Trabalhar com acesso NSG e Azure BastionWorking with NSG access and Azure Bastion

Ao trabalhar com a Azure Bastion, pode utilizar grupos de segurança de rede (NSGs).When working with Azure Bastion, you can use network security groups (NSGs). Para mais informações, consulte os Grupos de Segurança.For more information, see Security Groups.

NSG

Neste diagrama:In this diagram:

  • O hospedeiro Bastion está implantado na rede virtual.The Bastion host is deployed to the virtual network.
  • O utilizador liga-se ao portal Azure utilizando qualquer navegador HTML5.The user connects to the Azure portal using any HTML5 browser.
  • O utilizador navega para a máquina virtual Azure para RDP/SSH.The user navigates to the Azure virtual machine to RDP/SSH.
  • Connect Integration - Sessão RDP/SSH de clique único dentro do navegadorConnect Integration - Single-click RDP/SSH session inside the browser
  • Não é necessário um IP público no Azure VM.No public IP is required on the Azure VM.

Grupos de segurança de redeNetwork security groups

Esta secção mostra-lhe o tráfego de rede entre o utilizador e o Bastião Azure, e através de VMs de destino na sua rede virtual:This section shows you the network traffic between the user and Azure Bastion, and through to target VMs in your virtual network:

Importante

Se optar por utilizar um NSG com o seu recurso Azure Bastion, deve criar todas as seguintes regras de trânsito de entrada e saída.If you choose to use an NSG with your Azure Bastion resource, you must create all of the following ingress and egress traffic rules. Omitir qualquer uma das seguintes regras no seu NSG irá bloquear o seu recurso Azure Bastion de receber as atualizações necessárias no futuro e, portanto, abrir o seu recurso para futuras vulnerabilidades de segurança.Omitting any of the following rules in your NSG will block your Azure Bastion resource from receiving necessary updates in the future and therefore open up your resource to future security vulnerabilities.

AzureBastionSubnetAzureBastionSubnet

O Azure Bastion é implantado especificamente para a AzureBastionSubnet.Azure Bastion is deployed specifically to AzureBastionSubnet.

  • Tráfego ingresso:Ingress Traffic:

    • Tráfego ingresso da internet pública: O Bastião Azure criará um IP público que necessita do porto 443 habilitado no IP público para o tráfego de entrada.Ingress Traffic from public internet: The Azure Bastion will create a public IP that needs port 443 enabled on the public IP for ingress traffic. A porta 3389/22 NÃO é obrigada a ser aberta na AzureBastionSubnet.Port 3389/22 are NOT required to be opened on the AzureBastionSubnet.
    • Tráfego ingresso do avião de controlo Azure Bastion: Para a conectividade do plano de controlo, ative a porta 443 de entrada a partir da etiqueta de serviço GatewayManager.Ingress Traffic from Azure Bastion control plane: For control plane connectivity, enable port 443 inbound from GatewayManager service tag. Isto permite que o avião de controlo, isto é, o Gateway Manager possa falar com Azure Bastion.This enables the control plane, that is, Gateway Manager to be able to talk to Azure Bastion.
    • Tráfego ingresso do avião de dados de Azure Bastion: Para a comunicação de planos de dados entre os componentes subjacentes do Azure Bastion, ative as portas 8080, 5701 a entrar da etiqueta de serviço VirtualNetwork para a etiqueta de serviço VirtualNetwork.Ingress Traffic from Azure Bastion data plane: For data plane communication between the underlying components of Azure Bastion, enable ports 8080, 5701 inbound from the VirtualNetwork service tag to the VirtualNetwork service tag. Isto permite que os componentes de Azure Bastion falem uns com os outros.This enables the components of Azure Bastion to talk to each other.
    • Tráfego ingresso do Equilibrador de Carga Azure: Para as sondas de saúde, ative a porta 443 a partir da etiqueta de serviço AzureLoadBalancer.Ingress Traffic from Azure Load Balancer: For health probes, enable port 443 inbound from the AzureLoadBalancer service tag. Isto permite ao Azure Load Balancer detetar conectividadeThis enables Azure Load Balancer to detect connectivity

    A screenshot mostra regras de segurança de entrada para a conectividade Azure Bastion.

  • Tráfego de Egress:Egress Traffic:

    • Tráfego Egress para alvo VMs: Azure Bastion atingirá os VMs alvo em IP privado.Egress Traffic to target VMs: Azure Bastion will reach the target VMs over private IP. Os NSGs precisam de permitir o tráfego de saída para outras sub-redes VM alvo para as portas 3389 e 22.The NSGs need to allow egress traffic to other target VM subnets for port 3389 and 22.
    • Avião de dados do Tráfego Egress para Azure Bastion: Para a comunicação de planos de dados entre os componentes subjacentes do Azure Bastion, ative as portas 8080, 5701 saídas da etiqueta de serviço VirtualNetwork para a etiqueta de serviço VirtualNetwork.Egress Traffic to Azure Bastion data plane: For data plane communication between the underlying components of Azure Bastion, enable ports 8080, 5701 outbound from the VirtualNetwork service tag to the VirtualNetwork service tag. Isto permite que os componentes de Azure Bastion falem uns com os outros.This enables the components of Azure Bastion to talk to each other.
    • Tráfego Egress para outros pontos finais públicos em Azure: O Azure Bastion precisa de ser capaz de se ligar a vários pontos finais públicos dentro de Azure (por exemplo, para armazenar registos de diagnósticos e registos de medição).Egress Traffic to other public endpoints in Azure: Azure Bastion needs to be able to connect to various public endpoints within Azure (for example, for storing diagnostics logs and metering logs). Por esta razão, a Azure Bastion precisa de uma saída para a marca de serviço 443 para a AzureCloud.For this reason, Azure Bastion needs outbound to 443 to AzureCloud service tag.
    • Tráfego de Egress para a Internet: O Azure Bastion precisa de ser capaz de comunicar com a Internet para validação de sessão e certificado.Egress Traffic to Internet: Azure Bastion needs to be able to communicate with the Internet for session and certificate validation. Por esta razão, recomendamos permitir a entrada do porto 80 para a Internet.For this reason, we recommend enabling port 80 outbound to the Internet.

    A screenshot mostra regras de segurança de saída para a conectividade Azure Bastion.

Sub-rede VM alvoTarget VM Subnet

Esta é a sub-rede que contém a máquina virtual alvo a que pretende fazer RDP/SSH.This is the subnet that contains the target virtual machine that you want to RDP/SSH to.

  • Tráfego ingresso de Azure Bastion: Azure Bastion chegará ao VM alvo em vez de IP privado.Ingress Traffic from Azure Bastion: Azure Bastion will reach to the target VM over private IP. As portas RDP/SSH (portas 3389/22, respectivamente) precisam de ser abertas no lado alvo do VM em vez de IP privado.RDP/SSH ports (ports 3389/22 respectively) need to be opened on the target VM side over private IP. Como uma boa prática, pode adicionar o intervalo de endereço IP da Subnet Azure Bastion nesta regra para permitir que apenas Bastion possa abrir estas portas nos VMs-alvo na sub-rede VM alvo.As a best practice, you can add the Azure Bastion Subnet IP address range in this rule to allow only Bastion to be able to open these ports on the target VMs in your target VM subnet.

Passos seguintesNext steps

Para mais informações sobre O Azure Bastion, consulte as FAQ.For more information about Azure Bastion, see the FAQ.