Descripción de Azure Bastion

  • 6 minutos

Supongamos que ha configurado varias redes virtuales que usan una combinación de NSG e instancias de Azure Firewall para proteger y filtrar el acceso a los recursos, incluidas las máquinas virtuales (VM). Ahora está protegido contra amenazas externas, pero debe permitir a los desarrolladores y científicos de datos, que trabajan de forma remota, acceso directo a esas VM.

En un modelo tradicional, debe exponer los puertos del Protocolo de escritorio remoto (RDP) o Secure Shell (SSH) a Internet. Estos protocolos se pueden usar para obtener acceso remoto a las VM. Este proceso crea una amenaza de superficie significativa que los atacantes que buscan activamente máquinas accesibles con puertos de administración abiertos, como RDP o SSH, pueden explotar. Cuando se consigue poner en peligro a una máquina virtual, se usa como punto de entrada para atacar más recursos dentro de su entorno.

Azure Bastion

Azure Bastion es un servicio que se implementa que le permite conectarse a una máquina virtual mediante el explorador y Azure Portal. Azure Bastion es un nuevo servicio PaaS totalmente administrado por la plataforma que se aprovisiona en las redes virtuales. Azure Bastion proporciona conectividad RDP y SSH segura e ininterrumpida a las máquinas virtuales, directamente desde Azure Portal mediante la Seguridad de la capa de transporte (TLS). Cuando se conecta a través de Azure Bastion, las máquinas virtuales no necesitan una dirección IP pública, un agente ni software cliente especial.

Diagram showing how a user can make a remote desktop connection to an Azure VM using Azure Bastion.

Bastion proporciona conectividad segura de RDP y SSH a todas las VM en la red virtual y las redes virtuales emparejadas en la que se está aprovisionando. El uso de Azure Bastion protege las máquinas virtuales frente a la exposición de los puertos de RDP/SSH al mundo exterior, al tiempo que ofrece acceso seguro mediante RDP/SSH.

Por cada red virtual con soporte para emparejamiento de red virtual se lleva a cabo una implementación de Azure Bastion, y no por suscripción, cuenta o máquina virtual. Una vez que haya aprovisionado el servicio Azure Bastion en su red virtual, la experiencia RDP/SSH estará disponible para todas las máquinas virtuales de la misma red virtual y las redes virtuales emparejadas.

Beneficios clave de Azure Bastion

A continuación, se muestran las ventajas clave de Azure Bastion:

  • RDP y SSH directamente en Azure Portal: Puede ir a la sesión RDP y SSH en Azure Portal con una experiencia de un solo clic.
  • Sesión remota a través de TLS y cruce de firewall para RDP/SSH: desde Azure Portal, una conexión a la máquina virtual, abrirá un cliente web basado en HTML5 que se transmite automáticamente al dispositivo local. Obtendrá el Protocolo de escritorio remoto (RDP) y Secure Shell (SSH) para atravesar los firewalls corporativos de forma segura. La conexión se realiza de forma segura mediante el protocolo Seguridad de la capa de transporte (TLS) para establecer el cifrado.
  • No se requiere ninguna dirección IP pública en la VM de Azure: Azure Bastion abre la conexión RDP/SSH a la máquina virtual de Azure con la dirección IP privada en la VM. No necesita una IP pública.
  • No hay problemas de administración de los NSG: Un servicio PaaS de Azure de plataforma totalmente administrada que se refuerza internamente para proporcionar una conexión RDP/SSH segura. No es necesario que aplique ningún NSG en una subred de Azure Bastion.
  • Protección frente al examen de puertos: Ya no es necesario exponer las máquinas virtuales a Internet, las VM están protegidas contra la exploración de puertos por parte de usuarios malintencionados o no autorizados que se encuentran fuera de la red virtual.
  • Protección en un solo lugar frente a explotaciones de vulnerabilidades de día cero: Azure Bastion es un servicio PaaS totalmente administrado de plataforma. Dado que se encuentra en el perímetro de la red virtual, no es necesario preocuparse por proteger cada máquina virtual de la red virtual. La plataforma de Azure protege contra ataques de día cero manteniendo automáticamente el servicio Azure Bastion protegido y siempre actualizado.

Use Azure Bastion para establecer la conectividad RDP y SSH segura con las máquinas virtuales de Azure.

Azure Bastion tiene dos SKU disponibles, básica y estándar. Para obtener más información sobre las características disponibles en los SKU disponibles, consulte la documentación vinculada en la sección Más información de la unidad de resumen y recursos.