كيف يعمل Azure Bastion

  • 5 دقائق

غالباً ما يكون بروتوكول سطح المكتب البعيد وبروتوكول النقل الآمن الوسيلتين الأساسيتين المستخدمتين للاتصال بالأجهزة الافتراضية البعيدة في خدمة تأجير البنية التحتية، غير أن تعريض منافذ الإدارة هذه للإنترنت يشكل مخاطر أمنية كبيرة. في هذه الوحدة، سنصف كيف يمكنك الاتصال بأمان مع هذه البروتوكولات عن طريق نشر Azure Bastion على الجانب العام من الشبكة المحيطة بك. في هذه الوحدة، ستتعرف على:

  • البنية الأساسية لـ Azure Bastion .
  • كيف يوفر Azure Bastion اتصالاً آمناً لبروتوكول سطح المكتب البعيد/بروتوكول النقل الآمن بالأجهزة الافتراضية المستضافة.
  • متطلبات Azure Bastion، بحيث يمكنك تقييم مدى ملاءمتها في مؤسستك.

البنية الأساسية لـ Azure Bastion

يوضح الرسم التخطيطي التالي البنية الأساسية لنشر Azure Bastion النموذجي ويصف عملية الاتصال من طرف إلى طرف. في هذا المخطط:

  • يتم نشر Azure Bastion في شبكة افتراضية تحتوي على العديد من الأجهزة الافتراضية في Azure.
  • تحمي مجموعات أمان شبكة الاتصال الشبكات الفرعية في الشبكة الافتراضية.
  • تسمح مجموعات أمان الشبكات التي تحمي الشبكة الفرعية للجهاز الافتراضي بحركة مرور بروتوكول سطح المكتب البعيد وبروتوكول النقل الآمن من الشبكة الفرعية لـ Azure Bastion.
  • يدعم Azure Bastion الاتصالات فقط من خلال منفذ TCP رقم 443من مدخل Azure.

The architecture of Azure Bastion, as described in the preceding text.

ملاحظة

يتم توصيل الأجهزة الظاهرية المحمية ومضيف Azure Bastion بالشبكة الظاهرية نفسها، على الرغم من اختلاف الشبكات الفرعية.

تتبلور عملية الاتصال النموذجية في Azure Bastion على النحو التالي:

  1. يتصل مسؤول بمدخل Azure باستخدام أي مستعرض HTML5 من خلال اتصال مؤمن بواسطة بروتوكول أمان طبقة النقل. يحدد المسؤول الجهاز الافتراضي الذي يريد الاتصال به.
  2. يتصل المدخل عبر اتصال آمن بـ Azure Bastion من خلال مجموعة أمان شبكة اتصال تحمي الشبكة الافتراضية التي تستضيف الجهاز الافتراضي المستهدف.
  3. يبدأ Azure Bastion الاتصال بالجهاز الافتراضي المستهدف.
  4. يتم فتح جلسة بروتوكول سطح المكتب البعيد أو بروتوكول النقل الآمن في المستعرض على وحدة تحكم المسؤول. يقوم Azure Bastion بدفق معلومات الجلسة من خلال حزم مخصصة. وهذه الحزم محمية بواسطة بروتوكول أمان طبقة النقل.

باستخدام Azure Bastion، فإنك تتجاوز الحاجة إلى عرض بروتوكول سطح المكتب البعيد/بروتوكول النقل الآمن مباشرةً على الإنترنت على عنوان IP عام. بدلاً من ذلك، يمكنك الاتصال بـ Azure Bastion بأمان باستخدام طبقة مآخذ توصيل آمنة (SSL)، والاتصال بالأجهزة الافتراضية المستهدفة باستخدام عنوان IP خاص.

متطلبات الاستخدام

يتطلب المسؤولون الذين يرغبون في الاتصال بالأجهزة الافتراضية التي تعمل بخدمة تأجير البنية التحتية في Azure من خلال Azure Bastion دور القارئ في:

  • الجهاز الافتراضي الهدف.
  • واجهة الشبكة المزودة بعنوان IP خاص على الجهاز الافتراضي الهدف.
  • مورد Azure Bastion.

عند نشر Azure Bastion، فإنك تنشره على شبكته الفرعية داخل شبكة افتراضية أو شبكة افتراضية مقترنة.

تلميح

يجب أن تسمى الشبكة الفرعية AzureBastionSubnet.

نظراً لأن Azure Bastion محمي بواسطة مجموعة أمان شبكة الاتصال بالشبكة الافتراضية، فإنها تحتاج إلى دعم تدفق حركة المرور التالي:

  • الوارد:
    • عمليات اتصال بروتوكول سطح المكتب البعيد وبروتوكول النقل الآمن الصادرة من الشبكة الفرعية لـ Azure Bastion إلى الشبكة الفرعية للجهاز الافتراضي الهدف
    • وصول منفذ TCP رقم 443 من خلال الإنترنت إلى عنوان IP العام الخاص بـ Azure Bastion
    • وصول TCP من خلال Azure Gateway Manager عبر المنافذ 443 أو 4443
  • الصادر:
    • وصول TCP من خلال النظام الأساسي لـ Azure عبر المنفذ 443 لدعم التسجيل التشخيصي

ملاحظة

يقوم Azure Gateway Manager بإدارة اتصالات المدخل إلى خدمة Azure Bastion.