O que é o Azure Bastion?
O Azure Bastion é um serviço PaaS totalmente gerenciado que você provisiona para se conectar com segurança a máquinas virtuais por meio de endereço IP privado. Ele fornece conectividade RDP/SSH segura e contínua para suas máquinas virtuais diretamente por TLS a partir do portal do Azure ou por meio do cliente SSH ou RDP nativo já instalado em seu computador local. Quando se liga através do Azure Bastion, as máquinas virtuais não necessitam de um endereço IP público, agente ou software cliente especial.
Bastion fornece conectividade RDP e SSH segura para todas as VMs na rede virtual para a qual é provisionado. Usar o Azure Bastion protege suas máquinas virtuais contra a exposição de portas RDP/SSH para o mundo exterior, enquanto ainda fornece acesso seguro usando RDP/SSH.
Principais benefícios
| Benefício | Description |
|---|---|
| RDP e SSH através do portal do Azure | Você pode acessar a sessão RDP e SSH diretamente no portal do Azure usando uma experiência perfeita com um único clique. |
| Sessão remota sobre TLS e travessia de firewall para RDP/SSH | O Azure Bastion usa um cliente Web baseado em HTML5 que é transmitido automaticamente para seu dispositivo local. Sua sessão RDP/SSH é sobre TLS na porta 443. Isso permite que o tráfego atravesse firewalls com mais segurança. Bastion suporta TLS 1.2. Não há suporte para versões TLS mais antigas. |
| Nenhum endereço IP público necessário na VM do Azure | O Azure Bastion abre a conexão RDP/SSH com sua VM do Azure usando o endereço IP privado em sua VM. Você não precisa de um endereço IP público em sua máquina virtual. |
| Sem problemas de gerenciamento de NSGs (Network Security Groups, grupos de segurança de rede) | Não é necessário aplicar nenhum NSG à sub-rede do Azure Bastion. Como o Azure Bastion se conecta às suas máquinas virtuais por IP privado, você pode configurar seus NSGs para permitir RDP/SSH somente do Azure Bastion. Isso elimina o incômodo de gerenciar NSGs cada vez que você precisa se conectar com segurança às suas máquinas virtuais. Para obter mais informações sobre NSGs, consulte Grupos de segurança de rede. |
| Não há necessidade de gerenciar um host bastion separado em uma VM | O Azure Bastion é um serviço PaaS de plataforma totalmente gerenciado do Azure que é fortalecido internamente para fornecer conectividade RDP/SSH segura. |
| Proteção contra varredura de porta | Suas VMs estão protegidas contra a verificação de portas por usuários mal-intencionados e mal-intencionados porque você não precisa expor as VMs à Internet. |
| Endurecimento em um único lugar | O Azure Bastion fica no perímetro da sua rede virtual, portanto, você não precisa se preocupar em proteger cada uma das VMs em sua rede virtual. |
| Proteção contra exploits de dia zero | A plataforma Azure protege contra explorações de dia zero, mantendo o Bastião do Azure fortalecido e sempre atualizado para você. |
SKUs
O Azure Bastion oferece várias camadas de SKU. A tabela a seguir mostra os recursos e as SKUs correspondentes. Para obter mais informações sobre SKUs, consulte o artigo Definições de configuração .
| Caraterística | Desenvolvedor: SKU | SKU Básico | SKU Standard |
|---|---|---|---|
| Conectar-se a VMs de destino na mesma rede virtual | Sim | Sim | Sim |
| Conectar-se a VMs de destino em redes virtuais emparelhadas | Não | Sim | Sim |
| Suporte para conexões simultâneas | Não | Sim | Sim |
| Acessar chaves privadas de VM do Linux no Cofre de Chaves do Azure (AKV) | Não | Sim | Sim |
| Conectar-se à VM Linux usando SSH | Sim | Sim | Sim |
| Conectar-se à VM do Windows usando RDP | Sim | Sim | Sim |
| Conectar-se à VM Linux usando RDP | No | No | Sim |
| Conectar-se à VM do Windows usando SSH | No | No | Sim |
| Especificar porta de entrada personalizada | No | No | Sim |
| Conectar-se a VMs usando a CLI do Azure | No | No | Sim |
| Dimensionamento do host | No | No | Sim |
| Carregar ou descarregar ficheiros | No | No | Sim |
| Autenticação Kerberos | Não | Sim | Sim |
| Link compartilhável | No | No | Sim |
| Conectar-se a VMs via endereço IP | No | No | Sim |
| Saída de áudio VM | Sim | Sim | Sim |
| Desativar copiar/colar (clientes baseados na Web) | No | No | Sim |
Arquitetura
O Azure Bastion oferece várias arquiteturas de implantação, dependendo da SKU selecionada e das configurações de opção. Para a maioria das SKUs, Bastion é implantado em uma rede virtual e suporta emparelhamento de rede virtual. Especificamente, o Azure Bastion gerencia a conectividade RDP/SSH para VMs criadas nas redes virtuais locais ou emparelhadas.
RDP e SSH são alguns dos meios fundamentais através dos quais você pode se conectar às suas cargas de trabalho em execução no Azure. Expor portas RDP/SSH pela Internet não é desejado e é visto como uma superfície de ameaça significativa. Isto é muitas vezes devido a vulnerabilidades de protocolo. Para conter essa superfície de ameaça, você pode implantar hosts bastion (também conhecidos como jump-servers) no lado público da sua rede de perímetro. Os servidores host Bastion são projetados e configurados para resistir a ataques. Os servidores Bastion também fornecem conectividade RDP e SSH para as cargas de trabalho situadas atrás do bastião, bem como mais dentro da rede.
Diagrama: Bastião - SKU básico e superior
- O host Bastion é implantado na rede virtual que contém a sub-rede AzureBastionSubnet que tem um prefixo /26 mínimo.
- O usuário se conecta ao portal do Azure usando qualquer navegador HTML5.
- O usuário seleciona a máquina virtual à qual se conectar.
- Com um único clique, a sessão RDP/SSH é aberta no navegador.
- Para algumas configurações, o usuário pode se conectar à máquina virtual por meio do cliente nativo do sistema operacional.
- Nenhum IP público é necessário na VM do Azure.
Diagrama: Bastion - Desenvolvedor SKU
O Bastion Developer SKU é um SKU leve e gratuito. Essa SKU é ideal para usuários de desenvolvimento/teste que desejam se conectar com segurança a suas VMs, mas não precisam de recursos adicionais de bastião ou dimensionamento de host. Com a SKU do desenvolvedor, você pode se conectar a uma VM do Azure de cada vez diretamente por meio da página de conexão da máquina virtual.
Quando você implanta o Bastion usando a SKU do desenvolvedor, os requisitos de implantação são diferentes de quando você implanta usando outras SKUs. Normalmente, quando você cria um host bastion, um host é implantado na AzureBastionSubnet em sua rede virtual. O host Bastion é dedicado para seu uso. Quando você usa a SKU do desenvolvedor, um host bastion não é implantado em sua rede virtual e você não precisa de uma AzureBastionSubnet. No entanto, o host bastion SKU do desenvolvedor não é um recurso dedicado. Em vez disso, faz parte de uma piscina compartilhada.
Como o recurso bastião do Developer SKU não é dedicado, os recursos do Developer SKU são limitados. Consulte a seção SKU de definições de configuração Bastion para obter recursos por SKU. Você sempre pode atualizar o SKU do desenvolvedor para um SKU mais alto se precisar suportar mais recursos. Consulte Atualizar uma SKU.
Zonas de disponibilidade
Algumas regiões oferecem suporte à capacidade de implantar o Azure Bastion em uma zona de disponibilidade (ou várias, para redundância de zona). Para implantar zonalmente, implante o Bastion usando configurações especificadas manualmente (não implante usando as configurações padrão automáticas). Especifique as zonas de disponibilidade desejadas no momento da implantação. Não é possível alterar a disponibilidade zonal após a implantação do Bastion.
O suporte para zonas de disponibilidade está atualmente em pré-visualização. Durante a visualização, as seguintes regiões estão disponíveis:
- E.U.A. Leste
- Leste da Austrália
- E.U.A. Leste 2
- E.U.A. Central
- Catar Central
- Norte da África do Sul
- Europa Ocidental
- E.U.A. Oeste 2
- Europa do Norte
- Suécia Central
- Sul do Reino Unido
- Canadá Central
Dimensionamento do host
O Azure Bastion dá suporte ao dimensionamento manual de host. Você pode configurar o número de instâncias de host (unidades de escala) para gerenciar o número de conexões RDP/SSH simultâneas que o Azure Bastion pode suportar. Aumentar o número de instâncias de host permite que o Azure Bastion gerencie mais sessões simultâneas. Diminuir o número de instâncias diminui o número de sessões simultâneas suportadas. O Azure Bastion suporta até 50 instâncias de host. Esse recurso está disponível apenas para a SKU do Azure Bastion Standard.
Para obter mais informações, consulte o artigo Definições de configuração .
Preços
O preço do Azure Bastion é uma combinação de preços por hora com base em SKU e instâncias (unidades de escala), além de taxas de transferência de dados. O preço por hora começa a partir do momento em que o Bastion é implantado, independentemente do uso de dados de saída. Para obter as informações de preços mais recentes, consulte a página de preços do Azure Bastion.
Novidades?
Assine o feed RSS e veja as atualizações mais recentes do recurso do Azure Bastion na página Atualizações do Azure.
FAQ do Bastion
Para perguntas frequentes, consulte as Perguntas frequentes do Bastion.
Próximos passos
- Guia de início rápido: implantar o Bastion automaticamente - SKU básico
- Guia de início rápido: implantar o Bastion automaticamente - Developer SKU
- Tutorial: Implantar Bastion usando configurações especificadas
- Módulo de aprendizagem: Introdução ao Azure Bastion
- Saiba mais sobre alguns dos outros principais recursos de rede do Azure
- Saiba mais sobre a segurança de rede do Azure