Co je Azure Bastion?
Je důležité mít možnost bezpečně spravovat a spravovat vzdálené hostované virtuální počítače. Začněme definováním zabezpečené vzdálené správy a následnou kontrolou funkcí služby Azure Bastion. Tento přehled vám pomůže určit, jestli je Azure Bastion vhodný pro vaše požadavky.
Co je zabezpečená vzdálená správa?
Zabezpečená vzdálená správa je schopnost připojit se ke vzdálenému prostředku bez vystavení daného prostředku rizikům zabezpečení. Tento typ připojení může být někdy náročný, zejména pokud se k prostředku přistupuje přes internet.
Když se správci připojí ke vzdáleným virtuálním počítačům, obvykle k dosažení cílů správy používají protokol RDP nebo SSH. Problémem je, že pokud se chcete připojit k hostovanému virtuálnímu počítači, musíte se připojit k jeho veřejné IP adrese. Zveřejnění portů IP používaných protokolem RDP a SSH (3389 a 22) na internet je však vysoce nežádoucí, protože představuje významná bezpečnostní rizika.
Definice služby Azure Bastion
Azure Bastion je plně spravovaná platforma jako služba (PaaS), která pomáhá poskytovat zabezpečený a bezproblémový přístup RDP a SSH k vašim virtuálním počítačům Azure přímo prostřednictvím webu Azure Portal.
Azure Bastion:
- Je navržený a nakonfigurovaný tak, aby odolal útokům.
- Poskytuje připojení RDP a SSH k vašim úlohám Azure za bastionem.
Následující tabulka popisuje funkce, které jsou k dispozici po nasazení služby Azure Bastion.
| Výhoda | Popis |
|---|---|
| RDP a SSH prostřednictvím webu Azure Portal | K relaci RDP a SSH se můžete dostat přímo na webu Azure Portal pomocí bezproblémového prostředí s jedním kliknutím. |
| Vzdálená relace přes protokol TLS a procházení brány firewall pro protokol RDP/SSH | Azure Bastion používá webového klienta založeného na HTML5, který se automaticky streamuje do místního zařízení. Relace RDP/SSH je přes protokol TLS na portu 443. To umožňuje provoz bezpečněji procházet branami firewall. Bastion podporuje protokol TLS 1.2 a novější. Starší verze protokolu TLS nejsou podporované. |
| Na virtuálním počítači Azure není nutná žádná veřejná IP adresa. | Azure Bastion otevře připojení RDP/SSH k virtuálnímu počítači Azure pomocí privátní IP adresy na virtuálním počítači. Na virtuálním počítači nepotřebujete veřejnou IP adresu. |
| Bez potíží se správou skupin zabezpečení sítě (NSG) | U podsítě Azure Bastion nemusíte používat žádné skupiny zabezpečení sítě. Vzhledem k tomu, že se Azure Bastion připojuje k virtuálním počítačům přes privátní IP adresu, můžete nakonfigurovat skupiny zabezpečení sítě tak, aby povolily protokol RDP/SSH jenom z Azure Bastionu. Tím se odebere množství potíží se správou skupin zabezpečení sítě pokaždé, když se potřebujete bezpečně připojit k virtuálním počítačům. |
| Na virtuálním počítači není potřeba spravovat samostatného hostitele bastionu. | Azure Bastion je plně spravovaná služba PaaS platformy z Azure, která je interně posílená a poskytuje zabezpečené připojení RDP/SSH. |
| Ochrana před kontrolou portů | Vaše virtuální počítače jsou chráněné proti kontrole portů podvodnými a škodlivými uživateli, protože virtuální počítače nemusíte vystavit na internetu. |
| Posílení zabezpečení pouze na jednom místě | Azure Bastion se nachází v hranici vaší virtuální sítě, takže se nemusíte starat o posílení zabezpečení jednotlivých virtuálních počítačů ve vaší virtuální síti. |
| Ochrana před zneužitím nulového dne | Platforma Azure chrání před nulovým zneužitím tím, že udržuje posílenou a vždy aktuální službu Azure Bastion. |
Jak se vyhnout vystavení portů pro vzdálenou správu
Implementací služby Azure Bastion můžete spravovat virtuální počítače Azure v rámci nakonfigurované virtuální sítě Azure pomocí protokolu RDP nebo SSH, aniž byste museli vystavit tyto porty pro správu veřejnému internetu. Pomocí služby Azure Bastion můžete:
- Připojení snadno do virtuálních počítačů Azure. Připojení relace RDP a SSH přímo na webu Azure Portal.
- Vyhněte se zveřejnění portů pro správu na internetu. Přihlaste se k virtuálním počítačům Azure a vyhněte se ohrožení veřejného internetu pomocí SSH a RDP pouze s privátními IP adresami.
- Vyhněte se rozsáhlé rekonfiguraci stávající síťové infrastruktury. Integrujte a procházíte stávající brány firewall a hraniční sítě zabezpečení pomocí moderního webového klienta založeného na HTML5 přes protokol TLS na portu 443.
- Zjednodušte přihlášení. Při přihlašování k virtuálním počítačům Azure použijte klíče SSH k ověřování.
Tip
Všechny privátní klíče SSH můžete uložit ve službě Azure Key Vault, abyste podporovali centralizované úložiště klíčů.