Che cos'è Azure Bastion?
Azure Bastion fornisce una connessione remota sicura dal portale di Azure alle macchine virtuali (VM) di Azure tramite Transport Layer Security (TLS). È possibile effettuare il provisioning di Azure Bastion nella stessa rete virtuale di Azure delle macchine virtuali o in una rete virtuale con peering, quindi connettersi a qualsiasi macchina virtuale in tale rete virtuale o a una rete virtuale con peering direttamente dal portale di Azure.
Fornire connettività RDP e SSH sicura a una macchina virtuale interna
È possibile usare Azure Bastion per aprire facilmente una sessione RDP o SSH dal portale di Azure a una macchina virtuale non esposta pubblicamente. Azure Bastion si connette alle macchine virtuali tramite un indirizzo IP privato. Non è necessario esporre le porte RDP o SSH o gli indirizzi IP pubblici delle VM interne.
Poiché Azure Bastion è un servizio PaaS completamente gestito, non è necessario applicare alcun gruppo di sicurezza di rete alla subnet di Azure Bastion. Tuttavia, se si vuole un livello di sicurezza maggiore, è possibile configurare i gruppi di sicurezza di rete per consentire la connettività RDP e SSH unicamente da Azure Bastion.
Azure Bastion fornisce connettività RDP e SSH a tutte le VM nella stessa rete virtuale della subnet di Azure Bastion o in una rete virtuale associata tramite peering. Non è necessario installare un client, un agente o un software aggiuntivo per usare Azure Bastion.
Connettersi a una macchina virtuale usando Azure Bastion
Dopo aver distribuito Azure Bastion, nella pagina di panoramica della VM selezionare Connetti>Bastion>Usa Bastion. Immettere quindi le credenziali di accesso della VM a cui connettersi.
Principali funzionalità di sicurezza
- Il traffico avviato da Azure Bastion alle macchine virtuali di destinazione rimane all'interno della rete virtuale o tra le reti virtuali con peering.
- Non è necessario applicare gruppi di sicurezza di rete alla subnet di Azure Bastion, in quanto dispone internamente di funzionalità di protezione avanzate. Se si vuole rafforzare ulteriormente la sicurezza, è possibile configurare gruppi di sicurezza di rete in modo da consentire solo le connessioni remote alle macchine virtuali di destinazione dall'host di Azure Bastion.
- Azure Bastion contribuisce a proteggere il sistema dalla scansione delle porte. Le porte RDP e SSH e gli indirizzi IP pubblici non sono esposti pubblicamente per le VM.
- Azure Bastion contribuisce a proteggere il sistema dagli exploit zero-day. Essendo collocato sul perimetro della rete virtuale, non è necessario preoccuparsi della protezione avanzata di ognuna delle macchine virtuali nella rete virtuale. La piattaforma Azure mantiene Azure Bastion sempre aggiornato.
- Il servizio si integra con appliance di sicurezza native per una rete virtuale di Azure, come Firewall di Azure.
- È possibile usare il servizio per monitorare e gestire le connessioni remote.
Sessioni simultanee supportate
La tabella seguente mostra il numero di sessioni RDP e SSH simultanee che ogni risorsa di Azure Bastion può supportare, presumendo un normale utilizzo giornaliero. Se sono in corso altre sessioni RDP o SSH, questi numeri potrebbero variare.
| Conto risorse | Limite |
|---|---|
| Connessioni RDP simultanee | 25 |
| Connessioni SSH simultanee | 50 |
Funzionalità supportate durante la connessione a una VM
Nella tabella seguente sono evidenziate alcune funzionalità dell'esperienza utente supportate da Azure Bastion:
| Funzionalità | Supporti |
|---|---|
| Browser | - Windows: browser Microsoft Edge, Microsoft Edge Chromium o Google Chrome - Apple Mac: browser Google Chrome o Microsoft Edge Chromium |
| Layout della tastiera nella macchina virtuale | - en-us-qwerty - en-gb-qwerty - de-ch-qwertz - de-de-qwertz - fr-be-azerty - fr-fr-azerty - fr-ch-qwertz - hu-hu-qwertz - it-it-qwerty - ja-jp-qwerty - pt-br-qwerty - es-es-qwerty - es-latam-qwerty - sv-se-qwerty - tr-tr-qwerty |
| Funzioni all'interno della macchina virtuale | - Copia e incolla testo - Funzionalità come la copia di file non sono attualmente supportate |
Ruoli necessari per usare Azure Bastion
Come per altre risorse di Azure, è necessario accedere al gruppo di risorse o alla risorsa Azure Bastion stessa per distribuire o gestire Azure Bastion.
I ruoli seguenti forniscono i privilegi minimi necessari per connettersi alla risorsa macchina virtuale usando Azure Bastion:
- Ruolo Lettore nella macchina virtuale
- Ruolo Lettore nella scheda di interfaccia di rete con l'indirizzo IP privato della macchina virtuale
- Ruolo Lettore nella risorsa Azure Bastion