ما هو Azure Bastion؟

Azure Bastion هو خدمة PaaS مُدارة بالكامل توفر اتصال RDP وSSH آمن وسلس بالأجهزة الافتراضية مباشرة عبر بوابة Azure — دون كشف عناوين IP العامة. من خلال إلغاء الحاجة إلى صناديق القفز وبوابات VPN يقلل Bastion سطح الهجوم بشكل كبير مع وصول متصفح أصلي عبر TLS على المنفذ 443.

آلية العمل ومستويات SKU

يُنشر Bastion في شبكة فرعية مخصصة (AzureBastionSubnet بحد أدنى /26). Basic SKU لـ 25 جلسة متزامنة وStandard SKU مع التوسع ودعم العميل الأصلي وPremium SKU مع تسجيل الجلسات والنشر الخاص.

مزايا الأمان

عدم كشف عناوين IP العامة والحماية من فحص المنافذ وتكامل Azure AD والوصول المشروط وتسجيل التدقيق الكامل في Azure Monitor. تبقى الأجهزة الافتراضية خاصة بالكامل.

أفضل الممارسات والتسعير

استخدم شبكة فرعية مخصصة /26 وStandard SKU للإنتاج وكوّن NSG وراقب عبر Azure Monitor. الفوترة بالساعة بالإضافة إلى نقل البيانات.

تكوينات Azure Bastion المتقدمة

تفتح مستويات Standard وPremium من Azure Bastion سيناريوهات مؤسسية قوية تتجاوز الوصول عبر المتصفح. يتيح العميل الأصلي استخدام mstsc.exe لـ RDP وPuTTY لـ SSH وأنفاق Azure CLI لإعادة توجيه منافذ TCP. توفر الروابط القابلة للمشاركة عناوين URL محدودة الوقت للوصول إلى VM بدون بوابة Azure — مثالية لدعم الموردين والوصول المؤقت للمقاولين مع فترات انتهاء من ساعة إلى 7 أيام.

تسجيل الجلسات والامتثال

يسجل Premium SKU كل جلسة RDP وSSH في حساب Azure Storage لمتطلبات SOC 2 وHIPAA وFedRAMP. يمكن مراجعة التسجيلات عبر البوابة أو دمجها مع حلول SIEM للتحليل الآلي.

أنماط هندسة الشبكة

في تصميم hub-spoke يُنشر Bastion مرة واحدة في hub VNet ويصل إلى VMs في جميع spoke VNets عبر التناظر — تخفيض التكلفة 60-80%. يدعم Premium SKU النشر الخاص فقط بدون IP عام عبر ExpressRoute أو VPN Gateway.

تحسين التكلفة والتوسع

لبيئات التطوير: أتمتة النشر خلال ساعات العمل فقط توفر ~58% من التكاليف. يدعم Standard SKU من 2-50 وحدة توسع مع ~20 جلسة RDP متزامنة لكل وحدة.

قائمة تحقق تقوية الأمان

• شبكة فرعية مخصصة /26 باسم AzureBastionSubnet
• تفعيل Azure DDoS Protection
• إعدادات التشخيص إلى Log Analytics وSentinel
• فرض Azure AD MFA عبر الوصول المشروط
• قواعد NSG: وارد 443 من الإنترنت، صادر إلى VirtualNetwork لـ 3389/22

الميزات والقدرات الرئيسية

تجعل القدرات الأساسية التالية هذه التقنية ضرورية للبنية التحتية السحابية الحديثة:

Browser-Based Access

Full RDP and SSH sessions directly in Azure portal with HTML5 — no public IPs, no client software, no NSG rule changes required on target VMs

Native Client Support

Standard SKU enables CLI tunnels (az network bastion tunnel) for mstsc.exe, PuTTY, database tools, and file transfer through arbitrary TCP ports

Shareable Links

Time-limited URLs granting VM access without Azure portal or Azure AD accounts — configurable expiration from 1 hour to 7 days for vendor support

Session Recording

Premium SKU captures complete RDP/SSH sessions to Azure Storage for SOC 2, HIPAA, and FedRAMP compliance audit trails

Private-Only Deployment

Premium removes the Bastion public IP entirely — access flows through ExpressRoute or VPN Gateway for zero-public-IP architectures

حالات الاستخدام الواقعية

تستفيد المؤسسات عبر القطاعات المختلفة من هذه التقنية في بيئات الإنتاج:

Hub-Spoke Networks

Deploy Bastion once in hub VNet, reach VMs in all spoke VNets through peering — 60-80% cost reduction compared to per-spoke deployment

Regulated Industries

A bank uses Premium session recording for all production server access, satisfying PCI-DSS requirement 10.2 for audit trails of privileged access

DevOps Workflows

Development teams use native client tunnels for VS Code Remote SSH, database management with SSMS, and log streaming through custom TCP ports

Vendor Management

IT teams generate 4-hour shareable links for external support engineers, eliminating the need for VPN credentials or temporary Azure AD accounts

أفضل الممارسات والتوصيات

استنادًا إلى عمليات النشر المؤسسية والخبرة الإنتاجية تساعد هذه التوصيات في تحقيق أقصى قيمة:

• Always use a dedicated /26 or larger subnet named exactly AzureBastionSubnet — this naming convention is mandatory
• Enable Azure DDoS Protection Standard on the Bastion VNet to protect the public endpoint from volumetric attacks
• Configure Diagnostic Settings to send BastionAuditLogs to Log Analytics for integration with Microsoft Sentinel SIEM
• Enforce Azure AD MFA through Conditional Access policies — Bastion supports MFA prompt before establishing sessions
• Use scale units appropriately: each unit handles ~20 RDP or ~40 SSH concurrent sessions. Monitor and auto-scale during incidents
• For dev/test environments, automate Bastion deploy/delete on business hours schedule to save ~58% of compute costs

الأسئلة الشائعة

How much does Azure Bastion cost?

Basic SKU starts at ~$0.19/hour (~$140/month). Standard adds native client, shareable links, and scaling at ~$0.29/hour base plus ~$0.088/hour per additional scale unit. Premium adds session recording at ~$0.42/hour. Dev/test automation can reduce costs significantly.

Can I use Azure Bastion across subscriptions?

Yes, through VNet peering. Deploy Bastion in a hub VNet in one subscription and peer with spoke VNets in other subscriptions. Ensure peering allows gateway transit and NSGs permit traffic between subnets on ports 443, 3389, and 22.

What is the difference between Bastion and a jump box?

Bastion is fully managed with no OS patching, built-in DDoS protection, and session recording. Jump boxes require VM management, security hardening, and manual audit logging. Bastion costs more but eliminates operational overhead and reduces attack surface.