O que é o Azure Bastion?

O Azure Bastion é um serviço que ao ser implantado permite que você se conecte a uma máquina virtual usando seu navegador e o portal do Azure. O serviço do Azure Bastion é um serviço PaaS totalmente gerenciado por plataforma que pode ser provisionado dentro de sua rede virtual. Ele fornece uma conectividade RDP/SSH segura e contínua para suas máquinas virtuais diretamente do portal do Azure via TLS. Ao se conectar por meio do Azure Bastion, suas máquinas virtuais não precisarão de um endereço IP público, nem de um agente e tampouco de um software cliente especial.

O Bastion fornece conectividade segura de RDP e SSH a todas as VMs na rede virtual em que ele é provisionado. O uso do Azure Bastion protege suas máquinas virtuais contra a exposição das portas RDP/SSH ao mundo externo, fornecendo acesso seguro usando o RDP/o SSH.

Arquitetura

A implantação do Azure Bastion é feita por rede virtual, não por assinatura/conta ou máquina virtual. Após você provisionar um serviço do Azure Bastion em sua rede virtual, a experiência de RDP/SSH é disponibilizada para todas as suas VMs na mesma rede virtual.

RDP e SSH são alguns dos meios fundamentais pelos quais você pode se conectar às suas cargas de trabalho em execução no Azure. A exposição de portas RDP/SSH pela Internet não é desejada e é vista como uma superfície de ameaça significativa. Isso costuma ocorrer devido a vulnerabilidades de protocolo. Para conter essa superfície de ameaça, você pode implantar hosts de bastiões (também conhecidos como jump-servers) no lado público de sua rede de perímetro. Os servidores de hosts de bastião são projetados e configurados para resistir a ataques. Os servidores de bastião também fornecem conectividade RDP e SSH às cargas de trabalho situadas atrás do bastião, bem como dentro da rede.

Arquitetura do Azure Bastion

Esta figura mostra a arquitetura de uma implantação do Azure Bastion. Neste diagrama:

  • O bastion host é implantado na rede virtual que contém a sub-rede AzureBastionSubnet que tem um prefixo mínimo /27.
  • O usuário se conecta ao portal do Azure usando qualquer navegador HTML5.
  • O usuário seleciona a máquina virtual a qual se conectar.
  • Com um único clique, a sessão RDP/SSH é aberta no navegador.
  • Nenhum IP público é necessário na VM do Azure.

Principais recursos

Os seguintes recursos estão disponíveis:

  • RDP e SSH diretamente no portal do Azure: Você pode obter acesso direto à sessão RDP e SSH no portal do Azure usando uma experiência perfeita de único clique.
  • Sessão remota sobre TLS e passagem de firewall para RDP/SSH: O Azure Bastion usa um cliente Web baseado em HTML5 que é automaticamente transmitido para o dispositivo local, de modo que você obtenha a sessão RDP/SSH via TLS na porta 443, permitindo atravessar firewalls corporativos com segurança.
  • Não é necessário IP público na VM do Azure: O Azure Bastion abre a conexão RDP/SSH com sua máquina virtual do Azure usando IP privado em sua VM. Você não precisa de um IP público na sua máquina virtual.
  • Sem problemas de gerenciamento de NSGs: O Azure Bastion é um serviço PaaS de plataforma totalmente gerenciado do Azure que é protegido internamente para fornecer conectividade RDP/SSH segura. Não é preciso aplicar qualquer NSG na sub-rede do Azure Bastion. Como o Azure Bastion se conecta às suas máquinas virtuais por IP privado, você pode configurar seus NSGs para permitir somente o RDP/SSH do Azure Bastion. Isso acaba com o trabalho de gerenciar NSGs cada vez que você precisa se conectar com segurança às suas máquinas virtuais.
  • Proteção contra a varredura de porta: Como você não precisa expor suas máquinas virtuais à Internet pública, suas VMs são protegidas contra a varredura de portas por usuários invasores e mal-intencionados localizados fora de sua rede virtual.
  • Protege contra explorações de dia zero. Proteção em um único lugar: o Azure Bastion é um serviço de PaaS totalmente gerenciado por plataforma. Como ele reside no perímetro de sua rede virtual, você não precisa se preocupar em proteger cada uma das máquinas virtuais da sua rede virtual. A plataforma Azure oferece proteção contra explorações de dia zero, mantendo o Azure Bastion protegido e sempre atualizado para você.

Novidades

Assine o RSS feed e veja as atualizações mais recentes dos recursos do Azure Bastion na página Atualizações do Azure.

Perguntas frequentes

Preciso de um IP público em minha máquina virtual para me conectar via Azure Bastion?

Não. Ao conectar-se a uma VM usando o Azure Bastion, não é preciso um IP público na máquina virtual do Azure a que você está se conectando. O serviço do Bastion abrirá o RDP/SSH/sessão/conexão para sua máquina virtual usando o IP privado da máquina virtual, dentro de sua rede virtual.

Há suporte para o IPv6?

No momento, não há suporte para o IPv6. O Azure Bastion só dá suporte ao IPv4.

Posso usar o Azure Bastion com as Zonas DNS Privado do Azure?

Não há suporte no momento para o uso do Azure Bastion com Zonas DNS Privadas do Azure. Antes de implantar seu recurso do Azure Bastion, verifique se a rede virtual do host não está vinculada a uma zona DNS privada.

Eu preciso de um cliente de RDP ou SSH?

Não. Você não precisa de um cliente de RDP ou SSH para acessar o RDP/SSH para sua máquina virtual do Azure no portal do Azure. Use o portal do Azure para ter acesso de RDP/SSH à sua máquina virtual diretamente no navegador.

Eu preciso ter um agente em execução na máquina virtual do Azure?

Não. Não é necessário instalar um agente ou um software no navegador ou na máquina virtual do Azure. O serviço do Bastion é sem agente e não requer software adicional para RDP/SSH.

Com quantas sessões de RDP e SSH simultâneas cada Azure Bastion é compatível?

RDP e SSH são protocolos baseados em uso. O alto uso de sessões fará com que o bastion host seja compatível com um número total de sessões menor. Os números abaixo presumem fluxos de trabalho normais do dia a dia.

Tipo de carga de trabalho* Limite**
Claro 100
Médio 50
Intenso 5

* Esses tipos de carga de trabalho são definidos aqui: Cargas de trabalho da Área de Trabalho Remota
**Esses limites se baseiam em testes de desempenho de RDP do Azure Bastion. Os números podem variar devido a outras sessões RDP em andamento ou a outras sessões SSH em andamento.

Quais recursos são compatíveis em uma sessão RDP?

Neste momento, apenas o recurso de copiar/colar texto é compatível. Recursos como cópia de arquivo não são compatíveis. Fique à vontade para compartilhar seus comentários sobre novos recursos na página Comentários sobre o Azure Bastion.

A proteção do Bastion funciona com VMs ingressadas na extensão da VM do AADJ?

Esse recurso não funciona com máquinas virtuais ingressadas na extensão da VM do AADJ usando usuários do Azure AD. Para obter mais informações, confira VMs do Microsoft Azure e Azure AD.

Quais navegadores são compatíveis?

O navegador deve oferecer suporte a HTML 5. Use o navegador Microsoft Edge ou o Google Chrome no Windows. Para o Apple Mac, use o navegador Google Chrome. O Microsoft Edge Chromium também é compatível com o Windows e o Mac, respectivamente.

Onde o Azure Bastion armazena dados do cliente?

O Azure Bastion não move nem armazena dados do cliente fora da região em que está implantado.

É necessário ter alguma função para acessar uma máquina virtual?

Para fazer uma conexão, são necessárias as seguintes funções:

  • Função de leitor na máquina virtual
  • Função de leitor na placa de interface de rede com endereço IP privado da máquina virtual
  • Função de leitor no recurso do Azure Bastion

Quais são os preços?

Para saber mais, confira a página de preço.

O Azure Bastion exige uma CAL para Serviços de Área de Trabalho Remota para fins administrativos em VMs hospedadas no Azure?

Não, o acesso às VMs do Windows Server pelo Azure Bastion não exige uma CAL para Serviços de Área de Trabalho Remota quando usado exclusivamente para fins administrativos.

Quais layouts de teclado têm suporte durante a sessão remota do Bastion?

Atualmente, o Azure Bastion dá suporte ao layout de teclado QWERTY em inglês dentro da VM. Estamos trabalhando para dar suporte a layouts de teclado de outras localidades.

As sub-redes do Azure Bastion tem suporte para UDR (roteamento definido pelo usuário)?

Não. As sub-redes do Azure Bastion não tem suporte para UDR.

Para cenários que incluem o Azure Bastion e o Firewall do Azure ou a NVA (solução de virtualização de rede) na mesma rede virtual, você não precisa forçar o tráfego de uma sub-rede do Azure Bastion para o Firewall do Azure, pois a comunicação entre o Azure Bastion e suas VMs é privada. Para saber mais, confira Acessar VMs por trás do Firewall do Azure com o Bastion.

Por que recebo a mensagem de erro "Sua sessão expirou" antes de iniciar a sessão do Bastion?

Uma sessão deve ser iniciada somente por meio do portal do Azure. Entre no portal do Azure e inicie sua sessão novamente. Se você acessar a URL diretamente em outra guia ou sessão do navegador, esse erro será esperado. Ele ajuda a garantir que sua sessão seja mais segura e que ela possa ser acessada somente por meio do portal do Azure.

Como faço para lidar com falhas de implantação?

Examine todas as mensagens de erro e gere uma solicitação de suporte no portal do Azure conforme necessário. As falhas de implantação podem resultar de Limites, cotas e restrições de assinatura do Azure. Especificamente, os clientes podem encontrar um limite no número de endereços IP públicos permitidos por assinatura que causam falha na implantação do Azure Bastion.

Como incorporo o Azure Bastion em meu plano de Recuperação de Desastre?

O Azure Bastion é implantado em VNets ou VNets emparelhadas e está associado a uma região do Azure. Você é responsável por implantar o Azure Bastion em uma VNet do site de DR (Recuperação de Desastre). No caso de uma falha de região do Azure, execute uma operação de failover para suas VMs na região de DR. Em seguida, use o host do Azure Bastion que é implantado na região de DR para se conectar às VMs que agora estão implantadas.

Próximas etapas