Wat is Azure Bastion?

  • 3 minuten

Met Azure Bastion kunt u een beveiligde externe verbinding maken tussen Azure Portal en virtuele machines van Azure (VM's) via Transport Layer Security (TLS). U kunt Azure Bastion inrichten voor hetzelfde virtuele Azure-netwerk als uw VM's of een gekoppeld virtueel netwerk, en vervolgens rechtstreeks vanuit Azure Portal verbinding maken met een virtuele machine in dat virtuele netwerk of een gekoppeld virtueel netwerk.

Beveiligde RDP- en SSH-connectiviteit met een interne VM bieden

U kunt Azure Bastion gebruiken om eenvoudig vanuit Azure Portal een sessie te openen via een RDP- of SSH-verbinding met een niet-openbare VM. Azure Bastion maakt verbinding met uw virtuele machines via een privé-IP. U hoeft geen RDP- of SSH-poorten of openbare IP-adressen beschikbaar te stellen voor uw interne VM's.

Omdat Azure Bastion een volledig beheerd Platform as a Service (PaaS) is, hoeft u geen netwerkbeveiligingsgroepen toe te passen op het Azure Bastion-subnet. Als u echter aanvullende beveiliging wilt, kunt u uw netwerkbeveiligingsgroepen (NSG's) zo configureren dat RDP en SSH alleen vanuit Azure Bastion worden toegestaan.

Azure Bastion biedt RDP- en SSH-connectiviteit met alle VM's in hetzelfde virtuele netwerk als het Azure Bastion-subnet of in een gekoppeld virtueel netwerk. U hoeft geen aanvullende client, agent of software te installeren om Azure Bastion te gebruiken.

Verbinding maken met een VM met behulp van Azure Bastion

Nadat u Azure Bastion hebt geïmplementeerd, selecteert u op de overzichtspagina van de VM Verbinding maken>Bastion>Bastion gebruiken. Voer vervolgens de aanmeldingsreferenties in waarmee de virtuele machine verbinding kan maken.

Screenshot of the Azure Bastion page that prompts you to enter username and password for the VM.

Belangrijkste beveiligingsfuncties

  • Verkeer dat vanuit Azure Bastion naar doel-VM's wordt geïnitieerd, blijft in het virtuele netwerk of in virtuele peernetwerken.
  • U hoeft geen NSG's toe te passen op het Azure Bastion-subnet, omdat het intern is beveiligd. Als u extra beveiliging wilt, kunt u NSG's zo configureren dat externe verbindingen met de doel-VM's alleen worden toegestaan vanaf de Azure Bastion-host.
  • Met Azure Bastion kunt u zich beschermen tegen poortscans. RDP-poorten, SSH-poorten en openbare IP-adressen worden niet openbaar gemaakt voor uw VM's.
  • Met Azure Bastion kunt u zich beschermen tegen zero-day-aanvallen. Het bevindt zich aan de perimeter van uw virtuele netwerk, dus u hoeft zich geen zorgen te maken over het beveiligen van alle virtuele machines in uw virtuele netwerk. Het Azure-platform houdt Azure Bastion up-to-date.
  • De service wordt geïntegreerd met systeemeigen beveiligingsapparaten voor een virtueel Azure-netwerk, zoals Azure Firewall.
  • U kunt de service gebruiken om externe verbindingen te bewaken en beheren.

Ondersteuning voor gelijktijdige sessies

In de volgende tabel ziet u het maximumaantal gelijktijdige RDP- en SSH-sessies dat door elke Azure Bastion-resource wordt ondersteund, uitgaande van het normale dagelijkse gebruik. Als er andere RDP- of SSH-sessies actief zijn, kunnen deze aantallen variëren.

Resource Limiet
Gelijktijdige RDP-verbindingen 25
Gelijktijdige SSH-verbindingen 50

Functies die worden ondersteund tijdens de verbinding met een virtuele machine

In de volgende tabel worden enkele van de functies van de gebruikerservaring gemarkeerd die door Azure Bastion worden ondersteund:

Functie Ondersteunt
Browsers - Windows: Microsoft Edge-browser, Microsoft Edge Chromium of Google Chrome
- Apple Mac: Google Chrome-browser of Microsoft Edge Chromium
Toetsenbordindeling in de VM - en-us-qwerty
- en-gb-qwerty
- de-ch-qwertz
- de-de-qwertz
- fr-be-azerty
- fr-azerty- fr-azerty
- fr-ch-qwertz
- hu-hu-qwertz
- it-it-qwerty
- ja-jp-qwerty
- pt-br-qwerty
- es-es-qwerty
- es-latam-qwerty
- sv-se-qwerty
- tr-tr-qwerty
Functies in VM - Tekst kopiëren en plakken
- Functies zoals bestandskopie worden momenteel niet ondersteund

Vereiste rollen voor Azure Bastion

Net als bij andere Azure-resources, moet u toegang hebben tot de resourcegroep of de Azure Bastion-resource zelf om Azure Bastion te kunnen implementeren of beheren.

Om verbinding te maken met de VM-resource met behulp van Azure Bastion, bieden de volgende rollen de minimale bevoegdheid die u nodig hebt:

  • De rol van Lezer op de virtuele machine
  • De rol van Lezer op de NIC met het privé-IP-adres van de virtuele machine
  • De rol van Lezer in de Azure Bastion-resource