什么是Azure Bastion
最好的Azure学习站点:Azure文档中心 / Microsoft Learning 浏览器
什么是Azure Bastion安全
今年的博客中和你们聊了不少关于安全方面的话题,好比Azure MFA和Azure安全中心等。今天就继续来和你们聊聊Azure Bastion。堡垒机是不少客户都会使用的一个系统,使用堡垒机能够避免直接将系统暴漏在外部网络中,从而减小***面。在以往的状况中,客户若是想要使用堡垒机就须要本身部署并进行配置维护。可是在Azure中则不一样,微软为Azure虚拟机用户提供了一个彻底托管的PaaS版堡垒机服务。借助此服务用户不须要由于想要使用远程桌面协议(Remote Desktop Protocol,RDP)或是SSH链接,就将虚拟机的IP位置暴露在公共网络,如今用户能够经过Azure Bastion使用RDP和SSH操做虚拟机。服务器
Azure Bastion如何工做 网络
Azure Bastion会部署在虚拟网络中的一个专用子网(AzureBastionSubnet)中,而且其会公开一个公网IP地址。可是和其余堡垒机不一样的是,这个公网IP地址不接受任何的RDP或SSH访问,仅接受SSL加密链接。ide
也就是说,用户可使用任何浏览器链接到Azure门户,而后选择要链接的虚拟机。选择完成后,Azure Portal使用443端口(SSL)链接到Azure Bastion服务,而后会在浏览器中得到一个新会话,而且可使用RDP或SSH浏览虚拟机的桌面以及网络中的任何其余VM。学习
简单的来讲,能够将Azure Bastion为代理,它使用SSL接收来自Internet的链接,并使用RDP和SSH将会话链接到VM。它看起来也像远程桌面网关解决方案或RDP Web访问。用户从浏览器链接到网关,该网关在浏览器中返回RDP会话。更多关于Azure Bastion的信息,你们能够参考以下链接:加密
https://docs.microsoft.com/en-us/azure/bastion/bastion-overview?WT.mc_id=AZ-MVP-5002232 设计
Azure Bastion体系结构 3d
Azure Bastion 部署是按虚拟网络进行部署的,而不是按订阅/账户或虚拟机。 在虚拟网络中预配 Azure Bastion 服务后,便可在同一虚拟网络中的全部 VM 上得到 RDP/SSH 体验。代理
RDP 和 SSH 是链接 Azure 中运行的工做负载的基本方法。 通常状况下,不建议将RDP或SSH端口暴漏在外部网络中,由于会被不法分子利用协议的漏洞对服务器形成***。通常状况下,为了不这种问题的产生,能够在外围网络的公共端部署 bastion 主机(也称为跳转服务器)。 Bastion 主机服务器在设计和配置上考虑了抵御***。 Bastion 服务器还为位于 bastion 后以及网络内的工做负载提供 RDP 和 SSH 链接。
为何使用Azure Bastion
前面和你们聊了,Azure Bastion是微软提供的一个PaaS服务,能够极大的减小用户部署堡垒机服务的工做量,除此以外使用Azure Bastion还能够带来以下好处:
- 在 Azure 门户中直接使用 RDP 和 SSH 链接 :能够经过单击无缝体验直接在 Azure 门户中进行 RDP 和 SSH 会话。
- 穿越防火墙,经过 TLS 进行 RDP/SSH 远程会话 :Azure Bastion 使用基于 HTML5 的 Web 客户端,该客户端自动流式传输到本地设备,使你能够安全穿越公司防火墙,在端口 443 上经过 TLS 进行 RDP/SSH 会话。
- Azure VM 无需公共 IP :Azure Bastion 使用 VM 上的专用 IP 打开与 Azure 虚拟机的 RDP/SSH 链接。 虚拟机无需公共 IP。
- 轻松管理 NSG :Azure Bastion 是 Azure 提供的彻底托管平台 PaaS 服务,其内部进行了加固,以提供安全的 RDP/SSH 链接。 无需在 Azure Bastion 子网上应用任何 NSG。 因为 Azure Bastion 经过专用 IP 链接到虚拟机,因此可将 NSG 配置为仅容许来自 Azure Bastion 的 RDP/SSH。 这样消除了每次须要安全地链接到虚拟机时管理 NSG 的麻烦。
- 端口扫描防御:由于无需将虚拟机公开到公共 Internet,所以可防止 VM 受到虚拟网络外部的恶意用户的端口扫描。
- 防止零日漏洞。仅在一个位置强化: Azure Bastion 是彻底托管平台 PaaS 服务。因为它位于虚拟网络外围,所以你无需担忧如何强化虚拟网络中的每一个虚拟机。 Azure 平台经过使 Azure Bastion 保持强化且始终保持最新来防范零天***。
聊到这相信你们对Azure Bastion这个服务以及有了必定的了解,那么在后续的文章中咱们会和你们分享如何配置Azure Bastion来保护云端的虚拟机资源,还请你们多多关注。
- 1. Azure Bastion log筛查
- 2. Azure Bastion 堡垒机
- 3. 什么是Azure Backup
- 4. 什么是 Azure Migrate
- 5. 什么是Windows Azure
- 6. Azure Bastion 场景测试
- 7. Azure Bastion 简介与使用
- 8. 【Azure DevOps系列】什么是Azure DevOps
- 9. 什么是Azure Data Lake
- 10. 微软azure是什么_什么是Microsoft Azure? 它是如何工作的?
- 更多相关文章...
- • Hibernate是什么 - Hibernate教程
- • MyBatis是什么 - MyBatis教程
- • Docker容器实战(六) - 容器的隔离与限制
- • ☆技术问答集锦(13)Java Instrument原理
-
每一个你不满意的现在,都有一个你没有努力的曾经。