[新产品/新功能] 使用 Azure Bastion Premium 提升您的安全能力

[新产品/新功能] 使用 Azure Bastion Premium 提升您的安全能力   # 产品功能分析 ## 新功能/新产品概述 Azure Bastion Premium 是 Microsoft Azure 推出的新 **SKU**，旨在为处理高度敏感工作负载的客户提供高级录制、监控和审计功能。该产品于 2024 年 11 月 19 日在 Microsoft Ignite 事件上宣布正式可用，目前处于公共预览阶段。背景在于当前云环境中的网络安全威胁日益严峻，Azure 致力于通过此 **SKU** 提升虚拟机的安全连接和监控能力。目标用户包括拥有严格合规要求的企业和组织，市场定位聚焦于高安全性需求的云网络解决方案，如金融、医疗和政府部门。 ## 关键客户价值 - **增强安全**：Azure Bastion Premium 通过消除公有 **IP** 地址的使用，仅依赖私有端点连接，显著降低了攻击面，帮助客户减少安全风险。该优势与传统 **SKU** 相比，实现了更严格的网络隔离，尤其适用于高合规场景。 - 在涉及敏感数据传输的业务中，此功能可确保连接安全，减少潜在入侵点，但需注意，仅适用于新创建的 Azure Bastion，可能增加初始配置复杂度。 - **虚拟机监控和审计**：提供图形会话录制功能，允许客户记录并存储 **VM** 会话，便于事后审查异常行为或符合内部政策。该特性增强了审计能力，与标准 **SKU** 的基本审计相比，提供了更深入的监控选项，支持数据保留和合规需求。 - 对于高风险工作负载，这可提升整体安全性和响应速度，但在大规模部署中，可能面临存储管理开销的问题。 ## 关键技术洞察 - **技术独特性**：Azure Bastion Premium 基于私有 **IP** 连接和图形会话录制机制，实现无公有 **IP** 的安全访问。其工作原理包括使用私有端点处理入站连接，并将会话录制存储在客户指定的存储账户中。 - **创新点及影响**：该 **SKU** 引入了图形会话录制，提升了 **VM** 监控的精细度，支持毫秒级响应和异常检测，对安全性有显著正面影响；同时，通过与 **ExpressRoute** 私有对等互连整合，优化了混合云场景下的性能和可用性。 - 挑战在于，私有连接仅支持新部署，可能限制现有环境的平滑升级；此外，会话录制虽加强了审计，但需考虑数据存储成本和隐私合规风险。 ## 其他信息 - 特征比较显示，Azure Bastion Premium 在图形会话录制和私有连接上独占优势，而基础功能（如私有连接到 **VM**）在其他 **SKU** 中已存在。客户可通过 Azure 门户轻松部署，选择私有 **IP** 和启用会话录制。未来，Azure 计划与其他安全产品整合，进一步增强生态兼容性。   # 使用 Azure Bastion Premium 提升您的安全能力 **原始链接:** [https://azure.microsoft.com/en-us/blog/enhance-your-security-capabilities-with-azure-bastion-premium/](https://azure.microsoft.com/en-us/blog/enhance-your-security-capabilities-with-azure-bastion-premium/) **发布时间:** 2024-05-30 **厂商:** AZURE **类型:** BLOG --- Microsoft Azure Bastion (Azure Bastion) 现已公开预览，将为处理高度敏感工作负载的客户提供高级录制、监控和审计功能。 **Azure Bastion Premium 于 2024 年 11 月 19 日在 Microsoft Ignite 活动上宣布正式可用。** 在 Microsoft Azure，我们坚定致力于为客户提供稳健且可靠的网络解决方案。在当今动态的数字环境中，无缝连接、 uncompromising 安全和最佳性能是必不可少的。随着网络威胁变得越来越频繁和严重，云端安全的需求急剧增加。为应对此，我们正在为 [Microsoft Azure Bastion](https://azure.microsoft.com/en-us/products/azure-bastion/) 发布一个新 SKU——Azure Bastion Premium。此服务现已公开预览，将为处理高度敏感工作负载的客户提供高级录制、监控和审计功能。在这篇博客中，我们将探讨 Azure Bastion Premium 是什么、此 SKU 带来的好处，以及为什么它对采用高度监管安全策略的客户来说是必备工具。 ![一个移动的计算机设备，周围漂浮着立方体。](https://azure.microsoft.com/en-us/blog/wp-content/uploads/2024/05/MSFT_Azure_Mar27_Azure_Blog_GIF_240319_FINAL-1-1.gif) ## Azure Bastion 通过更安全的远程访问保护您的虚拟机 (Virtual Machine) [ 探索解决方案 ](https://azure.microsoft.com/en-us/products/azure-bastion/) ## 什么是 Azure Bastion Premium？ Azure Bastion Premium 是针对处理高度敏感虚拟机 (Virtual Machine) 工作负载的客户推出的新 SKU。其目标是提供增强的安全功能，确保客户虚拟机以安全方式连接，并监控虚拟机以发现任何异常。我们首批功能将聚焦于确保通过 Azure Bastion 连接的虚拟机实现私有连接和图形录制。 ### 两个关键安全优势 1. **增强安全**：在使用现有 Azure Bastion SKU 时，客户可以通过 Azure Bastion 的公共 IP 地址作为进入目标虚拟机的入口点。然而，Azure Bastion Premium SKU 将安全提升到一个新水平，通过消除公共 IP 来实现。客户现在可以连接到 Azure Bastion 上的私有端点 (Private Endpoint)。结果，这种方法消除了保护公共 IP 的需求，有效减少了一个攻击点。 2. **虚拟机监控**：Azure Bastion Premium SKU 允许客户对虚拟机会话进行图形录制。客户可以根据其内部策略和合规要求保留虚拟机会话。此外，保留虚拟机会话记录有助于客户识别异常或意外行为。无论是异常活动、安全漏洞还是数据外泄 (Data Exfiltration)，拥有视觉记录都能开启调查和缓解措施。 ### Azure Bastion Premium 提供功能 - **图形会话录制** 图形会话录制使 Azure Bastion 能够对通过启用的 Azure Bastion 连接的所有虚拟机会话进行图形录制。这些录制存储在客户指定的存储账户中，并可以在 Azure Bastion 资源面板中直接查看。我们认为此功能是对希望在其虚拟机会话上添加额外监控层的客户的增值服务。一旦虚拟机会话中出现异常，客户可以回放录制来查看会话中到底发生了什么。对于有数据保留策略的其他客户，会话录制将保留所有录制会话的完整记录。客户可以在其存储账户中维护对录制的访问和控制，以符合其策略。设置会话录制非常简单直观。您只需一个存储账户中的指定容器、一个虚拟机以及用于连接的 Azure Bastion 即可。有关设置和使用会话录制的更多信息，请参阅[我们的文档](https://go.microsoft.com/fwlink/?linkid=2271264)。 - **仅私有 Azure Bastion** 在 Azure Bastion 的当前正式可用 SKU 中，向 Azure Bastion 部署的虚拟网络的入站连接仅通过公共 IP 地址可用。通过仅私有 Azure Bastion，我们启用客户通过私有 IP 地址连接入站到其 Azure Bastion。我们认为此功能是希望最小化使用公共端点的客户的必备功能。对于有严格公共端点使用策略的客户，仅私有 Azure Bastion 确保 Azure Bastion 在组织策略下是合规的服务。对于其他有本地机器尝试连接到 Azure 的客户，使用仅私有 Azure Bastion 与 [ExpressRoute 私有对等](https://learn.microsoft.com/en-us/azure/expressroute/configure-expressroute-private-peering) 相结合，将实现从其本地机器直连到 Azure 虚拟机的私有连接。设置仅私有 Azure Bastion 非常简单。在创建 Azure Bastion 时，在 **配置 IP 地址** 下，选择私有 IP 地址而不是公共 IP 地址，然后点击 **查看 + 创建**。 *注意：仅私有 Azure Bastion 只能在新创建的 Azure Bastion 上使用，不能在现有 Azure Bastion 上使用*。 ### Azure Bastion 产品功能比较 | 功能 | Developer | Basic | Standard | Premium | |---------------------------------------------|-----------|-------|----------|---------| | **私有连接到虚拟机** | Yes | Yes | Yes | Yes | | **专用主机代理** | No | Yes | Yes | Yes | | **每个用户支持多个连接** | No | Yes | Yes | Yes | | **Linux 虚拟机私有密钥在 AKV 中** | No | Yes | Yes | Yes | | **支持网络安全组** | No | Yes | Yes | Yes | | **审计日志** | No | Yes | Yes | Yes | | **Kerberos 支持** | No | Yes | Yes | Yes | | **VNET 对等支持** | No | No | Yes | Yes | | **主机缩放 (2 到 50 个实例)** | No | No | Yes | Yes | | **自定义端口和协议** | No | No | Yes | Yes | | **通过 Azure CLI 的原生 RDP/SSH 客户端** | No | No | Yes | Yes | | **通过原生客户端的 AAD 登录 RDP/SSH** | No | No | Yes | Yes | | **基于 IP 的连接** | No | No | Yes | Yes | | **可共享链接** | No | No | Yes | Yes | | **图形会话录制** | No | No | No | Yes | | **仅私有 Azure Bastion** | No | No | No | Yes | ## 如何入门 1. 导航到 Azure 门户。 2. 手动部署配置为包含 Premium SKU 的 Azure Bastion。 3. 在 **配置 IP 地址** 下，有选项启用 Azure Bastion 使用公共或私有 IP 地址 (仅私有 Azure Bastion)。 4. 在 **高级** 选项卡中，有一个 **会话录制 (预览)** 复选框。 ## 保持更新我们的承诺不仅限于满足网络安全要求；我们致力于与内部团队合作，将我们的解决方案与其他安全产品集成。随着未来几个月的新功能和集成推出，我们相信 [Azure Bastion](https://go.microsoft.com/fwlink/?linkid=2271171) 将无缝融入“better together” 叙事中，有效解决客户与虚拟机工作负载安全相关的需求。