Mi az az Azure Bastion?
Az Azure Bastion biztonságos távoli kapcsolódást biztosít az Azure Portalból az Azure-beli virtuális gépekhez (VM-ekhez) Transport Layer Security (TLS) protokollon keresztül. Az Azure Bastiont ugyanahhoz az Azure-beli virtuális hálózathoz, mint a virtuális gépekhez vagy egy társhálózathoz építheti ki, majd közvetlenül az Azure Portalról csatlakozhat az adott virtuális hálózaton lévő virtuális gépekhez vagy egy társhálózathoz.
Biztonságos RDP- és SSH-kapcsolat biztosítása egy belső virtuális géphez
Az Azure Bastion használatával egyszerűen megnyithat egy RDP- vagy SSH-munkamenetet az Azure Portalról egy olyan virtuális gépre, amely nyilvánosan nem érhető el. Az Azure Bastion privát IP-címmel kapcsolódik a virtuális gépekhez. A belső virtuális gépekhez nem kell RDP-portokat, SSH-portokat vagy nyilvános IP-címeket elérhetővé tennie.
Mivel az Azure Bastion szolgáltatásként teljes körűen felügyelt platform (PaaS), nem kell hálózati biztonsági csoportokat alkalmaznia az Azure Bastion alhálózatra. Ha azonban további biztonságot szeretne, konfigurálhatja a hálózati biztonsági csoportokat (NSG-ket), hogy csak az Azure Bastionból engedélyezze az RDP-t és az SSH-t.
Az Azure Bastion RDP- és SSH-kapcsolatot biztosít az Összes virtuális géphez ugyanazon a virtuális hálózaton, mint az Azure Bastion alhálózat vagy egy társhálózat. Az Azure Bastion használatához nem kell további ügyfelet, ügynököt vagy szoftvert telepítenie.
Kapcsolódás virtuális géphez az Azure Bastion használatával
Az Azure Bastion üzembe helyezése után a virtuális gépeket összefoglaló lapon válassza a Kapcsolódás>Bastion>A Bastion használata lehetőséget. Ezután adja meg a virtuális gép csatlakozáshoz szükséges bejelentkezési hitelesítő adatait.
Kiemelt biztonsági funkciók
- A virtuális gépeket célzó, Azure Bastionből indított forgalom az adott virtuális hálózaton vagy összevont virtuális hálózaton belül marad.
- Nem kell NSG-ket alkalmazni az Azure Bastion-alhálózaton, hiszen az belsőleg meg van erősítve. A fokozott biztonság érdekében konfigurálhat úgy NSG-ket, hogy az Azure Bastion-gazdagépről csak távoli kapcsolatokat engedélyezzen a megcélzott virtuális gépek felé.
- Az Azure Bastion segít a portszkennelés elleni védekezésben. Az RDP-portok, SSH-portok és nyilvános IP-címek nem nyilvánosan elérhetők a virtuális gépek esetében.
- Az Azure Bastion segít az új biztonsági résekkel szembeni védekezésben. A virtuális hálózat peremhálózatán helyezkedik el, így nem kell aggódnia a virtuális hálózat egyes virtuális gépeinek megerősítése miatt. Az Azure-platform naprakészen tartja az Azure Bastiont.
- A szolgáltatás integrálható a Azure-beli virtuális hálózat natív biztonsági berendezéseivel, például a Azure Firewall-lal.
- A szolgáltatás felhasználgható a távoli kapcsolatok figyelésére és kezelésére.
Támogatott egyidejű munkamenetek
Az alábbi táblázat azt mutatja, hogy az egyes Azure Bastion-erőforrások mennyi RDP- és SSH-munkamenetet támogatnak normál napi használat mellett. Ha közben zajlanak más RDP- vagy SSH-munkamenetek, akkor a számok eltérőek lehetnek.
| Resource | Limit |
|---|---|
| Egyidejű RDP-kapcsolatok | 25 |
| Egyidejű SSH-kapcsolatok | 50 |
Virtuális géppel fennálló kapcsolat során támogatott funkciók
Az alábbi táblázat az Azure Bastion által támogatott felhasználói felületi funkciókat emeli ki:
| Funkció | Támogatja |
|---|---|
| Böngészők | - Windows: Microsoft Edge böngésző, Microsoft Edge Chromium vagy Google Chrome – Apple Mac: Google Chrome böngésző vagy Microsoft Edge Chromium |
| A virtuális gép billentyűzetkiosztása | - en-us-qwerty- en-gb-qwerty- de-ch-qwertz- de-de-qwertz- fr-be-azerty- fr-fr-azerty- fr-ch-qwertz- hu-hu-hu-qwertz- it-it-qwerty- ja-jp-qwerty- pt-br-qwerty- es-es-qwerty- es-latam-qwerty- sv-se-qwerty- tr-tr-qwerty |
| A virtuális gépen belüli funkciók | - Szöveg másolása és beillesztése – Az olyan funkciók, mint a fájlmásolás, jelenleg nem támogatottak |
Az Azure Bastion használatához szükséges szerepkörök
A többi Azure-erőforráshoz hasonlóan magához az erőforráscsoporthoz vagy az Azure Bastion-erőforráshoz is hozzá kell férnie az Azure Bastion üzembe helyezéséhez vagy kezeléséhez.
Amikor a virtuális gép erőforrásához az Azure Bastion használatával kapcsolódik, az alábbi szerepkörök biztosítják a minimálisan szükséges jogosultságot:
- Olvasó szerepkör a virtuális gépen
- Olvasó szerepkör a NIC-ben a virtuális gép privát IP-címével
- Olvasó szerepkör az Azure Bastion-erőforrásban