何时使用 Azure Bastion
本单元探索 Azure Bastion 的用法,并确定它是否是安全连接到远程 VM 的合适选择。 你将根据以下标准评估 Azure Bastion:
- 安全性
- 易于管理
- 与其他应用的集成
管理员必须依靠远程管理来管理和维护组织的 Azure 资源,包括 VM 以及这些 VM 上安装的应用。 请务必考虑是否能够安全地连接到这些资源和应用,而不将其暴露给 Internet。 你可以使用 Azure Bastion 远程连接和管理托管 VM,而无需向 Internet 暴露管理端口。 但是,一些管理员通过使用跳转服务器(有时称为跳转盒)解决了这一要求。 在本单元中,你将确定 Azure Bastion 是否可以取代跳转盒,作为提供安全远程管理访问的方法。
注意
跳转盒是具有公共 IP 地址的 Azure VM,可从 Internet 访问。
在典型的跳转盒方案中:
- 组织的 VM 仅配置有专用 IP 地址,并且不能直接从 Internet 访问。
- 跳转盒与管理员希望使用 RDP 和 SSH 远程管理的 VM 部署在同一虚拟网络中。
- NSG 管理 Internet、跳转盒和目标 VM 之间的网络流量流。
- 管理员使用公共 IP 通过 RDP 连接到跳转盒。
重要
由于你在公共 IP 上使用 RDP 连接到跳转盒,因此跳转盒的安全性可能会受到威胁。
跳转盒是一个运行服务器操作系统的 VM,因此你需要:
- 利用补丁和其他更新使 VM 保持最新状态。
- 配置适当的 NSG,以帮助保护虚拟网络内跳转盒和目标 VM 之间的流量流。
决策条件
若要确定是跳转盒还是 Azure Bastion 更适合远程管理组织的 Azure 资源,请考虑安全性、易管理性和集成等标准。 下面是对这些标准的分析。
| 条件 | 分析 |
|---|---|
| 安全性 | Azure Bastion 不会在其公共 IP 上暴露 RDP/SSH。 与跳转盒不同,Azure Bastion 仅支持来自 Azure 门户的受 TLS 保护的连接。 使用 Azure Bastion,无需配置 NSG 即可帮助保护流量流。 |
| 易管理性 | Azure Bastion 是一种完全托管的 PaaS 服务。 它不像跳转盒这样的 VM 一样需要定期更新。 你不需要客户端或代理即可使用 Azure Bastion,也不需要对其应用补丁和更新。 更不需要在管理控制台上安装或维护任何其他软件。 |
| 集成 | 可以将 Azure Bastion 与 Azure 中的其他本机安全服务(例如 Azure 防火墙)集成。 跳转服务器没有此选项。 |
注意
按虚拟网络(或对等互连虚拟网络)而不是按订阅、帐户或 VM 部署 Azure Bastion。
应用条件
Azure Bastion 实现了对托管 VM 启用安全远程管理的主要目标。 作为一项托管服务,你不需要更新 Azure Bastion 或手动配置 NSG 和相关设置。 Azure Bastion 是对 Azure 托管 VM 启用安全远程管理的最佳解决方案。
在需要管理远程 Azure 托管 VM 以及以下情况下,请考虑使用 Azure Bastion:
- 必须使用 RDP/SSH 连接到这些 VM。
- 不想维护连接到这些远程 VM 所使用的方法。
- 不想配置 NSG 设置来启用远程管理。
- 希望避免使用跳转盒。
确定要部署的 Azure Bastion 主机数量时,请考虑每个虚拟网络(或对等互连虚拟网络)需要一台主机。 无需在每个 VM 或每个子网上部署 Azure Bastion。