Che cos'è Azure Bastion?
Azure Bastion è un servizio PaaS completamente gestito di cui si effettua il provisioning per connettersi in modo sicuro alle macchine virtuali tramite l'indirizzo IP privato. Offre connettività RDP/SSH sicura e trasparente alle macchine virtuali direttamente tramite TLS dalla portale di Azure o tramite il client SSH o RDP nativo già installato nel computer locale. Quando ci si connette tramite Azure Bastion, per le macchine virtuali non è necessario un indirizzo IP pubblico, un agente o un software client speciale.
Bastion offre connettività RDP e SSH sicura a tutte le macchine virtuali nella rete virtuale per cui è stato effettuato il provisioning. L'utilizzo di Azure Bastion consente di proteggere le macchine virtuali dall'esposizione delle porte RDP/SSH all'esterno, offrendo al tempo stesso l'accesso sicuro tramite RDP/SSH.
Il diagramma seguente illustra le connessioni alle macchine virtuali tramite una distribuzione Bastion che usa uno SKU Basic o Standard.
Vantaggi chiave
Vantaggio | Descrizione |
---|---|
RDP e SSH tramite il portale di Azure | È possibile accedere direttamente alle sessioni RDP e SSH nel portale di Azure con una semplice esperienza con singolo clic. |
Sessione remota su TLS e attraversamento del firewall per RDP/SSH | Azure Bastion usa un client Web basato su HTML5 che viene trasmesso automaticamente al dispositivo locale. La sessione RDP/SSH usa TLS sulla porta 443. Ciò consente al traffico di attraversare i firewall in modo più sicuro. Bastion supporta TLS 1.2. Le versioni precedenti di TLS non sono supportate. |
Nessun indirizzo IP pubblico richiesto nella macchina virtuale di Azure | Azure Bastion apre la connessione RDP/SSH alla macchina virtuale di Azure usando un indirizzo IP privato nella macchina virtuale. Non è necessario un indirizzo IP pubblico nella macchina virtuale. |
Nessun problema di gestione dei gruppi di sicurezza di rete (NSG) | Non è necessario applicare alcun gruppo di sicurezza di rete alla subnet di Azure Bastion. Dato che Azure Bastion si connette alle macchine virtuali tramite un indirizzo IP privato, è possibile configurare i gruppi di sicurezza di rete per consentire la connettività RDP/SSH solo da Azure Bastion. In questo modo non è più necessario gestire gruppi di sicurezza di rete ogni volta che occorre connettersi in modo sicuro alle macchine virtuali. Per altre informazioni sui gruppi di sicurezza di rete, vedere Gruppi di sicurezza di rete. |
Nessuna necessità di gestire un host bastion separato in una macchina virtuale | Azure Bastion è un servizio PaaS completamente gestito dalla piattaforma di Azure con protezione avanzata internamente per offrire connettività RDP/SSH sicura. |
Protezione dall'analisi delle porte | Le macchine virtuali sono protette dall'analisi delle porte da parte di utenti non autorizzati e malintenzionati perché non è necessario esporle a Internet. |
Protezione avanzata in un'unica posizione | Azure Bastion è collocato sul perimetro della rete virtuale, pertanto non è necessario preoccuparsi della protezione avanzata di ognuna delle macchine virtuali nella rete virtuale. |
Protezione da exploit zero-day | La piattaforma Azure protegge dagli exploit zero-day gestendo automaticamente la protezione avanzata di Azure Bastion e mantenendo sempre aggiornato il servizio. |
SKU
Azure Bastion offre più livelli di SKU. La tabella seguente illustra le funzionalità e gli SKU corrispondenti.
Funzionalità | SKU per sviluppatori | SKU Basic | SKU Standard |
---|---|---|---|
Connessione alle macchine virtuali di destinazione nella stessa rete virtuale | Sì | Sì | Sì |
Connessione alle macchine virtuali di destinazione nelle reti virtuali con peering | No | Sì | Sì |
Supporto per connessioni simultanee | No | Sì | Sì |
Accedere alle chiavi private della macchina virtuale Linux in Azure Key Vault (AKV) | No | Sì | Sì |
Connessione alla macchina virtuale Linux tramite SSH | Sì | Sì | Sì |
Connessione alla macchina virtuale Windows con RDP | Sì | Sì | Sì |
Connessione alla macchina virtuale Linux con RDP | No | No | Sì |
Connessione alla macchina virtuale Windows tramite SSH | No | No | Sì |
Specificare la porta in ingresso personalizzata | No | No | Sì |
Connessione alle macchine virtuali con l'interfaccia della riga di comando di Azure | No | No | Sì |
Ridimensionamento dell'host | No | No | Sì |
Caricare o scaricare file | No | No | Sì |
Autenticazione Kerberos | No | Sì | Sì |
Collegamento condivisibile | No | No | Sì |
Connessione alle macchine virtuali tramite indirizzo IP | No | No | Sì |
Output audio della macchina virtuale | Sì | Sì | Sì |
Disabilitare la copia/incolla (client basati sul Web) | No | No | Sì |
Per altre informazioni sugli SKU, tra cui come aggiornare uno SKU e informazioni sul nuovo SKU per sviluppatori (attualmente in anteprima), vedere l'articolo Impostazioni di configurazione.
Architettura
Questa sezione si applica a tutti i livelli SKU, ad eccezione dello SKU developer, che viene distribuito in modo diverso. Azure Bastion viene distribuito in una rete virtuale e supporta il peering di rete virtuale. In particolare, Azure Bastion gestisce la connettività RDP/SSH alle macchine virtuali create nelle reti virtuali locali o con peering.
RDP e SSH sono alcuni dei mezzi fondamentali tramite i quali è possibile connettersi ai carichi di lavoro in esecuzione in Azure. L'esposizione delle porte RDP/SSH su Internet non è consigliabile e viene considerata una superficie di rischio significativa, spesso a causa di vulnerabilità del protocollo. Per contenere l'esposizione agli attacchi, è possibile distribuire bastion host (noti anche come jump server) sul lato pubblico della rete perimetrale. I server bastion host sono progettati e configurati per resistere agli attacchi. I server bastion offrono anche la connettività RDP e SSH per i carichi di lavoro dietro il bastion, nonché all'interno della rete.
Attualmente, per impostazione predefinita, le nuove distribuzioni di Bastion non supportano la ridondanza della zona. I bastioni distribuiti in precedenza potrebbero o meno essere ridondanti della zona. Le eccezioni sono costituite dalle distribuzioni di Bastion in Corea centrale e Asia sud-orientale, che supportano la ridondanza della zona.
Questa figura illustra l'architettura di una distribuzione di Azure Bastion. Questo diagramma non si applica allo SKU developer. In questo diagramma:
- L'host bastion viene distribuito nella rete virtuale che contiene la subnet AzureBastionSubnet con un prefisso minimo di /26.
- L'utente si connette al portale di Azure tramite qualsiasi browser HTML5.
- L'utente seleziona la macchina virtuale a cui connettersi.
- Con un solo clic, la sessione RDP/SSH viene aperta nel browser.
- Non è richiesto alcun indirizzo IP pubblico nella macchina virtuale di Azure.
Ridimensionamento dell'host
Azure Bastion supporta il ridimensionamento manuale dell'host. È possibile configurare il numero di istanze host (unità di scala) per gestire il numero di connessioni RDP/SSH simultanee supportate da Azure Bastion. L'aumento del numero di istanze host consente ad Azure Bastion di gestire più sessioni simultanee. La riduzione del numero di istanze riduce il numero di sessioni supportate simultanee. Azure Bastion supporta fino a 50 istanze host. Questa funzionalità è disponibile solo per lo SKU Standard di Azure Bastion.
Per altre informazioni, vedere l'articolo Impostazioni di configurazione.
Prezzi
I prezzi di Azure Bastion sono una combinazione di prezzi orari in base a SKU e istanze (unità di scala), oltre alle tariffe di trasferimento dei dati. I prezzi orari iniziano dal momento in cui Bastion viene distribuito, indipendentemente dall'utilizzo dei dati in uscita. Per informazioni sui prezzi più recenti, vedere la pagina dei prezzi di Azure Bastion.
Novità
Sottoscrivere il feed RSS e visualizzare gli aggiornamenti più recenti delle funzionalità Azure Bastion nella pagina Aggiornamenti di Azure.
Domande frequenti su Bastion
Per domande frequenti, vedere Le domande frequenti su Bastion.
Passaggi successivi
- Guida introduttiva: Distribuire Bastion automaticamente - SKU Basic
- Guida introduttiva: Distribuire Bastion automaticamente - SKU per sviluppatori
- Esercitazione: Distribuire Bastion usando le impostazioni specificate
- Modulo Learn: Introduzione ad Azure Bastion
- Informazioni su alcune altre funzionalità di rete chiave di Azure
- Altre informazioni sulla sicurezza di rete di Azure