¿Qué es Azure Bastion?
Es fundamental poder administrar de forma segura las máquinas virtuales hospedadas remotamente. Para empezar, definiremos en qué consiste la administración remota segura y, luego, revisaremos las características de Azure Bastion. Esta información general le ayuda a decidir si Azure Bastion es una buena opción para sus requisitos.
Definición de la administración remota segura
La administración remota segura es la capacidad de conectarse a un recurso remoto sin exponerlo a riesgos de seguridad. A veces, este tipo de conexión puede ser todo un reto, especialmente si se tiene acceso al recurso mediante Internet.
Cuando los administradores se conectan a máquinas virtuales remotas, suelen usar RDP o SSH para lograr sus objetivos administrativos. El problema es que, para conectarse a una máquina virtual hospedada, debe conectarse a su dirección IP pública. Pero es muy poco recomendable exponer a Internet los puertos IP usados por RDP y SSH (3389 y 22), ya que plantea riesgos de seguridad importantes.
Definición de Azure Bastion
Azure Bastion es una plataforma como servicio (PaaS) totalmente administrada que ayuda a proporcionar acceso de RDP y SSH seguro e ininterrumpido a las máquinas virtuales de Azure directamente mediante Azure Portal.
Azure Bastion:
- Está diseñado y configurado para resistir los ataques.
- Proporciona conectividad de RDP y SSH a las cargas de trabajo de Azure que hay detrás del bastión.
En la tabla siguiente, se describen las características que están disponibles después de implementar Azure Bastion.
| Prestación | Descripción |
|---|---|
| RDP y SSH mediante Azure Portal | Con un solo clic en Azure Portal, podrá ir directamente a la sesión RDP o SSH. |
| Sesión remota a través de TLS y cruce seguro de firewall para RDP/SSH | Azure Bastion usa un cliente web basado en HTML5 que se transmite automáticamente al dispositivo local. La sesión RDP o SSH se encuentra en el puerto 443 a través del protocolo TLS. Esto permite que el tráfico atraviese los firewalls de forma más segura. Bastion admite TLS 1.2 y versiones posteriores. No se admiten versiones anteriores de TLS. |
| No requiere que la máquina virtual de Azure disponga de una dirección IP pública | Azure Bastion abrirá la conexión RDP o SSH para la dirección IP privada de la máquina virtual de Azure. La máquina virtual no necesita una dirección IP pública. |
| Sin la complicación de administrar grupos de seguridad de red (NSG) | No es necesario que aplique ningún NSG en la subred de Azure Bastion. Dado que Azure Bastion se conecta a las máquinas virtuales a través de la dirección IP privada, puede configurar los NSG para permitir RDP o SSH solo desde Azure Bastion. De este modo se evita tener que administrar los NSG cada vez que necesite conectarse de forma segura a las máquinas virtuales. |
| No requiere administrar un host bastión independiente en una máquina virtual | Azure Bastion es un servicio PaaS de Azure de plataforma totalmente administrada que se refuerza internamente para proporcionar una conexión RDP/SSH segura. |
| Protección frente al examen de puertos | Las máquinas virtuales quedan protegidas contra la detección de puertos por parte de usuarios no autorizados y malintencionados, ya que no es necesario exponerlas a Internet. |
| Protección en un solo lugar | Azure Bastion se encuentra en el perímetro de la red virtual, por lo que no es necesario preocuparse por proteger cada una de las máquinas virtuales de la red virtual. |
| Protección frente a vulnerabilidades de seguridad de día cero | La plataforma de Azure protege contra ataques de día cero manteniendo automáticamente el servicio Azure Bastion protegido y siempre actualizado. |
Cómo evitar la exposición de puertos de administración remotos
Al implementar Azure Bastion, puede administrar las máquinas virtuales de Azure que se encuentran dentro de una red virtual de Azure configurada con RDP o SSH, sin necesidad de exponer esos puertos de administración a la red pública de Internet. Con Azure Bastion, puede hacer lo siguiente:
- Conectarse fácilmente a las máquinas virtuales de Azure. Conectar las sesiones de RDP y SSH directamente en Azure Portal.
- Evitar exponer puertos de administración a Internet. Iniciar sesión en las máquinas virtuales de Azure y evitar la exposición pública a Internet mediante SSH y RDP solo con direcciones IP privadas.
- Evitar una reconfiguración exhaustiva de la infraestructura de red existente. Integre y atraviese los firewalls y los perímetros de seguridad existentes mediante un cliente web moderno basado en HTML5 a través de TLS en el puerto 443.
- Simplificar el inicio de sesión. Usar las claves SSH para la autenticación al iniciar sesión en las máquinas virtuales de Azure.
Sugerencia
Puede guardar todas las claves privadas SSH en Azure Key Vault para permitir el almacenamiento de claves centralizado.