ما هو Azure Bastion؟
من الضروري أن تكون قادراً على إدارة الأجهزة الافتراضية المستضافة عن بعد بشكلٍ آمن. للبدء، دعونا نحدد الإدارة الآمنة عن بعد ثم نراجع ميزات Azure Bastion. ستساعدك هذه النظرة العامة في تحديد ما إذا كان Azure Bastion مناسباً تماماً لمتطلباتك.
ما الإدارة الآمنة عن بعد؟
الإدارة الآمنة عن بعد هي القدرة على الاتصال بمورد بعيد دون تعريض هذا المورد لمخاطر الأمان. قد يكون هذا صعباً في بعض الأحيان ، خاصةً إذا تم الوصول إلى المورد عبر الإنترنت.
عندما يتصل المسؤولون بالأجهزة الافتراضية البعيدة، فإنهم عادةً ما يستخدمون إما بروتوكول سطح المكتب البعيد وإما بروتوكول النقل الآمن لتحقيق أهدافهم الإدارية. تكمن المشكلة في أنه عند الاتصال بالأجهزة الافتراضية المستضافة، يجب عليك الاتصال بعنوان IP العام الخاص به. ومع ذلك، فإن تعريض منافذ IP التي يستخدمها بروتوكول سطح المكتب البعيد وبروتوكول النقل الآمن (3389 و22) للإنترنت أمر غير مرغوب فيه للغاية، لأنه يمثل مخاطر أمنية كبيرة.
تعريف Azure Bastion
Azure Bastion عبارة عن نظام أساسي مُدار بالكامل كخدمة النظام الأساسي التي تساعد في توفير وصول بروتوكول سطح المكتب البعيد وبروتوكول النقل الآمن بشكلٍ آمن وسلس إلى الأجهزة الافتراضية من Azure الخاصة بك مباشرةً من خلال مدخل Azure.
Azure Bastion:
- تم تصميمه وتكوينه لمقاومة الهجمات.
- يوفر اتصال بروتوكول سطح المكتب البعيد وبروتوكول النقل الآمن بأحمال عمل Azure فيما بعد bastion.
يصف الجدول التالي الميزات المتوفرة بعد توزيع Bastion Azure.
| الميزة | الوصف |
|---|---|
| بروتوكول سطح المكتب البعيد وبروتوكول النقل الآمن من خلال مدخل Azure | يمكنك الوصول مباشرة إلى جلسة بروتوكول سطح المكتب البعيد وبروتوكول النقل الآمن مباشرة في مدخل Azure. |
| جلسة عن بُعد عبر بروتوكول أمان طبقة النقل وجدار حماية اجتياز لـ RDP/SSH | يستخدم Azure Bastion عميل ويب HTML5 بحيث تحصل على جلسة بروتوكول سطح المكتب البعيد/بروتوكول النقل الآمن عبر بروتوكول أمان طبقة النقل على المنفذ 443. يتيح ذلك لحركة المرور اجتياز جدران الحماية بشكل أكثر أماناً. |
| لا يوجد IP العام المطلوب على الجهاز الظاهري لـ Azure | يفتح Azure Bastion اتصال بروتوكول سطح المكتب البعيد/بروتوكول النقل الآمن بجهاز افتراضي في Azure باستخدام عنوان IP خاص على الجهاز الافتراضي الخاص بك. |
| لا متاعب في إدارة مجموعات أمان الشبكات | نظرًا إلى أن Azure Bastion يتصل بأجهزة ظاهرية لديك عبر IP خاص، يمكنك تكوين مجموعات أمان الشبكات للسماح لـ RDP/SSH من Bastion Azure فقط. لا تحتاج إلى تطبيق أي من مجموعات أمان الشبكات على الشبكة الفرعية لـ Azure Bastion. |
| الحماية من مسح المنافذ ضوئيًا | تتم حماية أجهزتك الافتراضية من مسح المنافذ بواسطة المستخدمين المضرين والمخادعين لأنك لست بحاجة إلى الكشف عن أجهزتك على الإنترنت. |
| زيادة حماية في مكان واحد فقط | يقع Azure Bastion في محيط شبكتك الافتراضية، لذلك لا داعي للقلق بشأن تقوية كل من الأجهزة الافتراضية في شبكتك الافتراضية. |
كيفية تجنب الكشف عن منافذ الإدارة عن بعد
من خلال تنفيذ Azure Bastion، يمكنك إدارة الأجهزة الافتراضية في Azure ضمن شبكة Azure الافتراضية المكونة إما باستخدام بروتوكول سطح المكتب البعيد وإما بروتوكول النقل الآمن، دون الحاجة إلى عرض منافذ الإدارة هذه على الإنترنت العام. باستخدام Azure Bastion، يمكنك:
- الاتصال بسهولة بالأجهزة الافتراضية في Azure. توصيل جلسات عمل بروتوكول سطح المكتب البعيد وبروتوكول النقل الآمن مباشرة في بوابة Azure.
- تجنب تعريض منافذ الإدارة للإنترنت. سجل الدخول إلى الأجهزة الافتراضية في Azure وتجنب التعرض للإنترنت العام باستخدام بروتوكول النقل الآمن وبروتوكول سطح المكتب البعيد باستخدام عناوين IP الخاصة فقط.
- تجنب إعادة التكوين الشاملة للبنية الأساسية لشبكتك. دمج جدران الحماية الموجودة ومحيط الأمان واجتيازهما باستخدام عميل ويب حديث يستند إلى HTML5 ومنافذ طبقة مآخذ توصيل آمنة قياسية.
- تسجيل الدخول ببساطة. استخدم مفاتيح بروتوكول النقل الآمن للمصادقة عند تسجيل الدخول إلى الأجهزة الافتراضية في Azure.
تلميح
يمكنك حفظ جميع مفاتيح بروتوكول النقل الآمن الخاصة في Azure Key Vault لدعم تخزين المفتاح المركزي.
هل تحتاج إلى مساعدة؟ راجع دليل استكشاف الأخطاء وإصلاحها الذي نقدمه أو يمكنك توفير ملاحظات معينة عبر الإبلاغ عن مشكلة.