什麼是Azure Bastion
最好的Azure學習站點:Azure文檔中心 / Microsoft Learning 瀏覽器
什麼是Azure Bastion安全
今年的博客中和你們聊了不少關於安全方面的話題,好比Azure MFA和Azure安全中心等。今天就繼續來和你們聊聊Azure Bastion。堡壘機是不少客戶都會使用的一個系統,使用堡壘機能夠避免直接將系統暴漏在外部網絡中,從而減小***面。在以往的狀況中,客戶若是想要使用堡壘機就須要本身部署並進行配置維護。可是在Azure中則不一樣,微軟爲Azure虛擬機用戶提供了一個徹底託管的PaaS版堡壘機服務。藉助此服務用戶不須要由於想要使用遠程桌面協議(Remote Desktop Protocol,RDP)或是SSH鏈接,就將虛擬機的IP位置暴露在公共網絡,如今用戶能夠經過Azure Bastion使用RDP和SSH操做虛擬機。服務器
Azure Bastion如何工做 網絡
Azure Bastion會部署在虛擬網絡中的一個專用子網(AzureBastionSubnet)中,而且其會公開一個公網IP地址。可是和其餘堡壘機不一樣的是,這個公網IP地址不接受任何的RDP或SSH訪問,僅接受SSL加密鏈接。ide
也就是說,用戶可使用任何瀏覽器鏈接到Azure門戶,而後選擇要鏈接的虛擬機。選擇完成後,Azure Portal使用443端口(SSL)鏈接到Azure Bastion服務,而後會在瀏覽器中得到一個新會話,而且可使用RDP或SSH瀏覽虛擬機的桌面以及網絡中的任何其餘VM。學習
簡單的來講,能夠將Azure Bastion爲代理,它使用SSL接收來自Internet的鏈接,並使用RDP和SSH將會話鏈接到VM。它看起來也像遠程桌面網關解決方案或RDP Web訪問。用戶從瀏覽器鏈接到網關,該網關在瀏覽器中返回RDP會話。更多關於Azure Bastion的信息,你們能夠參考以下鏈接:加密
https://docs.microsoft.com/en-us/azure/bastion/bastion-overview?WT.mc_id=AZ-MVP-5002232 設計
Azure Bastion體系結構 3d
Azure Bastion 部署是按虛擬網絡進行部署的,而不是按訂閱/賬戶或虛擬機。 在虛擬網絡中預配 Azure Bastion 服務後,便可在同一虛擬網絡中的全部 VM 上得到 RDP/SSH 體驗。代理
RDP 和 SSH 是鏈接 Azure 中運行的工做負載的基本方法。 通常狀況下,不建議將RDP或SSH端口暴漏在外部網絡中,由於會被不法分子利用協議的漏洞對服務器形成***。通常狀況下,爲了不這種問題的產生,能夠在外圍網絡的公共端部署 bastion 主機(也稱爲跳轉服務器)。 Bastion 主機服務器在設計和配置上考慮了抵禦***。 Bastion 服務器還爲位於 bastion 後以及網絡內的工做負載提供 RDP 和 SSH 鏈接。
爲何使用Azure Bastion
前面和你們聊了,Azure Bastion是微軟提供的一個PaaS服務,能夠極大的減小用戶部署堡壘機服務的工做量,除此以外使用Azure Bastion還能夠帶來以下好處:
- 在 Azure 門戶中直接使用 RDP 和 SSH 鏈接 :能夠經過單擊無縫體驗直接在 Azure 門戶中進行 RDP 和 SSH 會話。
- 穿越防火牆,經過 TLS 進行 RDP/SSH 遠程會話 :Azure Bastion 使用基於 HTML5 的 Web 客戶端,該客戶端自動流式傳輸到本地設備,使你能夠安全穿越公司防火牆,在端口 443 上經過 TLS 進行 RDP/SSH 會話。
- Azure VM 無需公共 IP :Azure Bastion 使用 VM 上的專用 IP 打開與 Azure 虛擬機的 RDP/SSH 鏈接。 虛擬機無需公共 IP。
- 輕鬆管理 NSG :Azure Bastion 是 Azure 提供的徹底託管平臺 PaaS 服務,其內部進行了加固,以提供安全的 RDP/SSH 鏈接。 無需在 Azure Bastion 子網上應用任何 NSG。 因爲 Azure Bastion 經過專用 IP 鏈接到虛擬機,因此可將 NSG 配置爲僅容許來自 Azure Bastion 的 RDP/SSH。 這樣消除了每次須要安全地鏈接到虛擬機時管理 NSG 的麻煩。
- 端口掃描防禦:由於無需將虛擬機公開到公共 Internet,所以可防止 VM 受到虛擬網絡外部的惡意用戶的端口掃描。
- 防止零日漏洞。僅在一個位置強化: Azure Bastion 是徹底託管平臺 PaaS 服務。因爲它位於虛擬網絡外圍,所以你無需擔憂如何強化虛擬網絡中的每一個虛擬機。 Azure 平臺經過使 Azure Bastion 保持強化且始終保持最新來防範零天***。
聊到這相信你們對Azure Bastion這個服務以及有了必定的瞭解,那麼在後續的文章中咱們會和你們分享如何配置Azure Bastion來保護雲端的虛擬機資源,還請你們多多關注。
- 1. Azure Bastion log篩查
- 2. Azure Bastion 堡壘機
- 3. 什麼是Azure Backup
- 4. 什麼是 Azure Migrate
- 5. 什麼是Windows Azure
- 6. Azure Bastion 場景測試
- 7. Azure Bastion 簡介與使用
- 8. 【Azure DevOps系列】什麼是Azure DevOps
- 9. 什麼是Azure Data Lake
- 10. 微軟azure是什麼_什麼是Microsoft Azure? 它是如何工作的?
- 更多相關文章...
- • Hibernate是什麼 - Hibernate教程
- • MyBatis是什麼 - MyBatis教程
- • Docker容器實戰(六) - 容器的隔離與限制
- • ☆技術問答集錦(13)Java Instrument原理
-
每一个你不满意的现在,都有一个你没有努力的曾经。