何謂 Azure Bastion?
您必須能夠安全管理遠端託管 VM。 首先,讓我們定義安全遠端管理,再檢閱 Azure Bastion 的功能。 本概觀可協助您決定 Azure Bastion 是否符合您的需求。
何謂安全遠端管理?
安全遠端管理是指連線到遠端資源,而不會將該資料暴露於安全性風險的能力。 這種類型的連線有時可能具有挑戰性,尤其是在網際網路上存取資源時。
當系統管理員連接到遠端 VM 時,系統通常會使用 RDP 或 SSH 來達成其管理目標。 問題在於若要連線到託管 VM,您必須連線到其公用 IP 位址。 然而,公開 RDP 和 SSH 所使用的 IP 連接埠 (3389 和 22) 至網際網路極不適當,因其會導致嚴重的安全性風險。
Azure Bastion 定義
Azure Bastion 是完全受控的平台即服務 (PaaS),可提供安全且順暢的 RDP 和 SSH,協助您直接透過 Azure 入口網站存取 Azure VM。
Azure Bastion:
- 專為防禦攻擊而設計及設定。
- 在堡壘後提供 RDP 和 SSH 連線至 Azure 工作負載。
下表描述部署 Azure Bastion 後可用的功能。
| 優點 | 描述 |
|---|---|
| 透過 Azure 入口網站使用 RDP 和 SSH | 只要在 Azure 入口網站中按一下無縫體驗,就可以直接進入 RDP 和 SSH 工作階段。 |
| RDP/SSH 透過 TLS 和防火牆周遊的遠端工作階段 | Azure Bastion 使用自動串流到本機裝置的 HTML5 Web 用戶端。 RDP/SSH 工作階段使用連接埠 443 透過 TLS 連線。 這使流量可更安全地周遊防火牆。 Bastion 支援 TLS 1.2 和更新版本。 不支援舊版 TLS。 |
| Azure VM 上不需要公用 IP 位址 | Azure Bastion 使用 VM 上的私人 IP 位址,開啟對 Azure VM 的 RDP/SSH 連線。 您在虛擬機器上不需要公用 IP 位址。 |
| 輕鬆管理網路安全性群組 (NSG) | 您不需要將任何 NSG 套用至 Azure Bastion 子網路。 因為 Azure Bastion 透過私人 IP 來連線至虛擬機器,您可以將 NSG 設定為只允許來自 Azure Bastion 的 RDP/SSH。 每次需要安全地連線至虛擬機器時,就不必再麻煩管理 NSG。 |
| 不需要在 VM 上另外管理堡壘主機 | Azure Bastion 是 Azure 的完全受控平台 PaaS 服務,內部經過強化,為您提供安全的 RDP/SSH 連線。 |
| 針對連接埠掃描的保護 | 因為您不需向網際網路公開 VM,得以保護 VM 免遭惡意使用者掃描連接埠。 |
| 僅需強化一處 | Azure Bastion 位於虛擬網路的的周邊,所以您不需煩惱要強化虛擬網路中的每一部 VM。 |
| 防範零時差惡意探索 | Azure 平台保持 Azure Bastion 強化並永遠維持更新,以防範零時差惡意探索。 |
如何避免公開遠端管理連接埠
透過實作 Azure Bastion,您可以使用 RDP 或 SSH 管理已設定的 Azure 虛擬網路內的 Azure VM,無須將這些管理連接埠公開至網際網路。 使用 Azure Bastion,您可以:
- 輕鬆連線到您的 Azure VM。 直接在 Azure 入口網站中連線 RDP 和 SSH 工作階段。
- 避免將管理連接埠公開至網際網路。 登入您的 Azure VM,並只搭配私人 IP 位址使用 SSH 和 RDP,以避免曝光在公用網際網路上。
- 避免大量重新設定您現有的網路基礎結構。 使用現代 HTML5 型的網頁用戶端透過 443 連接埠上的 TLS,整合與周遊現有的防火牆和安全界限。
- 簡化登入。 登入 Azure VM時,請使用 SSH 金鑰進行驗證。
提示
您可以將所有 SSH 私密金鑰儲存在 Azure Key Vault 中,以支援集中式金鑰儲存體。