微软为Azure虚拟机用户提供堡垒主机(Bastion Host)服务Azure Bastion预览,用户不需要因为想要使用远程桌面协议(Remote Desktop Protocol,RDP)或是SSH连接,就将虚拟机的IP位置暴露在公共网络,现在用户可以通过Azure Bastion使用RDP和SSH操作虚拟机。
Azure Bastion是一个全新托管PaaS服务,提供堡垒主机即服务,用户以浏览器并在Azure Portal上设置,无需管理网络安全策略,就能通过SSL无缝地使用RDP和SSH连接到虚拟机。微软表示,部署独立专用的跳转服务,通常需要进行手动操作,使用基于IaaS的特殊解决方案,像是RDS(Remote Desktop Services)网关、身份验证配置、安全策略以及访问控制列表等,而使用Azure Bastion,则为用户省去了这些繁琐的设置与管理工作。
目前预览版Azure Bastion主要的功能,除了用户可以直接在Azure Portal启动Azure Bastion服务,让用户以SSL使用RDP和SSH连接,Azure虚拟机不需要使用公共IP,以避免基础设施暴露在公共互联网外,网页客户端也会自动串流到用户的本机端设备,在连接端口442以SSL提供RDP和SSH对话,这将能够简单且安全的穿越企业防火墙,另外,Azure Bastion也强化了连接端口的保护,避免外部安全威胁扫描虚拟机连接端口。
微软也预告,未来Azure Bastion会与Azure Active Directory集成,让用户使用SSO以及多因素身份验证,而微软也会支持原生RDP和SSH客户端应用程序,在安全性上,他们会加入完整的录像功能,方便管理者审核连接。