什么是 Azure Bastion?
你必须能够安全地管理远程托管 VM,这一点至关重要。 首先,让我们定义安全远程管理,然后查看 Azure Bastion 的各项功能。 此概述可帮助你确定 Azure Bastion 是否适合你的要求。
什么是安全远程管理?
安全远程管理是指能够连接到远程资源,而不会使该资源面临安全风险。 此类型的连接有时可能很难实现,尤其是在通过 Internet 访问资源的情况下。
当管理员连接到远程 VM 时,他们通常使用 RDP 或 SSH 来实现其管理目标。 要连接到托管虚拟机,问题在于您必须连接到其公共 IP 地址。 但是,向 Internet 公开 RDP 和 SSH(3389 和 22)使用的 IP 端口是非常不受欢迎的,因为它会带来严重的安全风险。
Azure Bastion 定义
Azure Bastion 是一种完全托管的平台即服务 (PaaS),可帮助你直接通过 Azure 门户使用 RDP 和 SSH 安全无缝地访问 Azure VM。
Azure Bastion:
- 被设计和配置为能够抵御攻击。
- 使用 RDP 和 SSH 连接到 Bastion 后的 Azure 工作负载。
下表描述了部署 Azure Bastion 后可用的功能。
| 好处 | 描述 |
|---|---|
| 通过 Azure 门户使用 RDP 和 SSH | 您可以通过单击直接在 Azure 门户中访问 RDP 和 SSH 会话,享受无缝体验。 |
| 通过 TLS 和防火墙遍历获取 RDP/SSH 远程会话 | Azure Bastion 使用基于 HTML5 的 Web 客户端,该客户端自动流式传输到本地设备。 RDP/SSH 会话通过 TLS 在端口 443 上进行。 这使流量能够更安全地遍历防火墙。 Bastion 支持 TLS 1.2 及更高版本。 不支持早期 TLS 版本。 |
| Azure VM 无需公共 IP 地址 | Azure Bastion 使用 Azure VM 上的专用 IP 地址与 VM 建立 RDP/SSH 连接。 虚拟机无需公共 IP 地址。 |
| 免去管理网络安全组 (NSG) 的麻烦 | 无需向 Azure Bastion 子网应用任何 NSG。 由于 Azure Bastion 通过专用 IP 连接到虚拟机,所以可将 NSG 配置为仅允许来自 Azure Bastion 的 RDP/SSH。 这样消除了每次需要安全地连接到虚拟机时管理 NSG 的麻烦。 |
| 无需在 VM 上管理单独的堡垒主机 | Azure Bastion 是 Azure 提供的完全托管平台 PaaS 服务,其内部进行了加固,以提供安全的 RDP/SSH 连接。 |
| 端口扫描防护 | 由于无需将虚拟机暴露在 Internet 上,因此你的虚拟机受到保护,可以防止恶意用户进行端口扫描。 |
| 仅在一个位置强化 | Azure Bastion 位于虚拟网络外围,因此你无需担心如何强化虚拟网络中的每个 VM。 |
| 防范零日漏洞攻击 | Azure 平台通过使 Azure Bastion 始终强化并保持最新状态来保护您免受零日漏洞的攻击。 |
如何避免暴露远程管理端口
通过实施 Azure Bastion,你可以使用 RDP 或 SSH 在已配置的 Azure 虚拟网络中管理 Azure VM,而无需向公共 Internet 暴露管理端口。 通过使用 Azure Bastion,你可以:
- 轻松连接到 Azure VM。 直接在 Azure 门户中连接 RDP 和 SSH 会话。
- 避免向 Internet 暴露管理端口。 登录到 Azure VM,并仅使用具有专用 IP 地址的 SSH 和 RDP 来避免公共 Internet 公开。
- 避免对现有网络基础结构进行大量重新配置。 在端口 443 上通过 TLS 使用基于 HTML5 的新式 Web 客户端,集成和遍历现有的防火墙和安全外围。
- 简化登录。 登录到 Azure VM 时,使用 SSH 密钥进行身份验证。
提示
可以将所有 SSH 私钥保存在 Azure Key Vault 中,以支持集中式密钥存储。