Vad är Azure Bastion?
Azure Bastion är en fullständigt hanterad PaaS-tjänst som du etablerar för säker anslutning till virtuella datorer via privat IP-adress. Den ger säker och sömlös RDP/SSH-anslutning till dina virtuella datorer direkt via TLS från Azure-portalen eller via den interna SSH- eller RDP-klienten som redan är installerad på den lokala datorn. När du ansluter via Azure Bastion behöver dina virtuella datorer inte någon offentlig IP-adress, agent eller särskild klientprogramvara.
Bastion tillhandahåller säker RDP- och SSH-anslutning till alla virtuella datorer i det virtuella nätverk som den har etablerats för. Genom att använda Azure Bastion skyddas dina virtuella datorer från att exponera RDP/SSH-portar för omvärlden, samtidigt som de ger säker åtkomst med RDP/SSH.
Viktiga fördelar
| Förmån | beskrivning |
|---|---|
| RDP och SSH via Azure-portalen | Du kan komma till RDP- och SSH-sessionen direkt i Azure-portalen med en sömlös upplevelse med ett klick. |
| Fjärrsession över TLS och brandväggsbläddering för RDP/SSH | Azure Bastion använder en HTML5-baserad webbklient som automatiskt strömmas till din lokala enhet. RDP/SSH-sessionen är över TLS på port 443. Detta gör att trafiken kan passera brandväggar på ett säkrare sätt. Bastion stöder TLS 1.2. Äldre TLS-versioner stöds inte. |
| Ingen offentlig IP-adress krävs på den virtuella Azure-datorn | Azure Bastion öppnar RDP/SSH-anslutningen till din virtuella Azure-dator med hjälp av den privata IP-adressen på den virtuella datorn. Du behöver ingen offentlig IP-adress på den virtuella datorn. |
| Inget krångel med att hantera nätverkssäkerhetsgrupper (NSG:er) | Du behöver inte tillämpa NSG:er på Azure Bastion-undernätet. Eftersom Azure Bastion ansluter till dina virtuella datorer via privat IP kan du konfigurera dina NSG:er för att endast tillåta RDP/SSH från Azure Bastion. Detta tar bort besväret med att hantera NSG:er varje gång du behöver ansluta på ett säkert sätt till dina virtuella datorer. Mer information om nätverkssäkerhetsgrupper finns i Nätverkssäkerhetsgrupper. |
| Du behöver inte hantera en separat skyddsvärd på en virtuell dator | Azure Bastion är en fullständigt hanterad PaaS-plattformstjänst från Azure som är härdad internt för att ge dig en säker RDP/SSH-anslutning. |
| Skydd mot portgenomsökning | Dina virtuella datorer skyddas mot portgenomsökning av obehöriga och skadliga användare eftersom du inte behöver exponera de virtuella datorerna för Internet. |
| Endast härdning på ett ställe | Azure Bastion finns i perimetern för ditt virtuella nätverk, så du behöver inte bekymra dig om att härda var och en av de virtuella datorerna i ditt virtuella nätverk. |
| Skydd mot nolldagarsexploateringar | Azure-plattformen skyddar mot nolldagsexploateringar genom att hålla Azure Bastion härdad och alltid uppdaterad för dig. |
SKU:er
Azure Bastion erbjuder flera SKU-nivåer. I följande tabell visas funktioner och motsvarande SKU:er.
| Funktion | Utvecklar-SKU | Grundläggande SKU | Standard-SKU |
|---|---|---|---|
| Anslut att rikta in sig på virtuella datorer i samma virtuella nätverk | Ja | Ja | Ja |
| Anslut att rikta in sig på virtuella datorer i peer-kopplade virtuella nätverk | Nej | Ja | Ja |
| Stöd för samtidiga anslutningar | Nej | Ja | Ja |
| Åtkomst till privata Nycklar för virtuella Linux-datorer i Azure Key Vault (AKV) | Nej | Ja | Ja |
| Anslut till en virtuell Linux-dator med SSH | Ja | Ja | Ja |
| Anslut till en virtuell Windows-dator med RDP | Ja | Ja | Ja |
| Anslut till en virtuell Linux-dator med RDP | Nej | Nej | Ja |
| Anslut till en virtuell Windows-dator med hjälp av SSH | Nej | Nej | Ja |
| Ange anpassad inkommande port | Nej | Nej | Ja |
| Anslut till virtuella datorer med Hjälp av Azure CLI | Nej | Nej | Ja |
| Värdskalning | Nej | Nej | Ja |
| Ladda upp eller ladda ned filer | Nej | Nej | Ja |
| Kerberos-autentisering | Nej | Ja | Ja |
| Delningsbar länk | Nej | Nej | Ja |
| Anslut till virtuella datorer via IP-adress | Nej | Nej | Ja |
| Utdata från vm-ljud | Ja | Ja | Ja |
| Inaktivera kopiera/klistra in (webbaserade klienter) | Nej | Nej | Ja |
Mer information om SKU:er, inklusive hur du uppgraderar en SKU och information om den nya utvecklar-SKU:n (för närvarande i förhandsversion) finns i artikeln Konfigurationsinställningar .
Arkitektur
Azure Bastion erbjuder flera distributionsarkitekturer, beroende på de valda SKU-konfigurationerna och alternativkonfigurationerna. För de flesta SKU:er distribueras Bastion till ett virtuellt nätverk och stöder peering för virtuella nätverk. Mer specifikt hanterar Azure Bastion RDP/SSH-anslutning till virtuella datorer som skapats i de lokala eller peer-kopplade virtuella nätverken.
RDP och SSH är några av de grundläggande sätten att ansluta till dina arbetsbelastningar som körs i Azure. Att exponera RDP/SSH-portar via Internet är inte önskvärt och ses som en betydande hotyta. Detta beror ofta på protokollsårbarheter. Om du vill innehålla den här hotytan kan du distribuera skyddsvärdar (även kallade jump-servers) på den offentliga sidan av perimeternätverket. Bastion-värdservrar är utformade och konfigurerade för att klara attacker. Bastion-servrar ger också RDP- och SSH-anslutning till arbetsbelastningarna som sitter bakom bastionen, samt längre in i nätverket.
Diagram: Bastion – Grundläggande SKU och högre
- Bastion-värden distribueras i det virtuella nätverket som innehåller undernätet AzureBastionSubnet som har minst /26 prefix.
- Användaren ansluter till Azure-portalen med valfri HTML5-webbläsare.
- Användaren väljer den virtuella dator som ska anslutas till.
- Med ett enda klick öppnas RDP/SSH-sessionen i webbläsaren.
- För vissa konfigurationer kan användaren ansluta till den virtuella datorn via den interna operativsystemklienten.
- Ingen offentlig IP-adress krävs på den virtuella Azure-datorn.
Diagram: Bastion – Utvecklar-SKU
Bastion Developer SKU är en kostnadsfri, enkel SKU. Den här SKU:n är perfekt för Dev/Test-användare som vill ansluta säkert till sina virtuella datorer, men inte behöver ytterligare Bastion-funktioner eller värdskalning. Med utvecklar-SKU:n kan du ansluta till en virtuell Azure-dator i taget direkt via den virtuella datorns anslutningssida.
När du distribuerar Bastion med utvecklar-SKU:n skiljer sig distributionskraven från när du distribuerar med andra SKU:er. När du skapar en skyddsvärd distribueras vanligtvis en värd till AzureBastionSubnet i ditt virtuella nätverk. Bastion-värden är dedikerad för din användning. När du använder utvecklar-SKU:n distribueras inte en skyddsvärd till ditt virtuella nätverk och du behöver inget AzureBastionSubnet. Developer SKU Bastion-värden är dock inte en dedikerad resurs. I stället är det en del av en delad pool.
Eftersom skyddsresursen Developer SKU inte är dedikerad är funktionerna för utvecklar-SKU:n begränsade. Se avsnittet SKU för Bastion-konfigurationsinställningar för funktioner av SKU. Du kan alltid uppgradera Developer SKU till en högre SKU om du behöver stöd för fler funktioner. Se Uppgradera en SKU.
Tillgänglighetszoner
Vissa regioner stöder möjligheten att distribuera Azure Bastion i en tillgänglighetszon (eller flera, för zonredundans). Distribuera Bastion zonindelad med manuellt angivna inställningar (distribuera inte med hjälp av de automatiska standardinställningarna). Ange önskade tillgänglighetszoner vid tidpunkten för distributionen. Du kan inte ändra zontillgänglighet när Bastion har distribuerats.
Stöd för Tillgänglighetszoner finns för närvarande i förhandsversion. Under förhandsversionen är följande regioner tillgängliga:
- USA, östra
- Australien, östra
- USA, östra 2
- Centrala USA
- Qatar, centrala
- Sydafrika, norra
- Västeuropa
- Västra USA 2
- Europa, norra
- Sverige, centrala
- Södra Storbritannien
- Kanada, centrala
Värdskalning
Azure Bastion stöder manuell värdskalning. Du kan konfigurera antalet värdinstanser (skalningsenheter) för att hantera antalet samtidiga RDP/SSH-anslutningar som Azure Bastion kan stödja. Genom att öka antalet värdinstanser kan Azure Bastion hantera fler samtidiga sessioner. Om du minskar antalet instanser minskar antalet samtidiga sessioner som stöds. Azure Bastion stöder upp till 50 värdinstanser. Den här funktionen är endast tillgänglig för Azure Bastion Standard SKU.
Mer information finns i artikeln Konfigurationsinställningar .
Prissättning
Priser för Azure Bastion är en kombination av priser per timme baserat på SKU och instanser (skalningsenheter), plus dataöverföringshastigheter. Priserna per timme börjar från det ögonblick då Bastion distribueras, oavsett utgående dataanvändning. Den senaste prisinformationen finns på sidan med priser för Azure Bastion.
Nyheter
Prenumerera på RSS-flödet och visa de senaste azure bastion-funktionsuppdateringarna på sidan Azure Uppdateringar.
Vanliga frågor och svar om Bastion
Vanliga frågor och svar finns i Vanliga frågor och svar om Bastion.
Nästa steg
- Snabbstart: Distribuera Bastion automatiskt – Grundläggande SKU
- Snabbstart: Distribuera Bastion automatiskt – Utvecklar-SKU
- Självstudie: Distribuera Bastion med angivna inställningar
- Learn-modul: Introduktion till Azure Bastion
- Lär dig mer om några av de andra viktiga nätverksfunktionerna i Azure
- Läs mer om Nätverkssäkerhet i Azure