ما هو Azure Bastion؟
Azure Bastion هو خدمة تستخدمها تتيح لك الاتصال بجهاز الظاهري باستخدام المتصفح ومدخل Azure. وهي خدمة PaaS تتم إدارتها بشكل كامل من خلال المنصة وتكوّن إعدادات تشغيلها داخل جهازك الظاهري. كما توفر اتصال RDP/SSH آمن وسلس بأجهزتك الظاهرية من مدخل Azure مباشرةً عبر TLS. عند الاتصال عبر Azure Bastion، لا تحتاج الأجهزة الظاهرية إلى عنوان IP عام، أو عامل، أو برنامج عميل خاص.
حيث توفر خدمة Bastion اتصال RDP وSSH آمن لكل الأجهزة الظاهرية في الشبكة الظاهرية التي يتم تكوين إعدادات تشغيل الخدمة بداخلها. يحمي استخدام Azure Bastion الأجهزة الظاهرية الخاصة بك من تعريض منافذ RDP/SSH إلى العالم الخارجي، مع الاستمرار في توفير الوصول الآمن باستخدام RDP/SSH.
المزايا الهامة
| الميزة | الوصف |
|---|---|
| بروتوكول سطح المكتب البعيد وبروتوكول النقل الآمن من خلال مدخل Azure | يمكنك الوصول إلى جلسة عمل RDP وSSH مباشرة في مدخل Azure باستخدام تجربة سلسة بنقرة واحدة. |
| جلسة عن بُعد عبر بروتوكول أمان طبقة النقل وجدار حماية اجتياز لـ RDP/SSH | يستخدم Azure Bastion عميل ويب يستند إلى HTML5 يتم بثه تلقائيا إلى جهازك المحلي. جلسة عمل RDP/SSH الخاصة بك عبر TLS على المنفذ 443. يتيح ذلك لحركة المرور اجتياز جدران الحماية بشكل أكثر أماناً. |
| لا يوجد عنوان IP عام مطلوب على جهاز Azure الظاهري | يفتح Azure Bastion اتصال RDP/SSH بجهاز Azure الظاهري باستخدام عنوان IP الخاص على الجهاز الظاهري. لا تحتاج إلى عنوان IP عام على جهازك الظاهري. |
| لا متاعب في إدارة مجموعات أمان الشبكات | لن تحتاج إلى تطبيق أي مجموعات لأمان الشبكة في الشبكة الفرعية لخدمة Azure Bastion. ولأن Azure Bastion تتصل بجهازك الظاهري عبر عنوان IP خاص، يمكنك تكوين مجموعات أمان الشبكة لديك بحيث تتيح اتصال RDP/SSH من Azure Bastion فقط. ما يخلصك من متاعب إدارة مجموعات أمان الشبكة في كل مرة تحتاج إلى الاتصال بالأجهزة الظاهرية لديك بأمان. لمزيد من المعلومات حول مجموعات أمان الشبكة راجع مجموعات أمان الشبكة. |
| لا حاجة لإدارة مضيف معقل منفصل على جهاز ظاهري | Azure Bastion هي خدمة PaaS للنظام الأساسي مدار بالكامل من Azure يتم تقويتها داخليا لتوفر لك اتصال RDP/SSH آمنا. |
| الحماية من مسح المنافذ ضوئيًا | يتم حماية الأجهزة الظاهرية الخاصة بك ضد فحص المنافذ بواسطة المستخدمين المارقين والضارين لأنك لست بحاجة إلى تعريض الأجهزة الظاهرية للإنترنت. |
| زيادة حماية في مكان واحد فقط | يقع Azure Bastion في محيط شبكتك الافتراضية، لذلك لا داعي للقلق بشأن تقوية كل من الأجهزة الافتراضية في شبكتك الافتراضية. |
| الحماية من عمليات الاستغلال في يوم الصفر | يحمي النظام الأساسي لدى Azure من عمليات استغلال الثغرات الأمنية الأولية من خلال الحفاظ على زيادة حماية Azure Bastion ودائمًا ما تكون محدّثة لك. |
وحدات حفظ المخزون
يضم Azure Bastion وحدتي SKU متاحتين، إحداهما أساسية والأخرى قياسية. لمزيد من المعلومات، بما في ذلك كيفية ترقية وحدة SKU، راجع مقالة إعدادات التكوين.
يوضح الجدول الآتي الميزات ووحدات SKU المطابقة.
| الميزة | SKU الأساسية | SKU القياسية |
|---|---|---|
| الاتصال بالأجهزة الظاهرية الهدف في شبكات ظاهرية نظيرة | متوفر | متوفر |
| الوصول إلى المفاتيح الخاصة للأجهزة الظاهرية لـ Linux في Azure Key Vault (AKV) | متوفر | متوفر |
| الاتصال إلى لينكس VM باستخدام SSH | متوفر | متوفر |
| الاتصال إلى Windows الظاهري باستخدام RDP | متوفر | متوفر |
| إخراج الصوت VM | متوفر | متوفر |
| تغيير حجم المضيف | غير متوفر | متوفر |
| تحديد منفذ وارد مخصص | غير متوفر | متوفر |
| قم بالاتصال بـLinux VM باستخدام RDP | غير متوفر | متوفر |
| قم بالاتصال إلى Windows VM باستخدام SSH | غير متوفر | متوفر |
| Upload الملفات أو تنزيلها | غير متوفر | متوفر |
| تعطيل النسخ/اللصق | غير متوفر | متوفر |
التصميم
يتم استخدام Azure Bastion في شبكة ظاهرية ويدعم تناظر الشبكات الظاهرية. وبشكلٍ خاص، يدير Azure Bastion اتصال RDP/SSH بالأجهزة الظاهرية الذي تم إنشاؤه في الشبكات الظاهرية المحلية أو النظيرة.
فاتصالات RDP وSSH تعد من الوسائل الأساسية التي يمكنك من خلالها الاتصال بأحمال العمل التي قيد التشغيل في Azure. لا يُفضل كشف منافذ RDP/SSH عبر الإنترنت ويعد ذلك مصدر تهديد كبير. ويرجع ذلك غالباً إلى نقاط ضعف في البروتوكول. ولاحتواء مصدر التهديد هذا، يمكنك استخدام مضيفي bastion (المعروفين باسم خوادم القفز) على الجانب العام من شبكتك المحيطية. تم تصميم خوادم المضيف Bastion وتكوينها لتحمل الهجمات. وهي توفر كذلك اتصال RDP وSSH بأحمال العمل الموجودة التي تتخطى bastion، بالإضافة إلى الموجودة على مسافات أعمق داخل الشبكة.
يوضح هذا الشكل تصميم استخدام Azure Bastion. في هذا المخطط:
- يتم استخدام المضيف Bastion في الشبكة الظاهرية التي تضم الشبكة الفرعية AzureBastionSubnet التي تتميز بجد أدنى للبادئات يصل إلى 26 بادئة.
- ويتصل المستخدم بمدخل Azure باستخدام أي متصفح HTML5.
- حيث يحدد المستخدم الجهاز الظاهري الذي يرغب في الاتصال به.
- وبنقرة واحدة، يتم فتح جلسة RDP/SSH في المتصفح.
- لا تحتاج إلى عنوان IP عام في الأجهزة الظاهرية لـAzure.
تغيير حجم المضيف
يدعم Azure Bastion تغيير حجم المضيف يدوياً. يمكنك تكوين عدد مثيلات المضيف (وحدات المقياس) لإدارة عدد اتصالات RDP/SSH المتزامنة التي يمكن أن يدعمها Azure Bastion. ويتيح رفع عدد مثيلات المضيف لـAzure Bastion إدارة جلسات متزامنة أكثر. أما تقليل عدد المثيلات، فيقلل عدد الجلسات المتزامنة المدعومة. يدعم Azure Bastion ما يصل إلى 50 مثيلاً للمضيف. تتوفر هذه الميزة في وحدة SKU القياسية لـAzure Bastion فقط.
لمزيد من المعلومات، راجع مقالة إعدادات التكوين.
التسعير
يتضمن تسعير Azure Bastion مزيجاً من التسعير بالساعة استناداً إلى وحدات SKU ووحدات المقياس ومعدلات نقل البيانات. يمكنك العثور على معلومات التسعير في صفحة التسعير.
ما الجديد؟
اشترك في موجز RSS واعرض آخر تحديثات الميزات لخدمة Azure Bastio على صفحة تحديثات Azure.
الأسئلة المتداولة عن Bastion
للاطلاع على الأسئلة المتداولة راجع الأسئلة المتداولة حول Bastion.
الخطوات التالية
- البرنامج التعليمي: إنشاء مضيف Azure Bastion والاتصال بجهاز ظاهري يعمل بنظام Windows.
- الوحدة النمطية للتعلم: مقدمة عن خدمة Azure Bastion.
- تعرف على بعض قدرات الشبكات الرئيسة الأخرى في Azure.