Share via

Plan para el acceso remoto a máquinas virtuales

  • Artículo

En este artículo se describen las instrucciones recomendadas para proporcionar acceso remoto a las máquinas virtuales (VM) implementadas en una arquitectura de zonas de aterrizaje de Azure.

Azure ofrece diferentes tecnologías para proporcionar acceso remoto a las VM:

  • Azure Bastion es una solución de plataforma como servicio (PaaS), para acceder a las VM a través de un explorador o la versión preliminar a través del cliente SSH/RDP nativo en las estaciones de trabajo de Windows.
  • El acceso Just-In-Time (JIT) se proporciona a través de Microsoft Defender for Cloud.
  • Opciones de conectividad híbrida, como Azure ExpressRoute y VPN
  • Dirección IP pública conectada directamente a la VM o a través de una regla NAT mediante un equilibrador de carga público de Azure.

La elección de la solución de acceso remoto más adecuada depende de factores como la escala, la topología y los requisitos de seguridad.

Consideraciones de diseño

  • Cuando esté disponible, puede usar la conectividad híbrida existente con redes virtuales de Azure a través de conexiones VPN de ExpressRoute o S2S/P2S para proporcionar acceso remoto desde el entorno local a las VM de Azure de Windows y Linux.
  • Los NSG se pueden usar para proteger las conexiones SSH/RDP a las máquinas virtuales de Azure.
  • JIT permite obtener acceso remoto de SSH/RDP a través de Internet sin tener que implementar ninguna otra infraestructura.
  • Hay algunas limitaciones de disponibilidad con el acceso JIT.
    • El acceso de JIT no se puede usar en las VM que protegen los firewalls de Azure controlados mediante Azure Firewall Manager.
  • Azure Bastion proporciona una capa de control adicional. Permite la conectividad RDP/SSH segura y fluida a lasVM directamente desde Azure Portal o el cliente nativo en versión preliminar a través de un canal TLS seguro. Azure Bastion también evita la necesidad de realizar una conectividad híbrida.
  • Elija la SKU de Azure Bastion adecuada para usarla en función de sus requisitos, tal como se describe en Acerca de las opciones de configuración de Azure Bastion.
  • Revise las preguntas más frecuentes sobre Azure Bastion para obtener respuestas a preguntas comunes que pueda tener sobre el servicio.
  • Azure Bastion se puede usar en la topología de Azure Virtual WAN, pero hay algunas limitaciones:
    • Azure Bastion no se puede implementar en un centro virtual de Virtual WAN.
    • Azure Bastion debe usar la SKU Standard y también la característica IP based connection debe estar habilitada en el recurso de Azure Bastion; consulte la documentación de conexión basada en IP de Azure Bastion.
    • Azure Bastion se puede implementar en cualquier red virtual radial conectada en una WAN virtual, para acceder a máquinas virtuales, en su propia red virtual o en otras redes virtuales que estén conectadas a la misma instancia de Virtual WAN, a través de sus eventos asociados, mediante conexiones de red virtual de Virtual WAN; siempre que el enrutamiento esté configurado correctamente.

Sugerencia

La conexión basada en IP de Azure Bastion también permite la conectividad con máquinas basadas en el entorno local, siempre que haya conectividad híbrida establecida entre el recurso de Azure Bastion y la máquina a la que se quiere hacer la conexión. Consulte, Conexión a una VM a través de la dirección IP privada especificada mediante el portal

Recomendaciones de diseño

  • Use la conectividad de ExpressRoute o VPN existente para proporcionar acceso remoto a las VM de Azure a las que se puede acceder desde el entorno local a través de conexiones de ExpressRoute o VPN.
  • En la topología de red basada en Virtual WAN, donde se requiere acceso remoto a Virtual Machines a través de Internet:
    • Azure Bastion se puede implementar en cada red virtual de radio de las máquinas virtuales respectivas.
    • O bien, puede optar por implementar una instancia centralizada de Azure Bastion en un solo radio en la topología de Virtual WAN, como se muestra en la figura 1. Esta configuración reduce el número de instancias de Azure Bastion que se administran en el entorno. Este escenario requiere que los usuarios que inicien sesión en Windows y las VM de Linux a través de Azure Bastion tengan un rol de lector en el recurso de Azure Bastion y en el radio elegido de la red virtual. Algunas implementaciones pueden tener consideraciones de seguridad o cumplimiento que restrinjan o impidan esto.
  • En la topología de red en estrella tipo hub-and-spoke, donde se requiere acceso remoto a Azure Virtual Machines a través de Internet:
    • Un único host de Azure Bastion se puede implementar en la red virtual del concentrador, que puede proporcionar conectividad a VM de Azure en redes virtuales radiales a través del emparejamiento de redes virtuales. Esta configuración reduce el número de instancias de Azure Bastion que se administran en el entorno. Este escenario requiere que los usuarios que inicien sesión en Windows y las VM de Linux a través de Azure Bastion tengan un rol de lector en el recurso de Azure Bastion y en la red virtual del centro. Algunas implementaciones pueden tener información sobre la seguridad o el cumplimiento. Vea la figura 2.
    • Es posible que el entorno no permita conceder a los usuarios el rol de control de acceso basado en roles (RBAC) del lector en el recurso de Azure Bastion y la red virtual del concentrador. Use la versión básica o estándar de Azure Bastion para proporcionar conectividad a las VM dentro de una red virtual radial. Implemente una instancia dedicada de Azure Bastion en cada red virtual radial que requiera acceso remoto. Vea la figura 3.
  • Configure reglas de NSG para proteger Azure Bastion y las VM a las que proporciona conectividad. Siga las instrucciones que se indican en Uso de VM y grupos de seguridad de red en Azure Bastion.
  • Configure los registros de diagnóstico de Azure Bastion que se enviarán al área de trabajo central de Log Analytics. Siga las instrucciones de Habilitación y uso de los registros de recursos de Azure Bastion.
  • Asegúrese de que las asignaciones de roles de RBAC necesarias se realizan para los usuarios o grupos que se conectan a las VM a través de Azure Bastion.
  • Si se conecta a las VM de Linux mediante SSH, use la característica de conexión mediante una clave privada almacenada en Azure Key Vault.
  • Implemente Azure Bastion y ExpressRoute o el acceso VPN para satisfacer necesidades específicas, como el acceso de emergencia.
  • No se recomienda el acceso remoto a las VM de Windows y Linux a través de direcciones IP públicas conectadas directamente a las VM. El acceso remoto nunca debe implementarse sin estrictas reglas de NSG y firewall.

Diagrama en el que se muestra la topología de Azure Virtual WAN.

Figura 1: Topología de Azure Virtual WAN.

Diagrama que muestra la topología en estrella tipo hub-and-spoke de Azure.

Figura 2: Topología en estrella de tipo hub-and-spoke de Azure.

Diagrama que muestra la topología de la red virtual independiente de Azure.

Figura 3: Topología de red virtual independiente de Azure.