ما هو Azure Bastion؟
Azure Bastion هي خدمة PaaS مدارة بالكامل تقوم بتوفيرها للاتصال بأمان بالأجهزة الظاهرية عبر عنوان IP الخاص. يوفر اتصال RDP/SSH آمنا وسلسا بالأجهزة الظاهرية الخاصة بك مباشرة عبر TLS من مدخل Microsoft Azure، أو عبر عميل SSH أو RDP الأصلي المثبت بالفعل على الكمبيوتر المحلي. عند الاتصال عبر Azure Bastion، لا تحتاج أجهزتك الظاهرية إلى عنوان IP عام أو وكيل أو برنامج عميل خاص.
يوفر Bastion اتصال RDP وSSH آمنا بجميع الأجهزة الظاهرية في الشبكة الظاهرية التي تم توفيرها لها. يحمي استخدام Azure Bastion أجهزتك الظاهرية من تعريض منافذ RDP/SSH للعالم الخارجي، مع الاستمرار في توفير الوصول الآمن باستخدام RDP/SSH.
المزايا الرئيسية
| الميزة | الوصف |
|---|---|
| بروتوكول سطح المكتب البعيد وبروتوكول النقل الآمن من خلال مدخل Azure | يمكنك الوصول إلى جلسة RDP وSSH مباشرةً في مدخل Azure باستخدام تجربة سلسة بنقرة واحدة. |
| جلسة عن بُعد عبر بروتوكول أمان طبقة النقل وجدار حماية اجتياز لـ RDP/SSH | يستخدم Azure Bastion عميل ويب يستند إلى HTML5 يتم بثه تلقائيًا إلى جهازك المحلي. جلسة RDP/SSH الخاصة بك عبر TLS على المنفذ 443. يتيح ذلك لحركة المرور اجتياز جدران الحماية بشكل أكثر أماناً. يدعم Bastion TLS 1.2. إصدارات TLS القديمة غير مدعومة. |
| لا يلزم وجود عنوان IP عام على الجهاز الظاهري لـ Azure | يفتح Azure Bastion اتصال RDP/SSH بجهاز ظاهري في Azure باستخدام عنوان IP خاص على الجهاز الظاهري الخاص بك. أي أنك لا تحتاج إلى عنوان IP عام على جهازك الظاهري. |
| لا متاعب في إدارة مجموعات أمان الشبكات | لن تحتاج إلى تطبيق أي مجموعات لأمان الشبكة في الشبكة الفرعية لخدمة Azure Bastion. ولأن Azure Bastion تتصل بجهازك الظاهري عبر عنوان IP خاص، يمكنك تكوين مجموعات أمان الشبكة لديك بحيث تتيح اتصال RDP/SSH من Azure Bastion فقط. ما يخلصك من متاعب إدارة مجموعات أمان الشبكة في كل مرة تحتاج إلى الاتصال بالأجهزة الظاهرية لديك بأمان. لمزيد من المعلومات حول مجموعات أمان الشبكة راجع مجموعات أمان الشبكة. |
| لا حاجة لإدارة مضيف bastion منفصل على جهاز ظاهري | Azure Bastion هي خدمة PaaS للنظام الأساسي المُدار بالكامل من Azure يتم زيادة حمايتها داخلياً لتوفير اتصال RDP/SSH آمن. |
| الحماية من مسح المنافذ ضوئيًا | تتم حماية أجهزتك الظاهرية من فحص المنافذ بواسطة المستخدمين المضرين والمخادعين لأنك لست بحاجة إلى الكشف عن الأجهزة الظاهرية على الإنترنت. |
| زيادة حماية في مكان واحد فقط | يقع Azure Bastion في محيط شبكتك الافتراضية، لذلك لا داعي للقلق بشأن تقوية كل من الأجهزة الافتراضية في شبكتك الافتراضية. |
| الحماية من الثغرات الأمنية الأولية | يحمي النظام الأساسي لدى Azure من عمليات استغلال الثغرات الأمنية الأولية من خلال الحفاظ على زيادة حماية Azure Bastion ودائمًا ما تكون محدّثة لك. |
وحدات SKU
يقدم Azure Bastion مستويات SKU متعددة. يوضح الجدول الآتي الميزات ووحدات SKU المطابقة. لمزيد من المعلومات حول وحدات SKU، راجع مقالة إعدادات التكوين.
| ميزة | وحدة SKU للمطور | SKU الأساسية | SKU القياسية | SKU المتميزة |
|---|---|---|---|---|
| الاتصال لاستهداف الأجهزة الظاهرية في نفس الشبكة الظاهرية | نعم | نعم | نعم | نعم |
| الاتصال بالأجهزة الظاهرية الهدف في شبكات ظاهرية نظيرة | لا | نعم | نعم | نعم |
| دعم الاتصالات المتزامنة | لا | نعم | نعم | نعم |
| الوصول إلى المفاتيح الخاصة للأجهزة الظاهرية لـ Linux في Azure Key Vault (AKV) | لا | نعم | نعم | نعم |
| الاتصال بـ Linux VM باستخدام SSH | نعم | نعم | نعم | نعم |
| الاتصال بـ Windows VM باستخدام RDP | نعم | نعم | نعم | نعم |
| قم بالاتصال بـLinux VM باستخدام RDP | لا | لا | نعم | نعم |
| قم بالاتصال إلى Windows VM باستخدام SSH | لا | لا | نعم | نعم |
| تحديد منفذ وارد مخصص | لا | لا | نعم | نعم |
| الاتصال إلى الأجهزة الظاهرية باستخدام Azure CLI | لا | لا | نعم | نعم |
| تغيير حجم المضيف | لا | لا | نعم | نعم |
| تحميل الملفات أو تنزيلها | لا | لا | نعم | نعم |
| مصادقة Kerberos | لا | نعم | نعم | نعم |
| ارتباط قابل للمشاركة | لا | لا | نعم | نعم |
| الاتصال إلى الأجهزة الظاهرية عبر عنوان IP | لا | لا | نعم | نعم |
| إخراج صوت VM | نعم | نعم | نعم | نعم |
| تعطيل النسخ/اللصق (العملاء على شبكة الإنترنت) | لا | لا | نعم | نعم |
| تسجيل الجلسة | لا | لا | لا | نعم |
| النشر الخاص فقط | لا | لا | لا | نعم |
بناء الأنظمة
يقدم Azure Bastion بنيات توزيع متعددة، اعتمادا على SKU المحدد وتكوينات الخيارات. بالنسبة لمعظم وحدات SKU، يتم نشر Bastion على شبكة ظاهرية ويدعم تناظر الشبكة الظاهرية. وبشكلٍ خاص، يدير Azure Bastion اتصال RDP/SSH بالأجهزة الظاهرية الذي تم إنشاؤه في الشبكات الظاهرية المحلية أو النظيرة.
فاتصالات RDP وSSH تعد من الوسائل الأساسية التي يمكنك من خلالها الاتصال بأحمال العمل التي قيد التشغيل في Azure. لا يُفضل كشف منافذ RDP/SSH عبر الإنترنت ويعد ذلك مصدر تهديد كبير. ويرجع ذلك غالباً إلى نقاط ضعف في البروتوكول. ولاحتواء مصدر التهديد هذا، يمكنك استخدام مضيفي bastion (المعروفين باسم خوادم القفز) على الجانب العام من شبكتك المحيطية. تم تصميم خوادم المضيف Bastion وتكوينها لتحمل الهجمات. وهي توفر كذلك اتصال RDP وSSH بأحمال العمل الموجودة التي تتخطى bastion، بالإضافة إلى الموجودة على مسافات أعمق داخل الشبكة.
تحدد SKU التي تحددها عند توزيع Bastion البنية والميزات المتوفرة. يمكنك الترقية إلى SKU أعلى لدعم المزيد من الميزات، ولكن لا يمكنك الرجوع إلى إصدار أعلى من SKU بعد النشر. يجب تكوين بعض البنيات، مثل Private-only و Developer SKU، في وقت التوزيع. لمزيد من المعلومات حول كل بنية، راجع تصميم Bastion وتصميمه.
تظهر الرسومات التخطيطية التالية البنى المتوفرة ل Azure Bastion.
SKU الأساسية وأعلى
وحدة SKU للمطور
النشر الخاص فقط (معاينة)
مجموعات التوافر
تدعم بعض المناطق القدرة على نشر Azure Bastion في منطقة توفر (أو متعددة، لتكرار المنطقة). للنشر على نطاق منطقة، انشر Bastion باستخدام الإعدادات المحددة يدويا (لا تنشر باستخدام الإعدادات الافتراضية التلقائية). حدد مناطق التوفر المطلوبة في وقت التوزيع. لا يمكنك تغيير التوفر النطاقي بعد توزيع Bastion.
دعم مناطق التوفر قيد المعاينة حاليا. أثناء المعاينة، تتوفر المناطق التالية:
- شرق الولايات المتحدة
- شرق أستراليا
- East US 2
- Central US
- قطر الوسطى
- جنوب أفريقيا
- أوروبا الغربية
- West US 2
- أوروبا الشمالية
- منطقة السويد الوسطى
- جنوب المملكة المتحدة
- وسط كندا
تغيير حجم المضيف
يدعم Azure Bastion تغيير حجم المضيف يدوياً. يمكنك تكوين عدد مثيلات المضيف (وحدات المقياس) من أجل إدارة عدد اتصالات RDP/SSH المتزامنة التي يمكن أن يدعمها Azure Bastion. ويتيح رفع عدد مثيلات المضيف لـAzure Bastion إدارة جلسات متزامنة أكثر. أما تقليل عدد المثيلات، فيقلل عدد الجلسات المتزامنة المدعومة. يدعم Azure Bastion ما يصل إلى 50 مثيلاً للمضيف. تتوفر هذه الميزة ل Standard SKU وأعلى.
لمزيد من المعلومات، راجع مقالة إعدادات التكوين.
التسعير
تسعير Azure Bastion هو مزيج من التسعير بالساعة استنادا إلى SKU والمثيلات (وحدات المقياس)، بالإضافة إلى معدلات نقل البيانات. يبدأ التسعير بالساعة من لحظة نشر Bastion، بغض النظر عن استخدام البيانات الصادرة. للحصول على أحدث معلومات التسعير، راجع صفحة تسعير Azure Bastion.
ما الجديد؟
اشترك في موجز RSS واعرض آخر تحديثات الميزات لخدمة Azure Bastio على صفحة تحديثات Azure.
الأسئلة المتداولة عن Bastion
للاطلاع على الأسئلة المتداولة راجع الأسئلة المتداولة حول Bastion.