O que é o Azure Bastion?
É vital ser capaz de administrar e gerenciar com segurança VMs hospedadas remotamente. Para começar, vamos definir o gerenciamento remoto seguro e, em seguida, revisar os recursos do Azure Bastion. Esta visão geral ajuda você a decidir se o Azure Bastion é adequado às suas necessidades.
O que é o gerenciamento remoto seguro?
O gerenciamento remoto seguro é a capacidade de se conectar a um recurso remoto sem expor esse recurso a riscos de segurança. Esse tipo de conexão às vezes pode ser desafiador, especialmente se o recurso estiver sendo acessado pela internet.
Quando os administradores se conectam a VMs remotas, eles normalmente usam RDP ou SSH para atingir suas metas administrativas. O problema é que, para se conectar a uma VM hospedada, você deve se conectar ao seu endereço IP público. No entanto, expor as portas IP utilizadas pelo RDP e SSH (3389 e 22) à Internet é altamente indesejável, porque apresenta riscos de segurança significativos.
Definição do Bastião do Azure
O Azure Bastion é uma plataforma como serviço (PaaS) totalmente gerenciada que ajuda a fornecer acesso RDP e SSH seguro e contínuo às suas VMs do Azure diretamente por meio do portal do Azure.
Azure Bastion:
- É projetado e configurado para resistir a ataques.
- Fornece conectividade RDP e SSH para suas cargas de trabalho do Azure atrás do bastião.
A tabela a seguir descreve os recursos que estão disponíveis após a implantação do Azure Bastion.
| Benefício | Description |
|---|---|
| RDP e SSH através do portal do Azure | Você pode acessar a sessão RDP e SSH diretamente no portal do Azure usando uma experiência perfeita com um único clique. |
| Sessão remota sobre TLS e travessia de firewall para RDP/SSH | O Azure Bastion usa um cliente Web baseado em HTML5 que é transmitido automaticamente para seu dispositivo local. Sua sessão RDP/SSH é sobre TLS na porta 443. Isso permite que o tráfego atravesse firewalls com mais segurança. Bastion suporta TLS 1.2 e superior. Não há suporte para versões TLS mais antigas. |
| Nenhum endereço IP público necessário na VM do Azure | O Azure Bastion abre a conexão RDP/SSH com sua VM do Azure usando o endereço IP privado em sua VM. Você não precisa de um endereço IP público em sua máquina virtual. |
| Sem problemas de gerenciamento de NSGs (Network Security Groups, grupos de segurança de rede) | Não é necessário aplicar nenhum NSG à sub-rede do Azure Bastion. Como o Azure Bastion se conecta às suas máquinas virtuais por IP privado, você pode configurar seus NSGs para permitir RDP/SSH somente do Azure Bastion. Isso elimina o incômodo de gerenciar NSGs sempre que você precisar se conectar com segurança às suas máquinas virtuais. |
| Não há necessidade de gerenciar um host bastion separado em uma VM | O Azure Bastion é um serviço PaaS de plataforma totalmente gerenciado do Azure que é fortalecido internamente para fornecer conectividade RDP/SSH segura. |
| Proteção contra varredura de porta | Suas VMs estão protegidas contra a verificação de portas por usuários mal-intencionados e mal-intencionados porque você não precisa expor as VMs à Internet. |
| Endurecimento em um único lugar | O Azure Bastion fica no perímetro da sua rede virtual, portanto, você não precisa se preocupar em proteger cada uma das VMs em sua rede virtual. |
| Proteção contra exploits de dia zero | A plataforma Azure protege contra explorações de dia zero, mantendo o Bastião do Azure fortalecido e sempre atualizado para você. |
Como evitar a exposição de portas de gerenciamento remoto
Ao implementar o Azure Bastion, você pode gerenciar as VMs do Azure em uma rede virtual do Azure configurada usando RDP ou SSH, sem precisar expor essas portas de gerenciamento à Internet pública. Usando o Azure Bastion, você pode:
- Conecte-se facilmente às suas VMs do Azure. Conecte suas sessões RDP e SSH diretamente no portal do Azure.
- Evite expor as portas de gerenciamento à Internet. Entre em suas VMs do Azure e evite a exposição pública à Internet usando SSH e RDP apenas com endereços IP privados.
- Evite a reconfiguração extensiva de sua infraestrutura de rede existente. Integre e percorra firewalls e perímetros de segurança existentes usando um cliente Web moderno baseado em HTML5 sobre TLS na porta 443.
- Simplifique o início de sessão. Use suas chaves SSH para autenticação ao entrar em suas VMs do Azure.
Gorjeta
Você pode salvar todas as suas chaves privadas SSH no Cofre de Chaves do Azure para dar suporte ao armazenamento centralizado de chaves.