴露管理端口。 通过使用 Azure Bastion,你可以:
- 轻松连接到 Azure VM。 直接在 Azure 门户中连接 RDP 和 SSH 会话。
- 避免向 Internet 暴露管理端口。 使用 SSH 和 RDP 仅通过专用 IP 地址来登录 Azure VM 并避免公共 Internet 暴露。
- 避免对现有网络基础结构进行大量重新配置。 在端口 443 上通过 TLS 使用基于 HTML5 的新式 Web 客户端,集成和遍历现有的防火墙和安全外围。
- 简化登录。 登录到 Azure VM 时,使用 SSH 密钥进行身份验证。
提示
可以将所有 SSH 私钥保存在 Azure Key Vault 中,以支持集中式密钥存储。