Partilhar via

Planear o acesso remoto à máquina virtual

  • Artigo

Este artigo descreve a documentação de orientação recomendada para fornecer acesso remoto a máquinas virtuais (VMs) implementadas numa arquitetura de zonas de destino do Azure.

O Azure oferece diferentes tecnologias para fornecer acesso remoto às VMs:

  • O Azure Bastion, uma solução de plataforma como serviço (PaaS), para aceder a VMs através de um browser ou atualmente em pré-visualização através do cliente SSH/RDP nativo nas estações de trabalho do Windows
  • Acesso just-in-time (JIT) fornecido através do Microsoft Defender para a Cloud
  • Opções de conectividade híbrida, como o Azure ExpressRoute e VPNs
  • IP público anexado diretamente à VM ou através de uma regra NAT através de um balanceador de carga público do Azure

A escolha da solução de acesso remoto mais adequada depende de fatores como dimensionamento, topologia e requisitos de segurança.

Considerações de design

  • Quando disponível, pode utilizar a conectividade híbrida existente às redes virtuais do Azure através de ligações VPN expressRoute ou S2S/P2S para fornecer acesso remoto a partir do local para VMs do Azure para Windows e Linux.
  • Os NSGs podem ser utilizados para proteger ligações SSH/RDP para VMs do Azure.
  • O JIT permite o acesso SSH/RDP remoto através da Internet sem ter de implementar qualquer outra infraestrutura.
  • Existem algumas limitações de disponibilidade com o acesso JIT.
    • O acesso JIT não pode ser utilizado para VMs protegidas por firewalls do Azure controladas pelo Azure Firewall Manager.
  • O Azure Bastion fornece uma camada adicional de controlo. Permite uma conectividade RDP/SSH segura e totalmente integrada às suas VMs diretamente a partir da portal do Azure ou cliente nativo em pré-visualização através de um canal TLS seguro. O Azure Bastion também anula a necessidade de conectividade híbrida.
  • Considere o SKU do Azure Bastion adequado para utilizar com base nos seus requisitos, conforme descrito em Acerca das definições de configuração do Azure Bastion.
  • Reveja as FAQ do Azure Bastion para obter respostas a perguntas comuns que possa ter sobre o serviço.
  • O Azure Bastion pode ser utilizado na topologia de WAN Virtual do Azure. No entanto, existem algumas limitações:
    • Não é possível implementar o Azure Bastion dentro de um hub virtual WAN Virtual.
    • O Azure Bastion tem de utilizar o Standard SKU e a IP based connection funcionalidade também tem de estar ativada no recurso do Azure Bastion. Veja a documentação de ligação baseada em IP do Azure Bastion
    • O Azure Bastion pode ser implementado em qualquer rede virtual spoke ligada num WAN Virtual, para aceder a Máquinas Virtuais, nas suas próprias redes virtuais ou noutras redes virtuais ligadas à mesma WAN Virtual, através dos respetivos hubs associados, através de WAN Virtual ligações de rede virtual; desde que o encaminhamento esteja configurado corretamente.

Dica

A ligação baseada em IP do Azure Bastion também permite a conectividade a máquinas baseadas no local, desde que exista conectividade híbrida estabelecida entre o recurso do Azure Bastion e o computador ao qual pretende ligar. Veja Ligar a uma VM através de um endereço IP privado especificado através do portal

Recomendações de conceção

  • Utilize a conectividade expressRoute ou VPN existente para fornecer acesso remoto às VMs do Azure que estão acessíveis a partir do local através do ExpressRoute ou das ligações VPN.
  • Numa topologia de rede baseada em WAN Virtual em que é necessário acesso remoto a Máquinas Virtuais através da Internet:
    • O Azure Bastion pode ser implementado em cada rede virtual spoke das respetivas VMs.
    • Em alternativa, pode optar por implementar uma instância centralizada do Azure Bastion num único spoke na sua topologia de WAN Virtual, conforme mostrado na Figura 1. Esta configuração reduz o número de instâncias do Azure Bastion a gerir no seu ambiente. Este cenário requer que os utilizadores que iniciam sessão em VMs do Windows e do Linux através do Azure Bastion tenham uma função de leitor no recurso do Azure Bastion e na rede virtual spoke escolhida. Algumas implementações podem ter considerações de segurança ou conformidade que restringem ou impedem esta situação.
  • Na topologia de rede hub-and-spoke, onde o acesso remoto ao Azure Máquinas Virtuais através da Internet é necessário:
    • Um único anfitrião do Azure Bastion pode ser implementado na rede virtual do hub, que pode fornecer conectividade às VMs do Azure em redes virtuais spoke através do peering de rede virtual. Esta configuração reduz o número de instâncias do Azure Bastion a gerir no seu ambiente. Este cenário requer que os utilizadores que iniciam sessão em VMs do Windows e do Linux através do Azure Bastion tenham uma função de leitor no recurso do Azure Bastion e na rede virtual do hub. Algumas implementações podem ter considerações de segurança ou conformidade. Veja a Figura 2.
    • O seu ambiente pode não permitir que os utilizadores concedam aos utilizadores a função de controlo de acesso baseado em funções (RBAC) do leitor no recurso do Azure Bastion e na rede virtual do hub. Utilize o Azure Bastion Basic ou Standard para fornecer conectividade a VMs numa rede virtual spoke. Implemente uma instância dedicada do Azure Bastion em cada rede virtual spoke que necessite de acesso remoto. Veja a Figura 3.
  • Configure regras do NSG para proteger o Azure Bastion e as VMs às quais fornece conectividade. Siga as orientações em Trabalhar com VMs e NSGs no Azure Bastion.
  • Configure os registos de diagnóstico do Azure Bastion para serem enviados para a área de trabalho central do Log Analytics. Siga as orientações em Ativar e trabalhar com os registos de recursos do Azure Bastion.
  • Confirme que as atribuições de funções RBAC necessárias são efetuadas para os utilizadores ou grupos que se ligam às VMs através do Azure Bastion.
  • Se ligar a VMs do Linux através de SSH, utilize a funcionalidade de ligação através de uma chave privada armazenada no Azure Key Vault.
  • Implemente o acesso do Azure Bastion e do ExpressRoute ou da VPN para responder a necessidades específicas, como o acesso de emergência ao break-glass.
  • O acesso remoto às VMs do Windows e do Linux através de IPs públicos diretamente ligados às VMs não é desencorajado. O acesso remoto nunca deve ser implementado sem regras estritas do NSG e firewall.

Diagrama que mostra a topologia da WAN virtual do Azure.

Figura 1: topologia de WAN Virtual do Azure.

Diagrama que mostra a topologia hub-and-spoke do Azure.

Figura 2: topologia hub-and-spoke do Azure.

Diagrama que mostra a topologia de rede virtual autónoma do Azure.

Figura 3: topologia de rede virtual autónoma do Azure.