Azure Bastion 運作方式

  • 5 分鐘

RDP 和 SSH 通常為用於連線至遠端 IaaS VM 的主要方法,但將這些管理連接埠公開到網際網路,會造成嚴重的安全性風險。 在此單元中,我們描述如何在周邊網路的公用端部署 Azure Bastion,以安全地使用這些通訊協定連線。 在本單元中,您將了解:

  • Azure Bastion 架構。
  • Azure Bastion 如何提供託管 VM 安全的 RDP/SSH 連線。
  • Azure Bastion 的需求,讓您可以評估其在組織中的相關性。

Azure Bastion 架構

下圖描述 Azure Bastion 一般部署的架構,並說明端對端連線流程。 在此圖表中:

  • Azure Bastion 部署在包含數個 VM 的虛擬網路中。
  • NSG 保護虛擬網路中的子網路。
  • 保護 VM 子網路的 NSG 允許來自 Azure Bastion 子網路的 RDP 和 SSH 流量。
  • Azure Bastion 僅支援透過來自Azure 入口網站或原生用戶端的 TCP 埠 443 進行通訊(未顯示)。

The architecture of Azure Bastion, as described in the preceding text.

注意

受保護的 VM 和 Azure Bastion 主機連線至相同的虛擬網路,但在不同的子網路中。

Azure Bastion 中的一般連線流程如下:

  1. 系統管理員會使用受 TLS 保護的連線,透過任何 HTML5 瀏覽器連線至 Azure 入口網站。 系統管理員選取要連線的 VM。
  2. 入口網站透過 NSG 使用安全連線以連線至 Azure Bastion,該 NSG 保護託管目標 VM 的虛擬網路。
  3. Azure Bastion 啟動至目標 VM 的連線。
  4. RDP 或 SSH 工作階段會在系統管理員主控台的瀏覽器中開啟。 Azure Bastion 會透過自訂套件串流工作階段的資訊。 這些套件受 TLS 保護。

使用 Azure Bastion,您就不需透過公用 IP 直接將 RDP/SSH 公開至網際網路。 相反的,您使用安全通訊端層 (SSL) 安全連線至 Azure Bastion,而其使用私人 IP 連線至目標 VM。

使用方式需求

若系統管理員想要透過 Azure Bastion 連線至 Azure 中IaaS VM,則需下列讀者角色:

  • 目標 VM。
  • 目標 VM 上具有私人 IP 的網路介面。
  • Azure Bastion 資源。

部署 Azure Bastion 時,您會將其部署至虛擬網路或對等互連虛擬網路內的專屬子網路。

提示

該子網路必須命名為 AzureBastionSubnet

因為 Azure Bastion 受虛擬網路的 NSG 所保護,所以您的 NSG 需支援下列流量流程:

  • 輸入:
    • 從 Azure Bastion 子網路到 VM 子網路的 RDP 和 SSH 連線
    • 從網際網路到 Azure Bastion 公用 IP 的 TCP 連接埠 443 存取
    • 從 Azure 閘道管理員經由連接埠 4434443 的 TCP 存取
  • 輸出:
    • 從 Azure 平台經由連接埠 443 的 TCP 存取,以支援診斷記錄

注意

Azure 閘道管理員會管理入口網站到 Azure Bastion 服務的連線。