O que é o Azure Bastion?What is Azure Bastion?

O serviço Azure Bastion é um novo serviço de PaaS, totalmente gerenciado pela plataforma e provisionado dentro de sua rede virtual.The Azure Bastion service is a new fully platform-managed PaaS service that you provision inside your virtual network. Ele fornece conectividade de RDP/SSH contínua e segura às suas máquinas virtuais, diretamente no portal do Azure, via TLS.It provides secure and seamless RDP/SSH connectivity to your virtual machines directly in the Azure portal over TLS. Quando você se conecta usando o Azure Bastion, suas máquinas virtuais não precisam de um endereço IP público.When you connect via Azure Bastion, your virtual machines do not need a public IP address.

O Bastion fornece conectividade segura de RDP e SSH a todas as VMs na rede virtual em que ele é provisionado.Bastion provides secure RDP and SSH connectivity to all of the VMs in the virtual network in which it is provisioned. O uso do Azure Bastion protege suas máquinas virtuais contra a exposição das portas RDP/SSH ao mundo externo, fornecendo acesso seguro usando o RDP/o SSH.Using Azure Bastion protects your virtual machines from exposing RDP/SSH ports to the outside world, while still providing secure access using RDP/SSH. Com o Azure Bastion, você se conecta à máquina virtual diretamente do portal do Azure.With Azure Bastion, you connect to the virtual machine directly from the Azure portal. Não é preciso um cliente, agente ou software adicional.You don't need an additional client, agent, or piece of software.

ArquiteturaArchitecture

A implantação do Azure Bastion é feita por rede virtual, não por assinatura/conta ou máquina virtual.Azure Bastion deployment is per virtual network, not per subscription/account or virtual machine. Após você provisionar um serviço do Azure Bastion em sua rede virtual, a experiência de RDP/SSH é disponibilizada para todas as suas VMs na mesma rede virtual.Once you provision an Azure Bastion service in your virtual network, the RDP/SSH experience is available to all your VMs in the same virtual network.

RDP e SSH são alguns dos meios fundamentais pelos quais você pode se conectar às suas cargas de trabalho em execução no Azure.RDP and SSH are some of the fundamental means through which you can connect to your workloads running in Azure. A exposição de portas RDP/SSH pela Internet não é desejada e é vista como uma superfície de ameaça significativa.Exposing RDP/SSH ports over the Internet isn't desired and is seen as a significant threat surface. Isso costuma ocorrer devido a vulnerabilidades de protocolo.This is often due to protocol vulnerabilities. Para conter essa superfície de ameaça, você pode implantar hosts de bastiões (também conhecidos como jump-servers) no lado público de sua rede de perímetro.To contain this threat surface, you can deploy bastion hosts (also known as jump-servers) at the public side of your perimeter network. Os servidores de hosts de bastião são projetados e configurados para resistir a ataques.Bastion host servers are designed and configured to withstand attacks. Os servidores de bastião também fornecem conectividade RDP e SSH às cargas de trabalho situadas atrás do bastião, bem como dentro da rede.Bastion servers also provide RDP and SSH connectivity to the workloads sitting behind the bastion, as well as further inside the network.

Arquitetura

Esta figura mostra a arquitetura de uma implantação do Azure Bastion.This figure shows the architecture of an Azure Bastion deployment. Neste diagrama:In this diagram:

  • O host Bastion é implantado na rede virtual.The Bastion host is deployed in the virtual network.
  • O usuário se conecta ao portal do Azure usando qualquer navegador HTML5.The user connects to the Azure portal using any HTML5 browser.
  • O usuário seleciona a máquina virtual a qual se conectar.The user selects the virtual machine to connect to.
  • Com um único clique, a sessão RDP/SSH é aberta no navegador.With a single click, the RDP/SSH session opens in the browser.
  • Nenhum IP público é necessário na VM do Azure.No public IP is required on the Azure VM.

Principais recursosKey features

Os seguintes recursos estão disponíveis:The following features are available:

  • RDP e SSH diretamente no portal do Azure: Você pode obter acesso direto à sessão RDP e SSH no portal do Azure usando uma experiência perfeita de único clique.RDP and SSH directly in Azure portal: You can directly get to the RDP and SSH session directly in the Azure portal using a single click seamless experience.
  • Sessão remota sobre TLS e passagem de firewall para RDP/SSH: O Azure Bastion usa um cliente Web baseado em HTML5 que é automaticamente transmitido para o dispositivo local, de modo que você obtenha a sessão RDP/SSH via TLS na porta 443, permitindo atravessar firewalls corporativos com segurança.Remote Session over TLS and firewall traversal for RDP/SSH: Azure Bastion uses an HTML5 based web client that is automatically streamed to your local device, so that you get your RDP/SSH session over TLS on port 443 enabling you to traverse corporate firewalls securely.
  • Não é necessário IP público na VM do Azure: O Azure Bastion abre a conexão RDP/SSH com sua máquina virtual do Azure usando IP privado em sua VM.No Public IP required on the Azure VM: Azure Bastion opens the RDP/SSH connection to your Azure virtual machine using private IP on your VM. Você não precisa de um IP público na sua máquina virtual.You don't need a public IP on your virtual machine.
  • Sem problemas de gerenciamento de NSGs: O Azure Bastion é um serviço PaaS de plataforma totalmente gerenciado do Azure que é protegido internamente para fornecer conectividade RDP/SSH segura.No hassle of managing NSGs: Azure Bastion is a fully managed platform PaaS service from Azure that is hardened internally to provide you secure RDP/SSH connectivity. Não é preciso aplicar qualquer NSG na sub-rede do Azure Bastion.You don't need to apply any NSGs on Azure Bastion subnet. Como o Azure Bastion se conecta às suas máquinas virtuais por IP privado, você pode configurar seus NSGs para permitir somente o RDP/SSH do Azure Bastion.Because Azure Bastion connects to your virtual machines over private IP, you can configure your NSGs to allow RDP/SSH from Azure Bastion only. Isso acaba com o trabalho de gerenciar NSGs cada vez que você precisa se conectar com segurança às suas máquinas virtuais.This removes the hassle of managing NSGs each time you need to securely connect to your virtual machines.
  • Proteção contra a varredura de porta: Como você não precisa expor suas máquinas virtuais à Internet pública, suas VMs são protegidas contra a varredura de portas por usuários invasores e mal-intencionados localizados fora de sua rede virtual.Protection against port scanning: Because you do not need to expose your virtual machines to public Internet, your VMs are protected against port scanning by rogue and malicious users located outside your virtual network.
  • Protege contra explorações de dia zero. Proteção em um único lugar: o Azure Bastion é um serviço de PaaS totalmente gerenciado por plataforma.Protect against zero-day exploits. Hardening in one place only: Azure Bastion is a fully platform-managed PaaS service. Como ele reside no perímetro de sua rede virtual, você não precisa se preocupar em proteger cada uma das máquinas virtuais da sua rede virtual.Because it sits at the perimeter of your virtual network, you don’t need to worry about hardening each of the virtual machines in your virtual network. A plataforma Azure oferece proteção contra explorações de dia zero, mantendo o Azure Bastion protegido e sempre atualizado para você.The Azure platform protects against zero-day exploits by keeping the Azure Bastion hardened and always up to date for you.

Perguntas frequentesFAQ

Quais regiões estão disponíveis?Which regions are available?

Observação

Estamos trabalhando intensamente para adicionar outras regiões.We are working hard to add additional regions. Quando uma região é adicionada, ela é adicionada a esta lista.When a region is added, we will add it to this list.

AméricasAmericas

  • Sul do BrasilBrazil South
  • Canadá CentralCanada Central
  • Centro dos EUACentral US
  • Leste dos EUAEast US
  • Leste dos EUA 2East US 2
  • Centro-Norte dos EUANorth Central US
  • Centro-Sul dos Estados UnidosSouth Central US
  • Centro-Oeste dos EUAWest Central US
  • Oeste dos EUAWest US
  • Oeste dos EUA 2West US 2

EuropaEurope

  • França CentralFrance Central
  • Norte da EuropaNorth Europe
  • Leste da NoruegaNorway East
  • Oeste da NoruegaNorway West
  • Norte da SuíçaSwitzerland North
  • Sul do Reino UnidoUK South
  • Oeste do Reino UnidoUK West
  • Europa OcidentalWest Europe

Pacífico AsiáticoAsia Pacific

  • Austrália Central 2Australia Central 2
  • Leste da AustráliaAustralia East
  • Sudeste da AustráliaAustralia Southeast
  • Leste da ÁsiaEast Asia
  • Leste do JapãoJapan East
  • Oeste do JapãoJapan West
  • Coreia CentralKorea Central
  • Sul da CoreiaKorea South
  • Sudeste AsiáticoSoutheast Asia
  • Índia CentralCentral India
  • Oeste da ÍndiaWest India

Oriente Médio e ÁfricaMiddle East and Africa

  • Norte da África do SulSouth Africa North
  • EAU CentralUAE Central

Azure GovernamentalAzure Government

  • DoD Central dos EUAUS DoD Central
  • DoD do Leste dos EUAUS DoD East
  • Governo dos EUA do ArizonaUS Gov Arizona
  • US Gov IowaUS Gov Iowa
  • Governo dos EUA do TexasUS Gov Texas
  • Gov. dos EUA – VirgíniaUS Gov Virginia

Azure China:Azure China

  • Norte da China 2China North 2

É necessário ter um IP público em minha máquina virtual?Do I need a public IP on my virtual machine?

Ao conectar-se a uma VM usando o Azure Bastion, NÃO é preciso um IP público na Máquina Virtual do Azure a que você está se conectando.When you connect to a VM using Azure Bastion, you do NOT need a public IP on the Azure Virtual Machine that you are connecting to. O serviço do Bastion abrirá o RDP/SSH/sessão/conexão para sua máquina virtual usando o IP privado da máquina virtual, dentro de sua rede virtual.The Bastion service will open the RDP/SSH session/connection to your virtual machine over the private IP of your virtual machine, within your virtual network.

Há suporte para o IPv6?Is IPv6 supported?

No momento, não há suporte para o IPv6.At this time, IPv6 is not supported. O Azure Bastion só dá suporte ao IPv4.Azure Bastion supports IPv4 only.

Eu preciso de um cliente de RDP ou SSH?Do I need an RDP or SSH client?

Você não precisa de um cliente de RDP ou SSH para acessar o RDP/SSH para sua máquina virtual do Azure no portal do Azure.You do not need an RDP or SSH client to access the RDP/SSH to your Azure virtual machine in your Azure portal. Use o portal do Azure para ter acesso de RDP/SSH à sua máquina virtual diretamente no navegador.Use the Azure portal to let you get RDP/SSH access to your virtual machine directly in the browser.

Eu preciso ter um agente em execução na máquina virtual do Azure?Do I need an agent running in the Azure virtual machine?

Não é necessário instalar um agente ou um software no navegador ou na máquina virtual do Azure.You don't need to install an agent or any software on your browser or your Azure virtual machine. O serviço do Bastion é sem agente e não requer software adicional para RDP/SSH.The Bastion service is agentless and does not require any additional software for RDP/SSH.

Com quantas sessões de RDP e SSH simultâneas cada Azure Bastion é compatível?How many concurrent RDP and SSH sessions does each Azure Bastion support?

RDP e SSH são protocolos baseados em uso.Both RDP and SSH are a usage-based protocol. O alto uso de sessões fará com que o bastion host seja compatível com um número total de sessões menor.High usage of sessions will cause the bastion host to support a lower total number of sessions. Os números abaixo presumem fluxos de trabalho normais do dia a dia.The numbers below assume normal day-to-day workflows.

RecursoResource LimiteLimit
Conexões RDP simultâneasConcurrent RDP connections 25*25*
Conexões SSH simultâneasConcurrent SSH connections 50**50**

*Pode variar devido a outras sessões RDP em andamento ou a outras sessões SSH em andamento.*May vary due to other on-going RDP sessions or other on-going SSH sessions.
**Poderá variar se houver conexões RDP ou uso de outras sessões SSH em andamento.**May vary if there are existing RDP connections or usage from other on-going SSH sessions.

Quais recursos são compatíveis em uma sessão RDP?What features are supported in an RDP session?

Neste momento, apenas o recurso de copiar/colar texto é compatível.At this time, only text copy/paste is supported. Recursos como cópia de arquivo não são compatíveis.Features such as file copy are not supported. Fique à vontade para compartilhar seus comentários sobre novos recursos na página Comentários sobre o Azure Bastion.Please feel free to share your feedback about new features on the Azure Bastion Feedback page.

Quais navegadores são compatíveis?Which browsers are supported?

Use o navegador Microsoft Edge ou o Google Chrome no Windows.Use the Microsoft Edge browser or Google Chrome on Windows. Para o Apple Mac, use o navegador Google Chrome.For Apple Mac, use Google Chrome browser. O Microsoft Edge Chromium também é compatível com o Windows e o Mac, respectivamente.Microsoft Edge Chromium is also supported on both Windows and Mac, respectively.

Onde o Azure bastiões armazena dados do cliente?Where does Azure Bastion store customer data?

A bastiões do Azure não move nem armazena os dados do cliente fora da região em que ele está implantado.Azure Bastion doesn't move or store customer data out of the region it is deployed in.

É necessário ter alguma função para acessar uma máquina virtual?Are any roles required to access a virtual machine?

Para fazer uma conexão, são necessárias as seguintes funções:In order to make a connection, the following roles are required:

  • Função de leitor na máquina virtualReader role on the virtual machine
  • Função de leitor na placa de interface de rede com endereço IP privado da máquina virtualReader role on the NIC with private IP of the virtual machine
  • Função de leitor no recurso do Azure BastionReader role on the Azure Bastion resource

Quais são os preços?What is the pricing?

Para saber mais, confira a página de preço.For more information, see the pricing page.

O Azure Bastion exige uma CAL para Serviços de Área de Trabalho Remota para fins administrativos em VMs hospedadas no Azure?Does Azure Bastion require an RDS CAL for administrative purposes on Azure-hosted VMs?

Não, o acesso às VMs do Windows Server pelo Azure Bastion não exige uma CAL para Serviços de Área de Trabalho Remota quando usado exclusivamente para fins administrativos.No, access to Windows Server VMs by Azure Bastion does not require an RDS CAL when used solely for administrative purposes.

Quais layouts de teclado têm suporte durante a sessão remota do Bastion?What keyboard layouts are supported during the Bastion remote session?

Atualmente, o Azure Bastion dá suporte ao layout de teclado QWERTY em inglês dentro da VM.Azure Bastion currently supports en-us-qwerty keyboard layout inside the VM. Estamos trabalhando para dar suporte a layouts de teclado de outras localidades.Support for other locales for keyboard layout is work in progress.

As sub-redes do Azure Bastion tem suporte para UDR (roteamento definido pelo usuário)?Is user-defined routing (UDR) supported on an Azure Bastion subnet?

Não.No. As sub-redes do Azure Bastion não tem suporte para UDR.UDR is not supported on an Azure Bastion subnet. Para cenários que incluem o Azure Bastion e o Firewall do Azure ou a NVA (solução de virtualização de rede) na mesma rede virtual, você não precisa forçar o tráfego de uma sub-rede do Azure Bastion para o Firewall do Azure, pois a comunicação entre o Azure Bastion e suas VMs é privada.For scenarios that include both Azure Bastion and Azure Firewall/Network Virtual Appliance (NVA) in the same virtual network, you don’t need to force traffic from an Azure Bastion subnet to Azure Firewall because the communication between Azure Bastion and your VMs is private. Para saber mais, confira Acessar VMs por trás do Firewall do Azure com o Bastion.For more information, see Accessing VMs behind Azure Firewall with Bastion.

Por que recebo a mensagem de erro "Sua sessão expirou" antes de iniciar a sessão do Bastion?Why do I get "Your session has expired" error message before the Bastion session starts?

Uma sessão deve ser iniciada somente por meio do portal do Azure.A session should be initiated only from the Azure portal. Entre no portal do Azure e inicie sua sessão novamente.Sign in to the Azure portal and begin your session again. Se você acessar a URL diretamente em outra guia ou sessão do navegador, esse erro será esperado.If you go to the URL directly from another browser session or tab, this error is expected. Ele ajuda a garantir que sua sessão seja mais segura e que ela possa ser acessada somente por meio do portal do Azure.It helps ensure that your session is more secure and that the session can be accessed only through the Azure portal.

Como faço para lidar com falhas de implantação?How do I handle deployment failures?

Examine todas as mensagens de erro e gere uma solicitação de suporte no portal do Azure conforme necessário.Review any error messages and raise a support request in the Azure portal as needed. As falhas de implantação podem resultar de Limites, cotas e restrições de assinatura do Azure.Deployment failures may result from Azure subscription limits, quotas and constraints. Especificamente, os clientes podem encontrar um limite no número de endereços IP públicos permitidos por assinatura que causam falha na implantação do Azure Bastion.Specifically, customers may encounter a limit on the number of public IP addresses allowed per subscription that causes the Azure Bastion deployment to fail.

Próximas etapasNext steps