Azure Bastion nedir?
Azure savunma, tarayıcınızı ve Azure portal kullanarak bir sanal makineye bağlanmanıza olanak sağlayan, dağıttığınız bir hizmettir. Azure savunma hizmeti, sanal ağınızın içinde sağladığınız tam platform tarafından yönetilen bir PaaS hizmetidir. Doğrudan TLS üzerinden Azure portal sanal makinelerinize güvenli ve sorunsuz RDP/SSH bağlantısı sağlar. Azure savunma aracılığıyla bağlandığınızda, sanal makinelerinizde genel bir IP adresi, aracı veya özel istemci yazılımı gerekmez.
Savunma, sağlandığı sanal ağdaki tüm VM 'lere güvenli RDP ve SSH bağlantısı sağlar. Azure savunma 'nın kullanılması, sanal makinelerinizin, RDP/SSH bağlantı noktalarını dış dünyaya sunulmasını sağlarken RDP/SSH kullanarak güvenli erişim sağlamaya devam eder.
Önemli avantajlar
- RDP ve SSH doğrudan Azure Portal: Tek tıklamayla sorunsuz bir deneyim kullanarak RDP ve SSH oturumuna doğrudan Azure portal edinebilirsiniz.
- RDP/SSH IÇIN TLS üzerinden uzak oturum ve güvenlik duvarı geçişi: Azure savunma, yerel cihazınıza otomatik olarak akan HTML5 tabanlı bir Web istemcisi kullanır. 443 numaralı bağlantı noktasında RDP/SSH oturumunuzu TLS üzerinden alır ve şirket güvenlik duvarlarını güvenli bir şekilde çapraz geçiş imkanı sağlar.
- Azure VM 'de genel IP gerekmez: Azure savunma, sanal makinelinizdeki özel IP kullanarak Azure sanal makinenize yönelik RDP/SSH bağlantısını açar. Sanal makinenizde genel IP 'niz olması gerekmez.
- Ağ güvenlik gruplarını (NSG 'ler) yönetmenin bir sorun yoktur: Azure savunma, Azure 'dan gelen ve RDP/SSH bağlantısı sağlamanıza yönelik olarak sağlamlaştırılmış, tam olarak yönetilen bir platform PaaS hizmetidir. Azure savunma alt ağına herhangi bir NSG uygulamanız gerekmez. Azure savunma, sanal makinelerinize özel IP üzerinden bağlandığından, NSG 'lerinizi yalnızca Azure 'dan gelen RDP/SSH 'ye izin verecek şekilde yapılandırabilirsiniz. Bu, sanal makinelerinize güvenli bir şekilde bağlanmak için gereken her seferinde NSG 'leri yönetmenin ne kadar olduğunu ortadan kaldırır. NSG 'ler hakkında daha fazla bilgi için bkz. ağ güvenlik grupları.
- Bağlantı noktası taramaya karşı koruma: Sanal makinelerinizi ortak Internet 'Te kullanıma sunabileceğiniz için VM 'leriniz, sanal ağınızın dışında bulunan standart dışı ve kötü amaçlı kullanıcılar tarafından bağlantı noktası taramaya karşı korunur.
- Sıfır günlük saldırılara karşı koruma. Yalnızca bir yerde sağlamlaştırma: Azure savunma, tam platform tarafından yönetilen bir PaaS hizmetidir. Sanal ağınızın çevre tarafında bulunduğundan, sanal ağınızdaki sanal makinelerin her birini sağlamlaştırma konusunda endişelenmeniz gerekmez. Azure platformu, sizin için Azure savunma ve sürekli güncel tutarak, sıfır günlük güvenlik açıklarından yararlanmaya karşı koruma sağlar.
SKU'lar
Azure savunma, temel ve standart olmak üzere iki adet kullanılabilir SKU 'su içerir. SKU 'yu yükseltme dahil daha fazla bilgi için bkz. yapılandırma ayarları makalesi.
Aşağıdaki tabloda Özellikler ve ilgili SKU 'Lar gösterilmektedir.
| Özellik | Temel SKU | Standart SKU |
|---|---|---|
| eşlenen sanal ağlardaki vm 'leri hedeflemek için Bağlan | Kullanılabilir | Kullanılabilir |
| Azure Key Vault Linux VM özel anahtarlarına erişin (AKV) | Kullanılabilir | Kullanılabilir |
| Konak ölçeklendirme | Yok | Kullanılabilir |
| Özel gelen bağlantı noktasını belirtin | Yok | Kullanılabilir |
| RDP kullanarak Linux VM 'ye Bağlan | Yok | Kullanılabilir |
| SSH kullanarak Windows VM 'ye Bağlan | Yok | Kullanılabilir |
Mimari
Azure savunma bir sanal ağa dağıtılır ve sanal ağ eşlemesini destekler. Özellikle, Azure savunma, yerel veya eşlenmiş sanal ağlarda oluşturulan VM 'Lerle RDP/SSH bağlantısını yönetir.
RDP ve SSH, Azure 'da çalışan iş yüklerinize bağlanmak için kullanabileceğiniz temel yollardan biridir. RDP/SSH bağlantı noktalarının Internet üzerinden kullanıma sunulması istenmez ve önemli bir tehdit yüzeyi olarak görülür. Bunun nedeni genellikle protokol güvenlik açıklarına göre yapılır. Bu tehdit yüzeyini içermesi için, çevre ağınızın genel tarafında savunma Konakları (doğrudan geçiş sunucuları olarak da bilinir) dağıtabilirsiniz. Savunma ana bilgisayar sunucuları tasarlanmakta ve bağımsız saldırılara yönelik olarak yapılandırılmıştır. Savunma sunucuları Ayrıca, savunma ve ağ içinde oturmuş iş yükleri için RDP ve SSH bağlantısı sağlar.
Bu şekilde, bir Azure savunma dağıtımının mimarisi gösterilmektedir. Bu diyagramda:
- Savunma ana bilgisayarı, en düşük/26 ön ekine sahip AzureBastionSubnet alt ağını içeren sanal ağda dağıtılır.
- Kullanıcı herhangi bir HTML5 tarayıcısı kullanarak Azure portal bağlanır.
- Kullanıcı, bağlanılacak sanal makineyi seçer.
- Tek bir tıklama ile, RDP/SSH oturumu tarayıcıda açılır.
- Azure VM 'de genel IP gerekli değildir.
Konak ölçeklendirme
Azure savunma, el ile konak ölçeklendirmeyi destekler. Azure savunma 'nın destekleyebileceği eşzamanlı RDP/SSH bağlantısı sayısını yönetmek için konak örneklerinin sayısını (ölçek birimi) yapılandırabilirsiniz. Ana bilgisayar örneklerinin sayısını artırmak, Azure savunma 'nın daha fazla eşzamanlı oturumu yönetmesine olanak tanır. Örneklerin sayısını azaltmak, eşzamanlı olarak desteklenen oturumların sayısını azaltır. Azure savunma, en fazla 50 ana bilgisayar örneğini destekler. Bu özellik yalnızca Azure savunma standart SKU 'SU için kullanılabilir.
Daha fazla bilgi için bkz. yapılandırma ayarları makalesi.
Fiyat
Azure savunma fiyatlandırması, SKU, ölçek birimi ve veri aktarımı tarifelerinin daymasına bağlı olarak saatlik fiyatlandırma birleşimini içerir. Fiyatlandırma bilgileri Fiyatlandırma sayfasında bulunabilir.
Yenilikler nelerdir?
RSS akışına abone olun ve Azure Updates sayfasında en son Azure savunma özelliği güncelleştirmelerini görüntüleyin.
Bastion hakkında SSS
Sık sorulan sorular için bkz. savunma hakkında SSS.
Sonraki adımlar
- öğretici: bir Azure savunma ana bilgisayarı oluşturun ve bir Windows sanal makinesine bağlanın.
- Modül öğren: Azure 'A giriş.
- Azure'un diğer önemli ağ özelliklerinden bazıları hakkında bilgi edinin.