Trabalhar com acesso NSG e Azure Bastion

Ao trabalhar com a Azure Bastion, pode utilizar grupos de segurança de rede (NSGs). Para mais informações, consulte os Grupos de Segurança.

NSG

Neste diagrama:

  • O hospedeiro Bastion está implantado na rede virtual.
  • O utilizador liga-se ao portal do Azure utilizando qualquer navegador HTML5.
  • O utilizador navega para a máquina virtual Azure para RDP/SSH.
  • Integração Ligação - Sessão RDP/SSH de clique único dentro do navegador
  • Não é necessário um IP público no Azure VM.

Grupos de segurança de rede

Esta secção mostra-lhe o tráfego de rede entre o utilizador e o Bastião Azure, e através de VMs de destino na sua rede virtual:

Importante

Se optar por utilizar um NSG com o seu recurso Azure Bastion, deve criar todas as seguintes regras de trânsito de entrada e saída. Omitir qualquer uma das seguintes regras no seu NSG irá bloquear o seu recurso Azure Bastion de receber as atualizações necessárias no futuro e, portanto, abrir o seu recurso para futuras vulnerabilidades de segurança.

AzureBastionSubnet

O Azure Bastion é implantado especificamente para a AzureBastionSubnet.

  • Tráfego ingress:

    • Tráfego ingresso da internet pública: O Bastião Azure criará um IP público que necessita do porto 443 habilitado no IP público para o tráfego de entrada. A porta 3389/22 não é obrigada a ser aberta na AzureBastionSubnet. Note que a fonte pode ser a Internet ou um conjunto de endereços IP públicos que você especifica.
    • Tráfego ingresso do avião de controlo Azure Bastion: Para a conectividade do plano de controlo, ative a porta 443 a partir da etiqueta de serviço GatewayManager . Isto permite que o avião de controlo, isto é, o Gateway Manager possa falar com Azure Bastion.
    • Tráfego ingresso do avião de dados de Azure Bastion: Para a comunicação de planos de dados entre os componentes subjacentes do Azure Bastion, permita que as portas 8080, 5701 entre a etiqueta de serviço virtualNetwork e a etiqueta de serviço VirtualNetwork . Isto permite que os componentes de Azure Bastion falem uns com os outros.
    • Tráfego de entrada de Balanceador de Carga do Azure: Para sondas de saúde, ative a entrada da porta 443 a partir da etiqueta de serviço AzureLoadBalancer. Isto permite que Balanceador de Carga do Azure detetem conectividade

    Screenshot shows inbound security rules for Azure Bastion connectivity.

  • Tráfego Egress:

    • Egress Tráfego para alvo VMs: Azure Bastion chegará ao alvo VMs em vez de IP privado. Os NSGs precisam de permitir o tráfego de saída para outras sub-redes VM alvo para as portas 3389 e 22. Se estiver a utilizar a funcionalidade de porta personalizada como parte do Standard SKU, os NSGs terão, em vez disso, de permitir o tráfego de saídas para outras sub-redes VM alvo para os valores(s) personalizados que abriu nos seus VMs-alvo.
    • Egress Plano de dados de Tráfego para Azure Bastion: Para comunicação de planos de dados entre os componentes subjacentes do Azure Bastion, permita as portas 8080,5701 saídas da etiqueta de serviço VirtualNetwork para a etiqueta de serviço VirtualNetwork. Isto permite que os componentes de Azure Bastion falem uns com os outros.
    • Egress Tráfego para outros pontos finais públicos em Azure: Azure Bastion precisa de ser capaz de se conectar a vários pontos finais públicos dentro de Azure (por exemplo, para armazenar registos de diagnósticos e registos de medição). Por esta razão, a Azure Bastion precisa de uma saída para a marca de serviço 443 para a AzureCloud .
    • Egress Tráfego para a Internet: Azure Bastion precisa de ser capaz de comunicar com a Internet para validação de sessão e certificado. Por esta razão, recomendamos permitir a entrada do porto 80 para a Internet.

    Screenshot shows outbound security rules for Azure Bastion connectivity.

Sub-rede VM alvo

Esta é a sub-rede que contém a máquina virtual alvo a que pretende fazer RDP/SSH.

  • Tráfego ingresso do Bastião Azure: Azure Bastion chegará ao VM alvo em vez de IP privado. As portas RDP/SSH (portas 3389/22, respectivamente, ou valores de porta personalizados se estiver a utilizar a função de porta personalizada como parte do Standard SKU) devem ser abertas no lado alvo VM em vez de IP privado. Como uma boa prática, pode adicionar a gama de endereços IP da Subnet Azure Bastion nesta regra para permitir que apenas Bastion possa abrir estas portas nos VM alvo na sub-rede VM alvo.

Passos seguintes

Para mais informações sobre Azure Bastion, consulte as FAQ.