Co je Azure Bastion?

Azure Bastion je plně spravovaná služba PaaS, kterou zřídíte pro bezpečné připojení k virtuálním počítačům přes privátní IP adresu. Poskytuje zabezpečené a bezproblémové připojení RDP/SSH k vašim virtuálním počítačům přímo přes protokol TLS z webu Azure Portal nebo přes nativního klienta SSH nebo RDP, který už je na místním počítači nainstalovaný. Když se připojíte přes Azure Bastion, virtuální počítače nepotřebují veřejnou IP adresu, agenta ani speciální klientský software.

Bastion poskytuje zabezpečené připojení RDP a SSH ke všem virtuálním počítačům ve virtuální síti, pro které je zřízená. Použití služby Azure Bastion chrání vaše virtuální počítače před vystavením portů RDP/SSH vnějšímu světu a přitom zajišťuje zabezpečený přístup pomocí protokolu RDP/SSH.

Následující diagram znázorňuje připojení k virtuálním počítačům prostřednictvím nasazení Bastionu, které používá skladovou položku Basic nebo Standard.

Klíčové výhody

Výhoda	Popis
RDP a SSH prostřednictvím webu Azure Portal	K relaci RDP a SSH se můžete dostat přímo na webu Azure Portal pomocí bezproblémového prostředí s jedním kliknutím.
Vzdálená relace přes protokol TLS a procházení brány firewall pro protokol RDP/SSH	Azure Bastion používá webového klienta založeného na HTML5, který se automaticky streamuje do místního zařízení. Relace RDP/SSH je přes protokol TLS na portu 443. To umožňuje provoz bezpečněji procházet branami firewall. Bastion podporuje protokol TLS 1.2. Starší verze protokolu TLS nejsou podporované.
Na virtuálním počítači Azure není nutná žádná veřejná IP adresa.	Azure Bastion otevře připojení RDP/SSH k virtuálnímu počítači Azure pomocí privátní IP adresy na virtuálním počítači. Na virtuálním počítači nepotřebujete veřejnou IP adresu.
Bez potíží se správou skupin zabezpečení sítě (NSG)	U podsítě Azure Bastion nemusíte používat žádné skupiny zabezpečení sítě. Vzhledem k tomu, že se Azure Bastion připojuje k virtuálním počítačům přes privátní IP adresu, můžete nakonfigurovat skupiny zabezpečení sítě tak, aby povolily protokol RDP/SSH jenom z Azure Bastionu. Tím se odebere množství potíží se správou skupin zabezpečení sítě pokaždé, když se potřebujete bezpečně připojit k virtuálním počítačům. Další informace oskupinách
Na virtuálním počítači není potřeba spravovat samostatného hostitele bastionu.	Azure Bastion je plně spravovaná služba PaaS platformy z Azure, která je interně posílená a poskytuje zabezpečené připojení RDP/SSH.
Ochrana před kontrolou portů	Vaše virtuální počítače jsou chráněné proti kontrole portů podvodnými a škodlivými uživateli, protože virtuální počítače nemusíte vystavit na internetu.
Posílení zabezpečení pouze na jednom místě	Azure Bastion se nachází v hranici vaší virtuální sítě, takže se nemusíte starat o posílení zabezpečení jednotlivých virtuálních počítačů ve vaší virtuální síti.
Ochrana před zneužitím nulového dne	Platforma Azure chrání před nulovým zneužitím tím, že udržuje posílenou a vždy aktuální službu Azure Bastion.

Skladové položky

Azure Bastion nabízí několik úrovní skladové položky. Následující tabulka uvádí funkce a odpovídající skladové položky.

Funkce	Skladová položka pro vývojáře	Základní SKU	Standardní SKU
Připojení k cílovým virtuálním počítačům ve stejné virtuální síti	Ano	Ano	Yes
Připojení pro cílové virtuální počítače v partnerských virtuálních sítích	No	Ano	Ano
Podpora souběžných připojení	No	Ano	Yes
Přístup k privátním klíčům virtuálního počítače s Linuxem ve službě Azure Key Vault (AKV)	No	Ano	Yes
Připojení k virtuálnímu počítači s Linuxem pomocí SSH	Ano	Ano	Ano
Připojení k virtuálnímu počítači s Windows pomocí protokolu RDP	Ano	Ano	Ano
Připojení k virtuálnímu počítači s Linuxem pomocí protokolu RDP	No	No	Ano
Připojení k virtuálnímu počítači s Windows pomocí SSH	No	No	Ano
Určení vlastního příchozího portu	No	No	Ano
Připojení k virtuálním počítačům pomocí Azure CLI	No	No	Ano
Škálování hostitele	No	No	Ano
Nahrání nebo stažení souborů	No	No	Ano
Ověřování protokolem Kerberos	No	Ano	Ano
Odkaz ke sdílení	No	No	Ano
Připojení k virtuálním počítačům přes IP adresu	No	No	Ano
Výstup zvuku virtuálního počítače	Ano	Ano	Yes
Zakázání kopírování a vkládání (webových klientů)	No	No	Ano

Další informace o cenových úrovních, včetně postupu upgradu skladové položky a informací o nové SKU pro vývojáře (aktuálně ve verzi Preview), najdete v článku Nastavení konfigurace.

Architektura

Tato část se vztahuje na všechny úrovně skladových položek s výjimkou skladové položky developer, která se nasazuje jinak. Azure Bastion se nasadí do virtuální sítě a podporuje partnerský vztah virtuálních sítí. Konkrétně Azure Bastion spravuje připojení RDP/SSH k virtuálním počítačům vytvořeným v místních nebo partnerských virtuálních sítích.

RDP a SSH jsou některé základní prostředky, kterými se můžete připojit ke svým úlohám běžícím v Azure. Vystavení portů RDP/SSH přes internet není žádoucí a považuje se za významnou hrozbu. Důvodem je často ohrožení zabezpečení protokolu. Pokud chcete tuto hrozbu obsahovat, můžete nasadit hostitele bastionu (označované také jako jump-servery) na veřejné straně hraniční sítě. Hostitelské servery Bastion jsou navržené a nakonfigurované tak, aby odolá útokům. Servery Bastion také poskytují připojení RDP a SSH k úlohám, které se nachází za bastionem, a také dále uvnitř sítě.

Ve výchozím nastavení nová nasazení Bastionu nepodporují redundanci zón. Dříve nasazené basy můžou nebo nemusí být zónově redundantní. Výjimkou jsou nasazení Bastionu v Koreji – střed a jihovýchodní Asii, které podporují redundanci zón.

Tento obrázek znázorňuje architekturu nasazení služby Azure Bastion. Tento diagram se nevztahuje na skladovou položku vývojáře. V tomto diagramu:

• Hostitel Bastionu je nasazen ve virtuální síti, která obsahuje podsíť AzureBastionSubnet s minimální předponou /26.
• Uživatel se připojí k webu Azure Portal pomocí libovolného prohlížeče HTML5.
• Uživatel vybere virtuální počítač, ke kterému se chcete připojit.
• Jediným kliknutím se relace RDP/SSH otevře v prohlížeči.
• Na virtuálním počítači Azure se nevyžaduje žádná veřejná IP adresa.

Škálování hostitele

Azure Bastion podporuje ruční škálování hostitele. Počet instancí hostitele (jednotky škálování) můžete nakonfigurovat tak, aby spravovali počet souběžných připojení RDP/SSH, která může Azure Bastion podporovat. Zvýšení počtu instancí hostitele umožňuje službě Azure Bastion spravovat více souběžných relací. Snížení počtu instancí snižuje počet souběžných podporovaných relací. Azure Bastion podporuje až 50 instancí hostitele. Tato funkce je dostupná jenom pro skladovou položku Azure Bastion Standard.

Další informace najdete v článku Nastavení konfigurace.

Ceny

Ceny služby Azure Bastion jsou kombinací hodinových cen na základě skladových položek a instancí (jednotek škálování) a rychlosti přenosu dat. Hodinová cena začíná od okamžiku nasazení Bastionu bez ohledu na využití odchozích dat. Nejnovější informace o cenách najdete na stránce s cenami služby Azure Bastion.

Co je nového?

Přihlaste se k odběru informačního kanálu RSS a podívejte se na nejnovější aktualizace funkcí služby Azure Bastion na stránce Azure Aktualizace.

Nejčastější dotazy ke službě Bastion

Nejčastější dotazy najdete v nejčastějších dotazech ke službě Bastion.

Další kroky

• Rychlý start: Automatické nasazení Bastionu – skladová položka Basic
• Rychlý start: Automatické nasazení Bastionu – skladová položka pro vývojáře
• Kurz: Nasazení Bastionu pomocí zadaných nastavení
• Modul Learn: Úvod do služby Azure Bastion
• Seznamte se s některými dalšími klíčovými síťovými funkcemi Azure.
• Další informace o zabezpečení sítě Azure