Что такое Бастион Azure
Бастион Azure — это полностью управляемая служба PaaS, которую вы подготавливаете для безопасного подключения к виртуальным машинам через частный IP-адрес. Он обеспечивает безопасное и простое подключение RDP/SSH к виртуальным машинам непосредственно через TLS из портал Azure или через собственный клиент SSH или RDP, уже установленный на локальном компьютере. При подключении с помощью Azure Bastion виртуальным машинам не требуются общедоступные IP-адреса, агенты или специальное клиентское ПО.
Бастион обеспечивает безопасное подключение RDP и SSH ко всем виртуальным машинам в виртуальной сети, для которой она подготовлена. Бастион Azure защищает виртуальные машины от предоставления портов RDP/SSH внешним пользователям, обеспечивая при этом безопасный доступ с помощью протокола RDP/SSH.
Ключевые преимущества
| Преимущества | Description |
|---|---|
| RDP и SSH через портал Azure | Вы можете перейти к сеансу RDP и SSH прямо на портале Azure, используя один щелчок для совместной работы. |
| Удаленный сеанс по протоколу TLS и обход брандмауэра для RDP и SSH | Бастион Azure использует веб-клиент на основе HTML5, который автоматически передается на локальное устройство. Сеанс RDP и SSH работает по протоколу TLS через порт 443. Это позволяет безопаснее перемещать трафик через брандмауэры. Бастион поддерживает TLS 1.2. Устаревшие версии TLS не поддерживаются. |
| На виртуальной машине Azure не требуется общедоступный IP-адрес. | Бастион Azure открывает подключение RDP и SSH к вашей виртуальной машине Azure, используя частный IP-адрес на виртуальной машине. На вашей виртуальной машине не требуется общедоступный IP-адрес. |
| Беспроблемное управление группами безопасности сети (NSG) | Вам не нужно применять группы безопасности сети в подсети Бастиона Azure. Поскольку Бастион Azure подключается к вашим виртуальным машинам по частному IP-адресу, вы можете настроить свои NSG так, чтобы они разрешали RDP или SSH только из Бастиона Azure. Это устраняет необходимость управлять NSG каждый раз, когда необходимо безопасно подключиться к виртуальным машинам. Дополнительные сведения о группах безопасности сети см. в этой статье. |
| Нет необходимости управлять отдельным узлом-бастионом на виртуальной машине | Бастион Azure — это полностью управляемая платформа службы PaaS от Azure, которая внутреннее защищена для обеспечения надежного подключения RDP или SSH. |
| Защита от сканирования портов | Ваши виртуальные машины защищены от сканирования портов злоумышленниками, так как вам не нужно предоставлять доступ к виртуальным машинам через Интернет. |
| Централизованная защита | Бастион Azure расположен по периметру виртуальной сети, поэтому не стоит беспокоиться об усилении защиты каждой виртуальной машины в вашей виртуальной сети. |
| Защита от эксплойтов нулевого дня | Платформа Azure защищает от эксплойтов нулевого дня, в результате чего Бастион Azure защищен и всегда актуален для вас. |
Номера SKU
Бастион Azure предлагает несколько уровней SKU. В таблице ниже приведены возможности и соответствующие номера SKU. Дополнительные сведения о номерах SKU см. в статье Параметры конфигурации.
| Функция | Номер SKU разработчика | SKU "Базовый" | SKU "Стандартный" | SKU "Премиум" |
|---|---|---|---|---|
| Подключение на целевые виртуальные машины в одной виртуальной сети | Да | Да | Да | Да |
| Подключение к целевым виртуальным машинам в одноранговых виртуальных сетях | No | Да | Да | Да |
| Поддержка одновременных подключений | No | Да | Да | Да |
| Доступ к закрытым ключам виртуальной машины Linux в Azure Key Vault (AKV) | No | Да | Да | Да |
| Подключение к виртуальной машине Linux с помощью SSH | Да | Да | Да | Да |
| Подключение к виртуальной машине Windows с помощью RDP | Да | Да | Да | Да |
| Подключение к виртуальной машине Linux с помощью RDP | No | No | Да | Да |
| Подключение к виртуальной машине Windows с помощью SSH | No | No | Да | Да |
| Определение настраиваемого входящего порта | No | No | Да | Да |
| Подключение на виртуальные машины с помощью Azure CLI | No | No | Да | Да |
| Масштабирование узлов | No | No | Да | Да |
| Отправка или скачивание файлов | No | No | Да | Да |
| Проверка подлинности Kerberos | No | Да | Да | Да |
| Ссылка, доступная для общего доступа | No | No | Да | Да |
| Подключение на виртуальные машины с помощью IP-адреса | No | No | Да | Да |
| Аудиовыход виртуальной машины | Да | Да | Да | Да |
| Отключение копирования и вставки (веб-клиенты) | No | No | Да | Да |
| Запись сеанса | No | No | No | Да |
| Развертывание только для частного использования | No | No | No | Да |
Архитектура
Бастион Azure предлагает несколько архитектур развертывания в зависимости от выбранных конфигураций SKU и параметров. Для большинства номеров SKU бастион развертывается в виртуальной сети и поддерживает пиринг между виртуальными сетями. В частности, Бастион Azure управляет подключением RDP или SSH к виртуальным машинам, созданным в локальных или одноранговых виртуальных сетях.
RDP и SSH являются одними из основных средств, с помощью которых вы можете подключаться к рабочим нагрузкам, которые выполняются в Azure. Предоставление портов RDP или SSH через Интернет нежелательно и рассматривается как поверхность существенной угрозы. Часто это связано с уязвимостями протокола. Чтобы сдержать эту поверхность угрозы, можно развернуть узлы-Бастионы (также известные как jump-серверы) на открытой стороне вашей сети периметра. Серверы Бастиона разработаны и настроены для выдерживания атак. Серверы Бастиона также обеспечивают подключение RDP и SSH к рабочим нагрузкам, которые находятся за Бастионом, а также внутри сети.
Номер SKU, который выбирается при развертывании Бастиона, определяет архитектуру и доступные функции. Вы можете перейти на более высокий номер SKU для поддержки дополнительных функций, но после развертывания не удается изменить номер SKU. Некоторые архитектуры, такие как SKU только для частных и разработчиков, должны быть настроены во время развертывания. Дополнительные сведения о каждой архитектуре см. в разделе " Бастион" по проектированию и архитектуре.
На следующих схемах показаны доступные архитектуры для Бастиона Azure.
Базовый номер SKU и выше
Номер SKU разработчика
Развертывание только для частного использования (предварительная версия)
Зоны доступности
Некоторые регионы поддерживают возможность развертывания Бастиона Azure в зоне доступности (или нескольких для избыточности зоны). Чтобы развернуть зонально, разверните бастион с помощью вручную указанных параметров (не развертывайте с помощью автоматических параметров по умолчанию). Укажите требуемые зоны доступности во время развертывания. Вы не можете изменить зональную доступность после развертывания Бастиона.
Поддержка Зоны доступности в настоящее время доступна в предварительной версии. Во время предварительной версии доступны следующие регионы:
- Восточная часть США
- Восточная Австралия
- Восточная часть США 2
- Центральная часть США
- Центральный Катар
- Северная часть ЮАР
- Западная Европа
- западная часть США 2
- Северная Европа
- Центральная Швеция
- южная часть Соединенного Королевства
- Центральная Канада
Масштабирование узлов
Бастион Azure поддерживает масштабирование узла вручную. Можно настроить количество экземпляров узлов (единиц масштабирования) для управления числом одновременных подключений RDP/SSH, которые может поддерживать Бастион Azure. Увеличение количества базовых экземпляров позволяет Бастиону Azure управлять большим количеством одновременных сеансов. Уменьшение количества экземпляров уменьшает число одновременно поддерживаемых сеансов. Бастион Azure поддерживает до 50 базовых экземпляров. Эта функция доступна для номера SKU уровня "Стандартный" и более поздней версии.
Дополнительные сведения см. в статье Параметры конфигурации.
Цены
Цены на Бастион Azure — это сочетание почасовой цены на основе SKU и экземпляров (единиц масштабирования), а также тарифы на передачу данных. Почасовая цена начинается с момента развертывания Бастиона независимо от использования исходящих данных. Последние сведения о ценах см. на странице цен на Бастион Azure.
Новые возможности
Подпишитесь на RSS-канал и просматривайте последние обновления компонентов для Бастиона Azure на странице Обновления Azure.
Вопросы и ответы о Бастионе
Часто задаваемые вопросы см. в разделе Вопросы и ответы о Бастионе.
Следующие шаги
- Краткое руководство. Автоматическое развертывание бастиона — базовый номер SKU
- Краткое руководство. Автоматическое развертывание бастиона — номер SKU разработчика
- Руководство. Развертывание бастиона с помощью указанных параметров
- Модуль Learn: введение в Бастион Azure
- Дополнительные сведения о некоторых других ключевых сетевых возможностях Azure
- Дополнительные сведения о безопасности сети Azure