Wat is Azure Bastion?

Azure Bastion is een service die u kunt implementeren om verbinding te maken met een virtuele machine met behulp van uw browser en de Azure-portal. De Azure Bastion-service is een volledig door het platform beheerde PaaS-service die u in uw virtuele netwerk inricht. De service biedt beveiligde en naadloze RDP-/SSH-connectiviteit voor uw virtuele machine, rechtstreeks vanuit de Azure-portal via TLS. Wanneer u verbinding maakt met Azure Bastion, hebben uw virtuele machines geen openbaar IP, agent of speciale clientsoftware nodig.

Bastion biedt veilige RDP- en SSH-connectiviteit voor alle virtuele machines in het virtuele netwerk waarin de service is ingericht. Azure Bastion beschermt uw virtuele machines tegen blootstelling van RDP-/SSH-poorten aan de buitenwereld, terwijl u toch beveiligde toegang krijgt geboden met behulp van RDP/SSH.

Diagram met Azure Bastion architectuur.

Belangrijkste voordelen

  • RDP en SSH rechtstreeks in Azure Portal: U kunt de RDP- en SSH-sessie rechtstreeks in de Azure Portal met één klik naadloze ervaring.
  • Externe sessie via TLS en firewall-traversal voor RDP/SSH: Azure Bastion maakt gebruik van een webclient op basis van HTML5 die automatisch naar uw lokale apparaat wordt gestreamd. U krijgt uw RDP-/SSH-sessie via TLS op poort 443, zodat u veilig bedrijfsfirewalls kunt passeren.
  • Geen openbaar IP-adres vereist voor de virtuele Azure-machine: Azure Bastion opent de RDP-/SSH-verbinding met uw virtuele Azure-machine met behulp van een privé IP-adres op uw virtuele machine. U hebt geen openbaar IP-adres nodig op uw virtuele machine.
  • Geen gedoe met het beheren van NSG's: Azure Bastion is een volledig beheerde PaaS-service voor platformen van Azure die intern is beveiligd om u te voorzien van beveiligde RDP-/SSH-connectiviteit. U hoeft geen NSG's toe te passen op het Azure Bastion subnet. Omdat Azure Bastion verbinding maakt met uw virtuele machines via een particulier IP-adres, kunt u uw NSG's zo configureren dat RDP/SSH alleen van Azure Bastion wordt toegestaan. Hiermee kunt u eenvoudig NSG’s beheren op de momenten waarop u een veilige verbinding met uw virtuele machines moet maken.
  • Beveiliging tegen poortscans: Omdat u uw virtuele machines niet hoeft bloot te stellen aan het openbare internet, zijn uw VM's beschermd tegen poortscans door kwaadwillende en kwaadwillende gebruikers die zich buiten uw virtuele netwerk bevinden.
  • Bescherming tegen zero day-aanvallen. Beveiliging op slechts één plek: Azure Bastion is een volledig door een platform beheerde PaaS-service. Omdat deze zich in de omgeving van uw virtuele netwerk bevindt, hoeft u zich geen zorgen te maken over de beveiliging van elke virtuele machine in uw virtuele netwerk. Het Azure-platform beschermt tegen zero day-aanvallen door de Azure Bastion te beveiligen en altijd up-to-date te houden.

SKU's

Azure Bastion heeft twee beschikbare SKU's: Basic en Standard. De Standard-SKU is momenteel beschikbaar als preview-versie. Zie het artikel Configuratie-instellingen voor meer informatie, waaronder over het upgraden van een SKU.

De volgende tabel bevat functies en bijbehorende SKU's.

Functie Basis-SKU Standaard-SKU (preview)
Toegang tot privésleutels voor linux-VM'Azure Key Vault (AKV) Beschikbaar Beschikbaar
Host schalen N.v.t. Beschikbaar

Architectuur

Azure Bastion wordt geïmplementeerd in een virtueel netwerk en ondersteunt peering van virtuele netwerken. Met name Azure Bastion RDP-/SSH-connectiviteit met VM's die zijn gemaakt in de lokale of peered virtuele netwerken.

RDP en SSH zijn twee van de fundamentele middelen waarmee u verbinding kunt maken met uw werkbelastingen die worden uitgevoerd in Azure. Het beschikbaar maken van RDP-/SSH-poorten via internet is niet gewenst en wordt gezien als een aanzienlijke bedreiging. Dit komt vaak door kwetsbaarheden in protocollen. Om deze dreiging te beheersen, kunt u Bastion-hosts (ook wel jump-servers genoemd) aan de openbare kant van uw perimeternetwerk implementeren. Bastion-hostservers zijn ontworpen en geconfigureerd om aanvallen te weerstaan. Bastion-servers bieden ook RDP- en SSH-connectiviteit voor de werkbelastingen achter Bastion en dieper in het netwerk.

Diagram met de Azure Bastion architectuur.

In deze afbeelding ziet u de architectuur van een Azure Bastion-implementatie. In dit diagram:

  • De Bastion-host wordt geïmplementeerd in het virtuele netwerk dat het subnet AzureBastionSubnet bevat met een voorvoegsel van minimaal /27.
  • Maakt de gebruiker verbinding met Azure Portal met behulp van een HTML5-browser.
  • Selecteert de gebruiker de virtuele machine waarmee verbinding moet worden gemaakt.
  • Wordt de RDP-/SSH-sessie met één klik geopend in de browser.
  • Is er geen openbaar IP-adres vereist voor de virtuele Azure-machine.

Host schalen

Azure Bastion biedt ondersteuning voor handmatig schalen van de host. U kunt het aantal host-exemplaren (schaaleenheden) configureren om het aantal gelijktijdige RDP-/SSH-verbindingen te beheren dat Azure Bastion kunnen ondersteunen. Door het aantal host-exemplaren te verhogen, Azure Bastion gelijktijdige sessies beheren. Door het aantal instanties te verlagen, vermindert u het aantal gelijktijdig ondersteunde sessies. Azure Bastion ondersteunt maximaal 50 host-exemplaren. Deze functie is alleen beschikbaar voor Azure Bastion Standard-SKU.

Zie het artikel Configuratie-instellingen voor meer informatie.

Prijzen

Azure Bastion prijsstelling omvat een combinatie van uurprijzen op basis van SKU, schaaleenheden en tarieven voor gegevensoverdracht. Prijsinformatie vindt u op de pagina Prijzen.

Wat is er nieuw?

Abonneer u op de RSS-feed en bekijk de nieuwste updates voor Azure Bastion-onderdelen op de pagina Azure-updates.

Veelgestelde vragen over Bastion

Zie de Veelgestelde vragen over Bastion voor veelgestelde vragen.

Volgende stappen