Cuándo usar Azure Bastion
En esta unidad, explorará los usos de Azure Bastion y determinará si es una opción adecuada para conectarse de forma segura a una máquina virtual remota. Evaluará Azure Bastion en función de los siguientes criterios:
- Seguridad
- Administrabilidad
- Integración con otras aplicaciones
Los administradores deben confiar en la administración remota para la administración y el mantenimiento de los recursos de Azure de una organización, entre los que se incluyen las máquinas virtuales y las aplicaciones instaladas en estas. Es importante tener en cuenta la capacidad de conectarse de forma segura a estos recursos y aplicaciones sin exponerlos a Internet. Puede usar Azure Bastion para conectarse de forma remota a las máquinas virtuales hospedadas y administrarlas sin exponer los puertos de administración a Internet. Algunos administradores han solucionado este requisito mediante el uso de servidores de salto, que a veces se denominan jumpboxes. En esta unidad, determinará si Azure Bastion puede reemplazar los jumpboxes como método para proporcionar acceso seguro a la administración remota.
Nota:
Un jumpbox es una máquina virtual de Azure con una dirección IP pública, a la que se puede acceder desde Internet.
En un escenario típico de jumpbox:
- Las máquinas virtuales de la organización se configuran solo con direcciones IP privadas y no se puede acceder directamente a ellas desde Internet.
- El jumpbox se implementa en la misma red virtual que las máquinas virtuales que los administradores quieren administrar de forma remota mediante RDP y SSH.
- Un grupo de seguridad de red (NSG) administra el flujo de tráfico de red entre Internet, el jumpbox y las máquinas virtuales de destino.
- Los administradores se conectan al jumpbox con RDP mediante la dirección IP pública.
Importante
Dado que se conecta al jumpbox con RDP en una dirección IP pública, la seguridad del jumpbox puede correr peligro.
El jumpbox es una máquina virtual que ejecuta un sistema operativo de servidor, por lo que debe hacer lo siguiente:
- Mantener la máquina virtual al día con revisiones y otras actualizaciones.
- Configurar los NSG adecuados para ayudar a proteger el flujo de tráfico dentro de la red virtual entre el jumpbox y las máquinas virtuales de destino.
Criterios de decisión
Para determinar si la mejor opción para administrar de forma remota los recursos de Azure de la organización es un jumpbox o Azure Bastion, considere la posibilidad de usar criterios como la seguridad, la facilidad de administración y la integración. A continuación analizamos estos criterios.
Criterios | Análisis |
---|---|
Seguridad | Azure Bastion no expone RDP/SSH en la dirección IP pública. A diferencia de un jumpbox, Azure Bastion solo admite conexiones protegidas por TLS desde Azure Portal. Con Azure Bastion, no es necesario configurar NSG para ayudar a proteger el flujo del tráfico. |
Facilidad de administración | Azure Bastion es un servicio PaaS totalmente administrado. No es una máquina virtual como un jumpbox, que requiere actualizaciones periódicas. No se requiere un cliente o un agente para usar Azure Bastion, ni tampoco aplicarle revisiones o actualizaciones. Tampoco es necesario instalar ni mantener ningún otro software en las consolas de administración. |
Integración | Puede integrar Azure Bastion con otros servicios de seguridad nativos en Azure, como Azure Firewall. Los servidores de salto no tienen esta opción. |
Nota:
Azure Bastion se implementa por red virtual (o red virtual emparejada), en lugar de por suscripción, cuenta o máquina virtual.
Aplicación de los criterios
Azure Bastion da solución al objetivo principal de habilitar la administración remota segura de máquinas virtuales hospedadas. Como servicio administrado, no es necesario actualizar Azure Bastion ni configurar manualmente los NSG y sus valores relacionados. Azure Bastion representa la mejor solución para habilitar la administración remota segura de máquinas virtuales hospedadas en Azure.
Considere la posibilidad de usar Azure Bastion si tiene que administrar máquinas virtuales remotas hospedadas en Azure y:
- Debe conectarse a dichas máquinas virtuales mediante RDP/SSH.
- No quiere conservar el método mediante el cual se conecta a estas máquinas virtuales remotas.
- No quiere configurar las opciones de NSG para habilitar la administración remota.
- Quiere evitar el uso de jumpboxes.
A la hora de determinar el número de hosts de Azure Bastion que se van a implementar, tenga en cuenta que necesita uno por cada red virtual (o red virtual emparejada). No tiene que implementar Azure Bastion por máquina virtual o subred.