Wat is Azure Bastion?
Azure Bastion is een service die u kunt implementeren om verbinding te maken met een virtuele machine met behulp van uw browser en de Azure-portal. De Azure Bastion-service is een volledig door het platform beheerde PaaS-service die u in uw virtuele netwerk inricht. De service biedt beveiligde en naadloze RDP-/SSH-connectiviteit voor uw virtuele machine, rechtstreeks vanuit de Azure-portal via TLS. Wanneer u verbinding maakt met Azure Bastion, hebben uw virtuele machines geen openbaar IP, agent of speciale clientsoftware nodig.
Bastion biedt veilige RDP- en SSH-connectiviteit voor alle virtuele machines in het virtuele netwerk waarin de service is ingericht. Azure Bastion beschermt uw virtuele machines tegen blootstelling van RDP-/SSH-poorten aan de buitenwereld, terwijl u toch beveiligde toegang krijgt geboden met behulp van RDP/SSH.
Belangrijkste voordelen
- RDP en SSH rechtstreeks in Azure Portal: U kunt de RDP- en SSH-sessie rechtstreeks in de Azure Portal met één klik naadloze ervaring.
- Externe sessie via TLS en firewall-traversal voor RDP/SSH: Azure Bastion maakt gebruik van een html5-webclient die automatisch naar uw lokale apparaat wordt gestreamd. U krijgt uw RDP-/SSH-sessie via TLS op poort 443, zodat u veilig door bedrijfsfirewalls kunt gaan.
- Geen openbaar IP-adres vereist voor de virtuele Azure-machine: Azure Bastion opent de RDP-/SSH-verbinding met uw virtuele Azure-machine met behulp van een privé IP-adres op uw virtuele machine. U hebt geen openbaar IP-adres nodig op uw virtuele machine.
- Geen probleem bij het beheren van netwerkbeveiligingsgroepen (NSG's): Azure Bastion is een volledig beheerde PaaS-platformservice van Azure die intern is beveiligd om u beveiligde RDP-/SSH-connectiviteit te bieden. U hoeft geen NSG's toe te passen op het Azure Bastion subnet. Omdat Azure Bastion verbinding maakt met uw virtuele machines via een particulier IP-adres, kunt u uw NSG's zo configureren dat RDP/SSH alleen van Azure Bastion wordt toegestaan. Hiermee kunt u eenvoudig NSG’s beheren op de momenten waarop u een veilige verbinding met uw virtuele machines moet maken. Zie Netwerkbeveiligingsgroepen voor meer informatie over NSG's.
- Beveiliging tegen poortscans: Omdat u uw virtuele machines niet hoeft bloot te stellen aan het openbare internet, zijn uw VM's beschermd tegen poortscans door rogue en kwaadwillende gebruikers die zich buiten uw virtuele netwerk bevinden.
- Bescherming tegen zero day-aanvallen. Beveiliging op slechts één plek: Azure Bastion is een volledig door een platform beheerde PaaS-service. Omdat deze zich in de omgeving van uw virtuele netwerk bevindt, hoeft u zich geen zorgen te maken over de beveiliging van elke virtuele machine in uw virtuele netwerk. Het Azure-platform beschermt tegen zero day-aanvallen door de Azure Bastion te beveiligen en altijd up-to-date te houden.
SKU's
Azure Bastion heeft twee beschikbare SKU's: Basic en Standard. Zie het artikel Configuratie-instellingen voor meer informatie, waaronder het upgraden van een SKU.
De volgende tabel bevat functies en bijbehorende SKU's.
| Functie | Basis-SKU | Standaard SKU |
|---|---|---|
| Verbinding maken virtuele machines in virtuele netwerken met peering | Beschikbaar | Beschikbaar |
| Toegang tot privésleutels voor Virtuele Linux-Azure Key Vault (AKV) | Beschikbaar | Beschikbaar |
| Host schalen | N.v.t. | Beschikbaar |
| Aangepaste binnenkomende poort opgeven | N.v.t. | Beschikbaar |
| Verbinding maken naar linux-VM met behulp van RDP | N.v.t. | Beschikbaar |
| Verbinding maken virtuele Windows maken met behulp van SSH | N.v.t. | Beschikbaar |
Architectuur
Azure Bastion wordt geïmplementeerd in een virtueel netwerk en ondersteunt peering van virtuele netwerken. Met name Azure Bastion RDP-/SSH-connectiviteit met VM's die zijn gemaakt in de lokale of peered virtuele netwerken.
RDP en SSH zijn twee van de fundamentele middelen waarmee u verbinding kunt maken met uw werkbelastingen die worden uitgevoerd in Azure. Het beschikbaar maken van RDP-/SSH-poorten via internet is niet gewenst en wordt gezien als een aanzienlijke bedreiging. Dit komt vaak door kwetsbaarheden in protocollen. Om deze dreiging te beheersen, kunt u Bastion-hosts (ook wel jump-servers genoemd) aan de openbare kant van uw perimeternetwerk implementeren. Bastion-hostservers zijn ontworpen en geconfigureerd om aanvallen te weerstaan. Bastion-servers bieden ook RDP- en SSH-connectiviteit voor de werkbelastingen achter Bastion en dieper in het netwerk.
In deze afbeelding ziet u de architectuur van een Azure Bastion-implementatie. In dit diagram:
- De Bastion-host wordt geïmplementeerd in het virtuele netwerk met het subnet AzureBastionSubnet met een voorvoegsel van minimaal /26.
- Maakt de gebruiker verbinding met Azure Portal met behulp van een HTML5-browser.
- Selecteert de gebruiker de virtuele machine waarmee verbinding moet worden gemaakt.
- Wordt de RDP-/SSH-sessie met één klik geopend in de browser.
- Is er geen openbaar IP-adres vereist voor de virtuele Azure-machine.
Host schalen
Azure Bastion biedt ondersteuning voor handmatig schalen van de host. U kunt het aantal host-exemplaren (schaaleenheden) configureren om het aantal gelijktijdige RDP/SSH-verbindingen te beheren dat Azure Bastion ondersteunen. Door het aantal host-exemplaren te verhogen, Azure Bastion gelijktijdige sessies beheren. Door het aantal exemplaren te verlagen, vermindert u het aantal gelijktijdig ondersteunde sessies. Azure Bastion ondersteunt maximaal 50 host-exemplaren. Deze functie is alleen beschikbaar voor Azure Bastion Standard-SKU.
Zie het artikel Configuratie-instellingen voor meer informatie.
Prijzen
Azure Bastion prijsstelling omvat een combinatie van uurprijzen op basis van SKU, schaaleenheden en tarieven voor gegevensoverdracht. Prijsinformatie vindt u op de pagina Prijzen.
Wat is er nieuw?
Abonneer u op de RSS-feed en bekijk de nieuwste updates voor Azure Bastion-onderdelen op de pagina Azure-updates.
Veelgestelde vragen over Bastion
Zie veelgestelde vragen over Bastion voor veelgestelde vragen.
Volgende stappen
- Zelfstudie: Een Azure Bastion-host maken en verbinding maken met een Windows-VM.
- Learn-module: Inleiding tot Azure Bastion.
- Informatie over enkele van de andere belangrijke netwerkmogelijkheden van Azure.