¿Qué es Azure Bastion?
Azure Bastion es un servicio que se implementa que le permite conectarse a una máquina virtual mediante el explorador y Azure Portal. Azure Bastion es un nuevo servicio PaaS totalmente administrado por la plataforma que se aprovisiona en las redes virtuales. Proporciona una conectividad RDP/SSH segura e ininterrumpida a las máquinas virtuales directamente desde Azure Portal a través de TLS. Cuando se conecta a través de Azure Bastion, las máquinas virtuales no necesitan una dirección IP pública, un agente o software cliente especial.
Bastion proporciona conectividad segura de RDP y SSH a todas las máquinas virtuales de la red virtual en la que se aprovisiona. El uso de Azure Bastion protege las máquinas virtuales frente a la exposición de los puertos de RDP/SSH al mundo exterior, al tiempo que ofrece acceso seguro mediante RDP/SSH.
Ventajas principales
- RDP y SSH directamente en Azure Portal: puede ir directamente a la sesión RDP y SSH en Azure Portal con un solo clic y sin problemas.
- Sesión remota a través de TLS y recorrido del firewall para RDP/SSH: Azure Bastion usa un cliente web basado en HTML5 que se transmite automáticamente al dispositivo local. Obtiene la sesión RDP/SSH a través de TLS en el puerto 443, lo que le permite recorrer firewalls corporativos de forma segura.
- No se requiere ninguna dirección IP pública en la máquina virtual de Azure: Azure Bastion abre la conexión RDP/SSH a la máquina virtual de Azure con la dirección IP privada en la máquina virtual. No necesita una dirección IP pública en su máquina virtual.
- No hay problemas de administración de los grupos de seguridad de red (NSG) : Azure Bastion es un servicio PaaS de Azure de plataforma totalmente administrada que se refuerza internamente para proporcionar una conectividad RDP/SSH segura. No es necesario que aplique ningún NSG en la subred de Azure Bastion. Dado que Azure Bastion se conecta a las máquinas virtuales a través de la dirección IP privada, puede configurar los NSG para permitir RDP o SSH solo desde Azure Bastion. De este modo se evita tener que administrar los NSG cada vez que necesite conectarse de forma segura a las máquinas virtuales. Para más información sobre los grupos de seguridad de red, consulte Grupos de seguridad de red.
- Protección contra la exploración de puertos: ya que no es necesario exponer las máquinas virtuales a Internet pública, las máquinas virtuales están protegidas contra la exploración de puertos por parte de usuarios malintencionados o no autorizados que se encuentran fuera de la red virtual.
- Protección frente a explotaciones de día cero. Protección en un solo lugar: Azure Bastion es un servicio PaaS totalmente administrado de plataforma. Dado que se encuentra en el perímetro de la red virtual, no es necesario preocuparse por proteger cada una de las máquinas virtuales de la red virtual. La plataforma de Azure protege contra ataques de día cero manteniendo automáticamente el servicio Azure Bastion protegido y siempre actualizado.
SKU
Azure Bastion tiene dos SKU disponibles, básica y estándar. Para obtener más información, incluyendo cómo actualizar una SKU, consulte el artículo Parámetros de configuración.
En la tabla siguiente se muestran las características y las SKU correspondientes.
| Característica | SKU Básico | SKU Estándar |
|---|---|---|
| Conexión a máquinas virtuales de destino en redes virtuales emparejadas | Disponible | Disponible |
| Acceso a claves privadas de VM Linux en Azure Key Vault (AKV) | Disponible | Disponible |
| Escalado de host | N/D | Disponible |
| Especificación del puerto de entrada personalizado | N/D | Disponible |
| Conexión a una máquina virtual Linux mediante RDP | N/D | Disponible |
| Conexión mediante SSH a una máquina virtual Windows | N/D | Disponible |
Arquitectura
Azure Bastion se implementa en una red virtual y admite el emparejamiento de red virtual. En concreto, Azure Bastion administra la conectividad RDP/SSH con máquinas virtuales creadas en las redes virtuales locales o emparejadas.
RDP y SSH son algunos de los medios fundamentales a mediante los que puede conectarse a las cargas de trabajo que se ejecutan en Azure. La exposición de los puertos RDP/SSH a través de Internet no se conveniente y se considera una superficie de amenaza considerable. Esto suele deberse a las vulnerabilidades del protocolo. Para contener esta superficie de amenaza, puede implementar hosts de bastión (también conocidos como servidores de salto) en la parte pública de la red perimetral. Los servidores host de bastión están diseñados y configurados para resistir los ataques. Los servidores de bastión también proporcionan conectividad RDP y SSH con las cargas de trabajo que se encuentran detrás del bastión, así como más adentro en la red.
Esta ilustración muestra la arquitectura de una implementación de Azure Bastion. En este diagrama:
- El host bastión se implementa en la red virtual que contiene la subred AzureBastionSubnet que tiene un prefijo /26 mínimo.
- El usuario se conecta a Azure Portal con cualquier explorador HTML5.
- El usuario selecciona la máquina virtual a la que conectarse.
- Con un solo clic, la sesión RDP/SSH se abre en el explorador.
- No se requiere ninguna dirección IP pública en la máquina virtual de Azure.
Escalado de host
Azure Bastion admite el escalado de host manual. Puede configurar el número de instancias de host (unidades de escalado) para administrar el número de conexiones RDP/SSH simultáneas que Azure Bastion pueden admitir. Aumentar el número de instancias de host permite a Azure Bastion administrar más sesiones simultáneas. Al reducir el número de instancias, se reduce el número de sesiones admitidas simultáneas. Azure Bastion admite hasta 50 instancias de host. Esta característica solo está disponible para la SKU estándar de Azure Bastion.
Para más información, consulte el artículo Parámetros de configuración.
Precios
Los precios de Azure Bastion implican una combinación de precios por hora en función de la SKU, las unidades de escalado y las tasas de transferencia de datos. Puede encontrar más información sobre los precios en la página de precios.
Novedades
Suscríbase a la fuente RSS y vea las actualizaciones más recientes de las características de Azure Bastion en la página Actualizaciones de Azure.
Preguntas más frecuentes sobre Bastion
Para ver las preguntas más frecuentes, consulte las preguntas más frecuentes de Bastion.
Pasos siguientes
- Tutorial: Creación de un host Azure Bastion y conexión a una máquina virtual Windows.
- Módulo de Learn: Introducción a Azure Bastion.
- Obtenga información sobre las demás funcionalidades de red clave de Azure.