Что такое Бастион Azure

Бастион Azure — это развертываемая служба, которая позволяет подключаться к виртуальной машине с помощью браузера и портала Azure. Бастион Azure — это полностью управляемая платформой служба PaaS, которая подготавливается в виртуальной сети. Она обеспечивает безопасное и бесперебойное подключение RDP или SSH к виртуальным машинам непосредственно на портале Azure по протоколу TLS. При подключении с помощью Бастиона Azure виртуальным машинам не требуются общедоступные IP-адреса, агенты или специальное клиентское ПО.

Бастион обеспечивает безопасное подключение по RDP и SSH ко всем виртуальным машинам в виртуальной сети, в которой он предоставляется. Бастион Azure позволяет защитить порты RDP и SSH ваших виртуальных машин от внешних проникновений, обеспечивая при этом безопасный доступ с использованием этих протоколов.

Diagram showing Azure Bastion architecture.

Основные преимущества

  • RDP и SSH прямо на портале Azure: вы можете напрямую перейти к сеансу RDP и SSH на портале Azure, используя один щелчок для совместной работы.
  • Удаленный сеанс по протоколу TLS и обход брандмауэра для RDP и SSH: Бастион Azure использует веб-клиент на основе HTML5, который автоматически передается на ваше локальное устройство в потоковом режиме. Вы получаете сеанс RDP или SSH по протоколу TLS на порту 443, что позволяет безопасно обходить корпоративные брандмауэры.
  • На виртуальной машине Azure не требуется общедоступный IP-адрес: Бастион Azure открывает подключение RDP и SSH к вашей виртуальной машине Azure, используя частный IP-адрес на виртуальной машине. На вашей виртуальной машине не требуется общедоступный IP-адрес.
  • Без лишних проблем с управлением группами безопасности сети (NSG). Бастион Azure — это полностью управляемая платформа службы PaaS от Azure, которая внутренне защищена для обеспечения надежного подключения по RDP или SSH. Вам не нужно применять группы безопасности сети в подсети Бастиона Azure. Поскольку Бастион Azure подключается к вашим виртуальным машинам по частному IP-адресу, вы можете настроить свои NSG так, чтобы они разрешали RDP или SSH только из Бастиона Azure. Это устраняет необходимость управлять NSG каждый раз, когда необходимо безопасно подключиться к виртуальным машинам. Дополнительные сведения о группах безопасности сети см. в этой статье.
  • Защита от сканирования портов: поскольку вам не нужно предоставлять свои виртуальные машины в общедоступный Интернет, ваши виртуальные машины защищены от сканирования портов неавторизированными пользователями и пользователями-злоумышленниками, находящимися за пределами вашей виртуальной сети.
  • Защита от эксплойтов нулевого дня. Усиление защиты только в одном месте. Бастион Azure — это полностью управляемая платформой служба PaaS. Поскольку он находится по периметру виртуальной сети, не стоит беспокоиться об усилении защиты каждой виртуальной машины в вашей виртуальной сети. Платформа Azure защищает от эксплойтов нулевого дня, в результате чего Бастион Azure защищен и всегда актуален для вас.

Номера SKU

Бастион Azure имеет два доступных номера SKU: уровня "Базовый" и уровня "Стандартный". Дополнительные сведения, в том числе информацию об обновлении номера SKU, см. в статье Параметры конфигурации.

В таблице ниже приведены функции и соответствующие номера SKU.

Компонент SKU "Базовый" SKU "Стандартный"
Подключение к целевым виртуальным машинам в одноранговых виртуальных сетях Доступно Доступно
Доступ к закрытым ключам виртуальной машины Linux в Azure Key Vault (AKV) Доступно Доступно
Масштабирование узлов Недоступно Доступно
Определение настраиваемого входящего порта Н/Д Доступно
Подключение виртуальной машине Linux с помощью SSH Доступно Доступно
Подключение к виртуальной машине Linux с помощью RDP Н/Д Доступно
Подключение Windows виртуальной машины с помощью протокола удаленного рабочего стола Доступно Доступно
Подключение к виртуальной машине Windows с помощью SSH Н/Д Доступно

Архитектура

Бастион Azure развертывается в виртуальной сети и поддерживает пиринг между виртуальными сетями. В частности, Бастион Azure управляет подключением RDP или SSH к виртуальным машинам, созданным в локальных или одноранговых виртуальных сетях.

RDP и SSH являются одними из основных средств, с помощью которых вы можете подключаться к рабочим нагрузкам, которые выполняются в Azure. Предоставление портов RDP или SSH через Интернет нежелательно и рассматривается как поверхность существенной угрозы. Часто это связано с уязвимостями протокола. Чтобы сдержать эту поверхность угрозы, можно развернуть узлы-Бастионы (также известные как jump-серверы) на открытой стороне вашей сети периметра. Серверы Бастиона разработаны и настроены для выдерживания атак. Серверы Бастиона также обеспечивают подключение RDP и SSH к рабочим нагрузкам, которые находятся за Бастионом, а также внутри сети.

Diagram showing the Azure Bastion architecture.

На этом рисунке показана архитектура развертывания Бастиона Azure. На этой схеме:

  • Узел-бастион развертывается в виртуальной сети, содержащей подсеть AzureBastionSubnet с минимальным префиксом /26.
  • Пользователь подключается к порталу Azure с помощью любого браузера HTML5.
  • Чтобы подключиться, пользователь выбирает виртуальную машину.
  • Одним щелчком мыши в браузере открывается сеанс RDP или SSH.
  • На виртуальной машине Azure не требуется общедоступный IP-адрес.

Масштабирование узлов

Бастион Azure поддерживает масштабирование узла вручную. Можно настроить количество базовых экземпляров (единиц масштабирования) для управления числом параллельных подключений RDP и SSH, которые может поддерживать Бастион Azure. Увеличение количества базовых экземпляров позволяет Бастиону Azure управлять большим количеством одновременных сеансов. Уменьшение количества экземпляров уменьшает число одновременно поддерживаемых сеансов. Бастион Azure поддерживает до 50 базовых экземпляров. Эта функция доступна только для номера SKU Бастиона Azure уровня "Стандартный".

Дополнительные сведения см. в статье Параметры конфигурации.

Цены

Цены на Бастион Azure складываются из почасовых расценок на основе номера SKU, единиц масштабирования и тарифов на передачу данных. Дополнительные сведения о ценах можно просмотреть на этой странице .

Новые возможности

Подпишитесь на RSS-канал и просматривайте последние обновления компонентов для Бастиона Azure на странице Обновления Azure.

Вопросы и ответы о Бастионе

Часто задаваемые вопросы см. в разделе Вопросы и ответы о Бастионе.

Дальнейшие действия