Что такое Azure Bastion?

Azure Bastion — это полностью управляемая служба PaaS для безопасного RDP- и SSH-подключения к виртуальным машинам через портал Azure — без публичных IP-адресов. Устраняя необходимость в jump box и VPN-шлюзах, Bastion значительно сокращает поверхность атаки с нативным доступом через браузер по TLS на порту 443.

Принцип работы и уровни SKU

Bastion развёртывается в выделенной подсети (AzureBastionSubnet, минимум /26). Basic SKU для 25 одновременных сеансов, Standard SKU с масштабированием и поддержкой нативного клиента, Premium SKU с записью сеансов и частным развёртыванием.

Преимущества безопасности

Отсутствие публичных IP, защита от сканирования портов, интеграция Azure AD, условный доступ и полное журналирование в Azure Monitor. ВМ остаются полностью приватными.

Лучшие практики и цены

Используйте выделенную подсеть /26, Standard SKU для продакшена, настройте NSG и мониторьте через Azure Monitor. Оплата почасовая плюс передача данных.

Расширенные конфигурации Azure Bastion

Уровни Standard и Premium открывают мощные корпоративные сценарии помимо браузерного доступа. Нативный клиент позволяет использовать mstsc.exe для RDP, PuTTY для SSH и туннели Azure CLI для произвольного проброса TCP-портов. Разделяемые ссылки предоставляют временные URL для доступа к ВМ без портала Azure — идеально для поддержки вендоров и временного доступа подрядчиков с истечением от 1 часа до 7 дней.

Запись сеансов и соответствие требованиям

Premium SKU записывает каждый RDP- и SSH-сеанс в учётную запись Azure Storage для SOC 2, HIPAA и FedRAMP. Записи можно просматривать через портал или интегрировать с SIEM-решениями для автоматического анализа.

Паттерны сетевой архитектуры

В дизайне hub-spoke Bastion развёртывается один раз в hub VNet и достигает ВМ во всех spoke VNet через пиринг — снижение стоимости на 60-80%. Premium SKU поддерживает полностью приватное развёртывание без публичного IP через ExpressRoute или VPN Gateway.

Оптимизация затрат и масштабирование

Для сред разработки: автоматизация развёртывания только в рабочее время экономит ~58%. Standard SKU поддерживает 2-50 единиц масштабирования с ~20 одновременными RDP-сеансами каждая.

Чеклист усиления безопасности

• Выделенная подсеть /26 с именем AzureBastionSubnet
• Включить Azure DDoS Protection
• Диагностические настройки в Log Analytics и Sentinel
• Принудительная Azure AD MFA через условный доступ
• Правила NSG: входящий 443 из Internet, исходящий к VirtualNetwork для 3389/22

Ключевые возможности и функции

Следующие ключевые возможности делают эту технологию незаменимой для современной облачной инфраструктуры:

Browser-Based Access

Full RDP and SSH sessions directly in Azure portal with HTML5 — no public IPs, no client software, no NSG rule changes required on target VMs

Native Client Support

Standard SKU enables CLI tunnels (az network bastion tunnel) for mstsc.exe, PuTTY, database tools, and file transfer through arbitrary TCP ports

Shareable Links

Time-limited URLs granting VM access without Azure portal or Azure AD accounts — configurable expiration from 1 hour to 7 days for vendor support

Session Recording

Premium SKU captures complete RDP/SSH sessions to Azure Storage for SOC 2, HIPAA, and FedRAMP compliance audit trails

Private-Only Deployment

Premium removes the Bastion public IP entirely — access flows through ExpressRoute or VPN Gateway for zero-public-IP architectures

Реальные сценарии использования

Организации из различных отраслей используют эту технологию в продакшен-средах:

Hub-Spoke Networks

Deploy Bastion once in hub VNet, reach VMs in all spoke VNets through peering — 60-80% cost reduction compared to per-spoke deployment

Regulated Industries

A bank uses Premium session recording for all production server access, satisfying PCI-DSS requirement 10.2 for audit trails of privileged access

DevOps Workflows

Development teams use native client tunnels for VS Code Remote SSH, database management with SSMS, and log streaming through custom TCP ports

Vendor Management

IT teams generate 4-hour shareable links for external support engineers, eliminating the need for VPN credentials or temporary Azure AD accounts

Лучшие практики и рекомендации

На основе корпоративных внедрений и продакшен-опыта следующие рекомендации помогут максимизировать ценность:

• Always use a dedicated /26 or larger subnet named exactly AzureBastionSubnet — this naming convention is mandatory
• Enable Azure DDoS Protection Standard on the Bastion VNet to protect the public endpoint from volumetric attacks
• Configure Diagnostic Settings to send BastionAuditLogs to Log Analytics for integration with Microsoft Sentinel SIEM
• Enforce Azure AD MFA through Conditional Access policies — Bastion supports MFA prompt before establishing sessions
• Use scale units appropriately: each unit handles ~20 RDP or ~40 SSH concurrent sessions. Monitor and auto-scale during incidents
• For dev/test environments, automate Bastion deploy/delete on business hours schedule to save ~58% of compute costs

Часто задаваемые вопросы

How much does Azure Bastion cost?

Basic SKU starts at ~$0.19/hour (~$140/month). Standard adds native client, shareable links, and scaling at ~$0.29/hour base plus ~$0.088/hour per additional scale unit. Premium adds session recording at ~$0.42/hour. Dev/test automation can reduce costs significantly.

Can I use Azure Bastion across subscriptions?

Yes, through VNet peering. Deploy Bastion in a hub VNet in one subscription and peer with spoke VNets in other subscriptions. Ensure peering allows gateway transit and NSGs permit traffic between subnets on ports 443, 3389, and 22.

What is the difference between Bastion and a jump box?

Bastion is fully managed with no OS patching, built-in DDoS protection, and session recording. Jump boxes require VM management, security hardening, and manual audit logging. Bastion costs more but eliminates operational overhead and reduces attack surface.