最好的Azure学习站点:Azure文档中心 / Microsoft Learning

什么是Azure Bastion

今年的博客中和大家聊了很多关于安全方面的话题,比如Azure MFA和Azure安全中心等。今天就继续来和大家聊聊Azure Bastion。堡垒机是很多客户都会使用的一个系统,使用堡垒机可以避免直接将系统暴漏在外部网络中,从而减少***面。在以往的情况中,客户如果想要使用堡垒机就需要自己部署并进行配置维护。但是在Azure中则不同,微软为Azure虚拟机用户提供了一个完全托管的PaaS版堡垒机服务。借助此服务用户不需要因为想要使用远程桌面协议(Remote Desktop Protocol,RDP)或是SSH连接,就将虚拟机的IP位置暴露在公共网络,现在用户可以通过Azure Bastion使用RDP和SSH操作虚拟机。

Azure Bastion如何工作

Azure Bastion会部署在虚拟网络中的一个专用子网(AzureBastionSubnet)中,并且其会公开一个公网IP地址。但是和其他堡垒机不同的是,这个公网IP地址不接受任何的RDP或SSH访问,仅接受SSL加密连接。

clip_image002

也就是说,用户可以使用任何浏览器连接到Azure门户,然后选择要连接的虚拟机。选择完成后,Azure Portal使用443端口(SSL)连接到Azure Bastion服务,然后会在浏览器中获得一个新会话,并且可以使用RDP或SSH浏览虚拟机的桌面以及网络中的任何其他VM。

clip_image004

简单的来说,可以将Azure Bastion为代理,它使用SSL接收来自Internet的连接,并使用RDP和SSH将会话连接到VM。它看起来也像远程桌面网关解决方案或RDP Web访问。用户从浏览器连接到网关,该网关在浏览器中返回RDP会话。更多关于Azure Bastion的信息,大家可以参考如下连接:

https://docs.microsoft.com/en-us/azure/bastion/bastion-overview?WT.mc_id=AZ-MVP-5002232

Azure Bastion体系结构

Azure Bastion 部署是按虚拟网络进行部署的,而不是按订阅/帐户或虚拟机。 在虚拟网络中预配 Azure Bastion 服务后,即可在同一虚拟网络中的所有 VM 上获得 RDP/SSH 体验。

RDP 和 SSH 是连接 Azure 中运行的工作负载的基本方法。 一般情况下,不建议将RDP或SSH端口暴漏在外部网络中,因为会被不法分子利用协议的漏洞对服务器造成***。一般情况下,为了避免这种问题的产生,可以在外围网络的公共端部署 bastion 主机(也称为跳转服务器)。 Bastion 主机服务器在设计和配置上考虑了抵御***。 Bastion 服务器还为位于 bastion 后以及网络内的工作负载提供 RDP 和 SSH 连接。

clip_image006

为什么使用Azure Bastion

前面和大家聊了,Azure Bastion是微软提供的一个PaaS服务,可以极大的减少用户部署堡垒机服务的工作量,除此之外使用Azure Bastion还可以带来如下好处:

  • 在 Azure 门户中直接使用 RDP 和 SSH 连接 :可以通过单击无缝体验直接在 Azure 门户中进行 RDP 和 SSH 会话。
  • 穿越防火墙,通过 TLS 进行 RDP/SSH 远程会话 :Azure Bastion 使用基于 HTML5 的 Web 客户端,该客户端自动流式传输到本地设备,使你可以安全穿越公司防火墙,在端口 443 上通过 TLS 进行 RDP/SSH 会话。
  • Azure VM 无需公共 IP :Azure Bastion 使用 VM 上的专用 IP 打开与 Azure 虚拟机的 RDP/SSH 连接。 虚拟机无需公共 IP。
  • 轻松管理 NSG :Azure Bastion 是 Azure 提供的完全托管平台 PaaS 服务,其内部进行了加固,以提供安全的 RDP/SSH 连接。 无需在 Azure Bastion 子网上应用任何 NSG。 由于 Azure Bastion 通过专用 IP 连接到虚拟机,所以可将 NSG 配置为仅允许来自 Azure Bastion 的 RDP/SSH。 这样消除了每次需要安全地连接到虚拟机时管理 NSG 的麻烦。
  • 端口扫描防护:因为无需将虚拟机公开到公共 Internet,因此可防止 VM 受到虚拟网络外部的恶意用户的端口扫描。
  • 防止零日漏洞。仅在一个位置强化: Azure Bastion 是完全托管平台 PaaS 服务。由于它位于虚拟网络外围,因此你无需担心如何强化虚拟网络中的每个虚拟机。 Azure 平台通过使 Azure Bastion 保持强化且始终保持最新来防范零天***。

聊到这相信大家对Azure Bastion这个服务以及有了一定的了解,那么在后续的文章中我们会和大家分享如何配置Azure Bastion来保护云端的虚拟机资源,还请大家多多关注。