微软释出堡垒主机服务Azure BastionVM不用公共IP也能以RDP和SSH连接

微软为Azure虚拟机器使用者提供堡垒主机（Bastion Host）服务Azure Bastion预览，用户不需要因为想要使用远端桌面协定（Remote Desktop Protocol，RDP）或是SSH连接，就将虚拟机器的IP位置暴露在公共网路，现在用户可以透过Azure Bastion使用RDP和SSH操作虚拟机器。

Azure Bastion是一个全新託管PaaS服务，提供堡垒主机即服务，用户以浏览器并在Azure Portal上设定，无需管理网路安全政策，就能透过SSL无缝地使用RDP和SSH连接到虚拟机器。微软表示，部署独立专用的跳转服务，通常需要进行手动操作，使用基于IaaS的特殊解决方案，像是RDS（Remote Desktop Services）闸道器、身份验证配置、安全政策以及存取控制列表等，而使用Azure Bastion，则为用户省去了这些繁琐的设定与管理工作。

目前预览版Azure Bastion主要的功能，除了用户可以直接在Azure Portal启动Azure Bastion服务，让用户以SSL使用RDP和SSH连接，Azure虚拟机器不需要使用公共IP，以避免基础设施暴露在公共网际网路外，网页客户端也会自动串流到用户的本机端装置，在连接埠442以SSL提供RDP和SSH对话，这将能够简单且安全的穿越企业防火墙，另外，Azure Bastion也强化了连接埠的保护，避免外部安全威胁扫描虚拟机器连接埠。

微软也预告，未来Azure Bastion会与Azure Active Directory整合，让用户使用SSO以及多因素身份验证，而微软也会支援原生RDP和SSH客户端应用程式，在安全性上，他们会加入完整的录影功能，方便管理者审核连线。