Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Бастион Azure — это полностью управляемая служба PaaS, которую вы подготавливаете для безопасного подключения к виртуальным машинам через частный IP-адрес. Он обеспечивает безопасное и простое подключение RDP/SSH к виртуальным машинам непосредственно через TLS из портал Azure или через собственный клиент SSH или RDP, уже установленный на локальном компьютере. При подключении с помощью Azure Bastion виртуальным машинам не требуются общедоступные IP-адреса, агенты или специальное клиентское ПО.
Бастион обеспечивает безопасное подключение RDP и SSH ко всем виртуальным машинам в виртуальной сети, для которой она подготовлена. Бастион Azure защищает виртуальные машины от предоставления портов RDP/SSH внешним пользователям, обеспечивая при этом безопасный доступ с помощью протокола RDP/SSH.
Ключевые преимущества
| Преимущества | Описание |
|---|---|
| RDP и SSH через портал Azure | Вы можете перейти к сеансу RDP и SSH прямо на портале Azure с помощью простого и удобного одноразового нажатия мыши. |
| Удаленный сеанс по протоколу TLS и обход брандмауэра для RDP и SSH | Бастион Azure использует веб-клиент на основе HTML5, который автоматически передается на локальное устройство. Сеанс RDP и SSH работает по протоколу TLS через порт 443. Это позволяет безопаснее перемещать трафик через брандмауэры. Бастион поддерживает TLS 1.2. Устаревшие версии TLS не поддерживаются. |
| На виртуальной машине Azure не требуется общедоступный IP-адрес. | Бастион Azure открывает подключение RDP и SSH к вашей виртуальной машине Azure, используя частный IP-адрес на виртуальной машине. На вашей виртуальной машине не требуется общедоступный IP-адрес. |
| Беспроблемное управление группами безопасности сети (NSG) | Вам не нужно применять группы безопасности сети (NSG) к подсети Azure Bastion. Поскольку Бастион Azure подключается к вашим виртуальным машинам по частному IP-адресу, вы можете настроить свои NSG так, чтобы они разрешали RDP или SSH только из Бастиона Azure. Это устраняет необходимость управлять NSG каждый раз, когда необходимо безопасно подключиться к виртуальным машинам. Дополнительные сведения о группах безопасности сети см. в этой статье. |
| Нет необходимости управлять отдельным узлом-бастионом на виртуальной машине | Бастион Azure — это полностью управляемая платформа службы PaaS от Azure, которая внутреннее защищена для обеспечения надежного подключения RDP или SSH. |
| Защита от сканирования портов | Ваши виртуальные машины защищены от сканирования портов злоумышленниками, так как вам не нужно предоставлять доступ к виртуальным машинам через Интернет. |
| Укрепление в одном месте | Бастион Azure расположен по периметру виртуальной сети, поэтому не стоит беспокоиться об усилении защиты каждой виртуальной машины в вашей виртуальной сети. |
| Защита от эксплойтов нулевого дня | Платформа Azure защищает от эксплойтов нулевого дня, в результате чего Бастион Azure защищен и всегда актуален для вас. |
Артикулы (SKU)
Бастион Azure предлагает несколько уровней SKU. В таблице ниже приведены возможности и соответствующие номера SKU. Дополнительные сведения о номерах SKU см. в статье Параметры конфигурации.
| Функция | SKU «Базовый» | Стандартный SKU | Номер SKU уровня "Премиум" |
|---|---|---|---|
| Подключение к целевым виртуальным машинам в одной виртуальной сети | Да | Да | Да |
| Подключитесь к целевым виртуальным машинам в одноранговых виртуальных сетях | Да | Да | Да |
| Поддержка одновременных подключений | Да | Да | Да |
| Доступ к закрытым ключам виртуальной машины Linux в Azure Key Vault (AKV) | Да | Да | Да |
| Подключение к виртуальной машине Linux с помощью SSH | Да | Да | Да |
| Подключение к виртуальной машине Windows с помощью RDP | Да | Да | Да |
| Подключение к виртуальной машине Linux с помощью RDP | Нет | Да | Да |
| Подключение к виртуальной машине Windows с помощью SSH | Нет | Да | Да |
| Определение настраиваемого входящего порта | Нет | Да | Да |
| Подключение к виртуальным машинам с помощью Azure CLI | Нет | Да | Да |
| Масштабирование хостов | Нет | Да | Да |
| Отправка или скачивание файлов | Нет | Да | Да |
| Проверка подлинности Kerberos | Да | Да | Да |
| Ссылка, доступная для общего доступа | Нет | Да | Да |
| Подключение к виртуальным машинам с помощью IP-адреса | Нет | Да | Да |
| Аудиовыход виртуальной машины | Да | Да | Да |
| Отключение копирования и вставки (веб-клиенты) | Нет | Да | Да |
| Запись сеанса | Нет | Нет | Да |
| Развертывание только для частного использования | Нет | Нет | Да |
Архитектура
Бастион Azure предлагает несколько архитектур развертывания в зависимости от выбранных конфигураций SKU и параметров. Для большинства артикулов бастион развертывается в виртуальной сети и поддерживает пиринговое соединение виртуальных сетей. В частности, Бастион Azure управляет подключением RDP или SSH к виртуальным машинам, созданным в локальных или одноранговых виртуальных сетях.
RDP и SSH являются одними из основных средств, с помощью которых вы можете подключаться к рабочим нагрузкам, которые выполняются в Azure. Открытие портов RDP или SSH через Интернет не рекомендуется и представляет значительную угрозу безопасности. Часто это связано с уязвимостями протокола. Чтобы ограничить воздействие угроз, можно развернуть серверы-бастионы (также известные как jump-серверы) на публичной стороне вашей периферийной сети. Серверы Бастиона разработаны и настроены для выдерживания атак. Серверы Бастиона также обеспечивают подключение RDP и SSH к рабочим нагрузкам, которые находятся за Бастионом, а также внутри сети.
Номер SKU, который выбирается при развертывании Бастиона, определяет архитектуру и доступные функции. Вы можете перейти на более высокий номер SKU для поддержки дополнительных функций, но после развертывания не удается изменить номер SKU. Некоторые архитектуры, такие как приватная архитектура и предложение для разработчиков Bastion, должны быть настроены во время развертывания. Дополнительные сведения о каждой архитектуре см. в разделе Бастион: дизайн и архитектура.
На следующих схемах показаны доступные архитектуры для Бастиона Azure.
Базовый номер SKU и выше
Разработчик Бастион
Развертывание только для частного использования
Зоны доступности
Некоторые регионы поддерживают возможность развертывания Azure Bastion в зоне доступности (или нескольких зонах для избыточности). Чтобы развернуть зонально, разверните бастион с помощью вручную указанных параметров (не развертывайте с помощью автоматических параметров по умолчанию). Укажите требуемые зоны доступности во время развертывания. Вы не можете изменить зональную доступность после развертывания Бастиона.
Поддержка Зоны доступности в настоящее время доступна в предварительной версии. Во время предварительной версии доступны следующие регионы:
- Восточная часть США
- Восточная Австралия
- Восточная часть США 2
- Центральная часть США
- Центральный Катар
- Северная часть ЮАР
- Западная Европа
- западная часть США 2
- Северная Европа
- Центральная Швеция
- южная часть Соединенного Королевства
- Центральная Канада
Масштабирование хостов
Бастион Azure поддерживает масштабирование узла вручную. Можно настроить количество экземпляров хостов (единиц масштабирования), чтобы управлять числом одновременных подключений RDP/SSH, которые Бастион Azure может поддерживать. Увеличение количества экземпляров хостов позволяет Azure Bastion управлять большим количеством одновременных сеансов. Уменьшение количества экземпляров уменьшает число одновременно поддерживаемых сессий. Бастион Azure поддерживает до 50 хост-экземпляров. Эта функция доступна для SKU уровня "Стандартный" и выше.
Дополнительные сведения см. в статье Параметры конфигурации.
Цены
Цены на Azure Bastion — это сочетание почасовых тарифов, основанных на SKU и виртуальных машинах (единицах масштабирования), а также тариф на передачу сетевых данных. Почасовая оплата начинается с момента развертывания Бастиона, независимо от использования исходящего трафика. Последнюю информацию о ценах см. на странице цен Бастион Azure.
Что нового?
Подпишитесь на RSS-канал и просматривайте последние обновления компонентов для Бастиона Azure на странице Обновления Azure.
Вопросы и ответы о Бастионе
Часто задаваемые вопросы см. в разделе Вопросы и ответы о Бастионе.
Следующие шаги
- Краткое руководство: автоматическое развертывание Bastion с параметрами по умолчанию и Standard SKU
- Краткое руководство: развертывание Bastion Developer
- Руководство. Развертывание бастиона с помощью указанных параметров и номеров SKU
- Модуль Learn: введение в Azure Bastion
- Дополнительные сведения о некоторых других ключевых сетевых возможностях Azure
- Дополнительные сведения о безопасности сети Azure