Opis usługi Azure Bastion

  • 6 min

Załóżmy, że skonfigurowano wiele sieci wirtualnych, które używają kombinacji sieciowych grup zabezpieczeń i usługi Azure Firewall w celu ochrony i filtrowania dostępu do zasobów i zasobów, w tym maszyn wirtualnych. Jesteś teraz chroniony przed zagrożeniami zewnętrznymi, ale musisz zezwolić deweloperom i analitykom danych, którzy pracują zdalnie, bezpośredni dostęp do tych maszyn wirtualnych.

W tradycyjnym modelu należy uwidocznić porty protokołu RDP (Remote Desktop Protocol) i/lub Secure Shell (SSH) do Internetu. Te protokoły mogą służyć do uzyskiwania dostępu zdalnego do maszyn wirtualnych. Ten proces tworzy znaczące zagrożenie powierzchniowe, które może być wykorzystywane przez osoby atakujące, które aktywnie polować na dostępne maszyny z otwartymi portami zarządzania, takimi jak RDP lub SSH. Po pomyślnym naruszeniu zabezpieczeń maszyny wirtualnej jest ona używana jako punkt wejścia w celu ataku na dalsze zasoby w danym środowisku.

Azure Bastion

Azure Bastion to wdrażana usługa, która umożliwia nawiązywanie połączenia z maszyną wirtualną przy użyciu przeglądarki i witryny Azure Portal. Usługa Azure Bastion to w pełni zarządzana przez platformę usługa PaaS, którą można aprowizować w sieci wirtualnej. Usługa Azure Bastion zapewnia bezpieczną i bezproblemową łączność RDP i SSH z maszynami wirtualnymi bezpośrednio z witryny Azure Portal przy użyciu protokołu Transport Layer Security (TLS). Po nawiązaniu połączenia za pośrednictwem usługi Azure Bastion maszyny wirtualne nie potrzebują publicznego adresu IP, agenta ani specjalnego oprogramowania klienckiego.

Diagram showing how a user can make a remote desktop connection to an Azure VM using Azure Bastion.

Usługa Bastion zapewnia bezpieczną łączność RDP i SSH ze wszystkimi maszynami wirtualnymi w sieci wirtualnej oraz równorzędnymi sieciami wirtualnymi, w których jest aprowizowana. Usługa Azure Bastion chroni maszyny wirtualne przed ujawnieniem portów RDP/SSH na zewnątrz, jednocześnie zapewniając bezpieczny dostęp przy użyciu protokołu RDP/SSH.

Wdrożenie usługi Azure Bastion jest na sieć wirtualną z obsługą komunikacji równorzędnej sieci wirtualnych, a nie na subskrypcję/konto lub maszynę wirtualną. Po aprowizacji usługi Azure Bastion w sieci wirtualnej środowisko RDP/SSH jest dostępne dla wszystkich maszyn wirtualnych w tej samej sieci wirtualnej i równorzędnych sieciach wirtualnych.

Najważniejsze korzyści wynikające z usługi Azure Bastion

Poniżej przedstawiono kluczowe zalety usługi Azure Bastion:

  • Protokoły RDP i SSH bezpośrednio w witrynie Azure Portal: możesz przejść do sesji RDP i SSH bezpośrednio w witrynie Azure Portal przy użyciu środowiska pojedynczego kliknięcia.
  • Sesja zdalna za pośrednictwem protokołu TLS i przechodzenia przez zaporę dla protokołu RDP/SSH: w witrynie Azure Portal połączenie z maszyną wirtualną spowoduje otwarcie klienta internetowego opartego na języku HTML5, który jest automatycznie przesyłany strumieniowo do urządzenia lokalnego. Do bezpiecznego przechodzenia przez zapory firmowe uzyskasz protokół Remote Desktop Protocol (RDP) i protokół Secure Shell (SSH). Połączenie jest bezpieczne przy użyciu protokołu Transport Layer Security (TLS) w celu ustanowienia szyfrowania.
  • Brak wymaganego publicznego adresu IP na maszynie wirtualnej platformy Azure: usługa Azure Bastion otwiera połączenie RDP/SSH z maszyną wirtualną platformy Azure przy użyciu prywatnego adresu IP na maszynie wirtualnej. Nie potrzebujesz publicznego adresu IP.
  • Brak kłopotów z zarządzaniem sieciowymi grupami zabezpieczeń: w pełni zarządzana usługa PaaS platformy z platformy Azure, która jest wzmocniona wewnętrznie w celu zapewnienia bezpiecznej łączności RDP/SSH. Nie musisz stosować żadnych sieciowych grup zabezpieczeń w podsieci usługi Azure Bastion.
  • Ochrona przed skanowaniem portów: ponieważ nie musisz ujawniać maszyn wirtualnych w Internecie, maszyny wirtualne są chronione przed skanowaniem portów przez nieautoryzowanych i złośliwych użytkowników znajdujących się poza siecią wirtualną.
  • Wzmacnianie zabezpieczeń w jednym miejscu w celu ochrony przed programami wykorzystującymi luki zero-dniowe: usługa Azure Bastion jest w pełni zarządzaną usługą PaaS zarządzaną przez platformę. Ponieważ znajduje się on w obwodzie sieci wirtualnej, nie musisz martwić się o wzmocnienie zabezpieczeń każdej maszyny wirtualnej w sieci wirtualnej. Platforma Azure chroni przed programami wykorzystującymi luki zero-dniowe, zachowując bezpieczeństwo usługi Azure Bastion i zawsze aktualną dla Ciebie.

Użyj usługi Azure Bastion, aby ustanowić bezpieczną łączność RDP i SSH z maszynami wirtualnymi na platformie Azure.

Usługa Azure Bastion ma dwie dostępne jednostki SKU: Podstawowa i Standardowa. Aby uzyskać więcej informacji na temat funkcji dostępnych w dostępnych jednostkach SKU, zobacz połączoną dokumentację w sekcji Dowiedz się więcej w lekcji podsumowania i zasobów.