使用 Azure Bastion 的時機
在此單元中,您將探索 Azure Bastion 的使用方式,並判斷其是否為適合用於安全連線至遠端 VM 的選項。 您會依下列準則評估 Azure Bastion:
- 安全性
- 容易管理
- 與其他應用程式整合
系統管理員必須依賴遠端管理,以管理和維護組織的 Azure 資源,包含 VM,以及安裝在這些 VM 上的應用程式。 請務必考慮在不公開至網際網路下,安全連線至這些資源和應用程式的能力。 您可以使用 Azure Bastion 以遠端連線和管理託管 VM,而不會公開管理連接埠至網際網路。 然而,某些系統管理員使用「跳板機」,或稱為「堡壘機」,以解決此需求。 在此單元中,您會決定 Azure Bastion 是否能夠取代跳板機,成為提供安全遠端管理存取的方法。
注意
「跳板機」是有公用 IP 位址的 Azure VM,可從網際網路進行存取。
在跳板機的一般案例中:
- 您組織的 VM 只會透過私人 IP 位址設定,而且無法直接從網際網路存取。
- 此跳板機部署在與 VM 相同的虛擬網路,該 VM 就是系統管理員想要使用 RDP 和 SSH 進行遠端管理的 VM。
- NSG 會管理網際網路、跳板機與目標 VM 間的網路流量流程。
- 系統管理員使用公用 IP,透過 RDP 連線至跳板機。
重要
因為您在公用 IP 上使用 RDP 連線至跳板機,所以跳板機的安全性可能受到危害。
跳板機是執行伺服器作業系統的 VM,因此您需要:
- 使用修補檔和其他更新,使 VM 保持在最新狀態。
- 設定適當的 NSG,協助保護跳板機與目標 VM 間虛擬網路內的流量流程。
決策準則
若要判斷跳板機或 Azure Bastion 對您管理組織的 Azure 資源,哪一個是較佳選擇,請考慮如安全性、管理方便性和整合等準則。 以下為這些準則的分析。
| 準則 | 分析 |
|---|---|
| 安全性 | Azure Bastion 不會在其公用 IP 上公開 RDP/SSH。 不同於跳板機,Azure Bastion 僅支援從 Azure 入口網站的受 TLS 保護的連線。 使用 Azure Bastion,您不需設定 NSG 以協助保護流量流程。 |
| 容易管理 | Azure Bastion 是完全受控的 PaaS 服務。 不是如跳板機等需定期更新的 VM。 您不需要用戶端或代理程式以使用 Azure Bastion,亦不需套用修補檔和更新。 您也不需在管理主控台上安裝或維護任何其他軟體。 |
| 整合 | 您可以整合 Azure Bastion 與 Azure 中的其他原始安全性服務,例如 Azure 防火牆。 跳板機沒有此選項。 |
注意
您可以在每個虛擬網路 (或對等互連虛擬網路) 中部署 Azure Bastion,而非每個訂閱、帳戶或 VM。
套用準則
Azure Bastion 達成啟用託管 VM 的安全遠端管理的重要目標。 Azure Bastion 為受管理的服務,您不需更新或手動設定 NSG 與相關設定。 Azure Bastion 是啟用 Azure 託管 VM 的安全遠端管理的最佳解決方案。
若您需管理遠端 Azure 託管 VM,請考慮使用 Azure Bastion:
- 您必須使用 RDP/SSH 連線至這些 VM。
- 您不想維護這些遠端 VM 的連線方法。
- 您不想設定 NSG 設定來啟用遠端管理。
- 您想要避免使跳板機。
判斷要部署的Azure Bastion 主機數目時,請考慮每個虛擬網路 (或對等互連虛擬網路) 皆需一個主機。 您不需以每個 VM 或每個子網路為基礎,部署 Azure Bastion。