Compartilhar via

Usar o Azure Bastion para acesso remoto de máquina virtual

  • Artigo

A solução de acesso remoto escolhida depende de fatores como escala, topologia e requisitos de segurança. Este artigo descreve como fornecer acesso remoto a VMs (máquinas virtuais) implantadas em uma arquitetura de zona de destino do Azure. Essa orientação se concentra no Azure Bastion para acesso remoto.

O Azure oferece tecnologias que funcionam em conjunto para facilitar o acesso remoto altamente seguro a máquinas virtuais:

  • O Azure Bastion é uma solução de PaaS (plataforma como serviço) que você pode usar para acessar VMs por meio de um navegador ou por meio do cliente SSH ou RDP nativo em estações de trabalho do Windows.

  • O acesso just-in-time (JIT) é fornecido por meio do Microsoft Defender para Nuvem.

  • Opções de conectividade híbrida, como o Azure ExpressRoute e VPNs.

  • Um IP público anexado diretamente à VM ou por meio de uma regra NAT por meio de um balanceador de carga público do Azure.

Considerações sobre design

  • Quando disponível, você pode usar a conectividade híbrida existente para redes virtuais do Azure por meio de ExpressRoute ou conexões VPN S2S e P2S para fornecer acesso remoto de ambientes locais para máquinas virtuais Windows e Linux no Azure.

  • Os NSGs (grupos de segurança de rede) podem ser usados para proteger conexões SSH e RDP com VMs do Azure.

  • O JIT permite acesso remoto de SSH e RDP pela Internet sem precisar implantar nenhuma outra infraestrutura para VMs com suporte. O JIT dá suporte a:

    • VMs implantadas por meio do Azure Resource Manager.
    • VMs implantadas com modelos de implantação clássicos.
    • VMs protegidas por Firewalls do Azure na mesma rede virtual que a VM.
    • VMs protegidas por firewalls do Azure controlados pelo Gerenciador de Firewall do Azure.

  • do Azure Bastion fornece uma camada extra de controle. Ele permite conectividade RDP e SSH altamente seguras e diretas para suas VMs, diretamente do portal do Azure ou do cliente nativo em um canal TLS seguro. O Azure Bastion também nega a necessidade de conectividade híbrida.

  • Use a SKU apropriada do Azure Bastion com base em seus requisitos. Para obter mais informações, confira Configurações do Azure Bastion.

  • Examine as perguntas frequentes do Azure Bastion para obter respostas a perguntas comuns sobre o serviço.

  • O Azure Bastion com autenticação Kerberos exige que os controladores de domínio e o Azure Bastion estejam localizados na mesma rede virtual. Para obter mais informações, confira Autenticação Kerberos do Azure Bastion.

  • O Azure Bastion pode ser usado em uma topologia de WAN Virtual do Azure . No entanto, há algumas limitações:

    • O Azure Bastion não pode ser implantado dentro de um hub virtual da Virtual WAN.

    • O Azure Bastion deve usar o SKU Premium ou Standard. A funcionalidade de conexão baseada em IP deve ser habilitada no recurso do Azure Bastion. Para obter mais informações, confira Documentação de conexão baseada em IP do Azure Bastion.

    • O Azure Bastion pode ser implantado em qualquer rede virtual "spoke" que esteja conectada a uma WAN Virtual. O Azure Bastion fornece acesso a VMs na sua própria rede virtual por meio de conexões de rede virtual do Virtual WAN. Ele também pode fornecer acesso a VMs em outras redes virtuais conectadas à mesma WAN Virtual por meio de seus hubs associados. Uma implantação bem-sucedida requer a configuração de roteamento apropriada. Por exemplo, você pode implantar o Azure Bastion usando o padrão de extensão do hub virtual .

    • O SKU Standard do Azure Bastion requer uma sub-rede dedicada (AzureBastionSubnet), enquanto o SKU Desenvolvedor não.

  • O SKU Desenvolvedor é uma versão gratuita, sem configuração e sempre ativa do serviço Azure Bastion. Ao contrário do SKU Standard, o SKU do Desenvolvedor não é um recurso dedicado, mas funciona como parte de um pool compartilhado e não dá suporte ao emparelhamento de rede virtual.

Dica

A conexão baseada em IP do Azure Bastion também permite conectividade com computadores baseados no local se houver conectividade híbrida entre o recurso do Azure Bastion e o computador ao qual você deseja se conectar. Para obter mais informações, consulte Conectar-se a uma VM por meio de um endereço IP privado especificado.

Recomendações de design

  • Para cargas de trabalho de produção, implante o SKU Premium ou Standard do Azure Bastion. Para ambientes de área restrita e de teste, use o SKU Desenvolvedor em regiões selecionadas.

  • Use a conectividade existente do ExpressRoute ou VPN para fornecer acesso remoto a VMs do Azure acessíveis de sua rede local.

  • Em uma topologia de rede baseada em WAN Virtual em que você precisa de acesso remoto a VMs pela internet, é possível implantar o Azure Bastion em cada rede virtual spoke das respectivas VMs.

    Ou você pode implantar uma instância centralizada do Azure Bastion em um só spoke em sua topologia de WAN Virtual. Essa configuração reduz o número de instâncias do Azure Bastion a serem gerenciadas em seu ambiente. Esse cenário requer que os usuários que acessam VMs Windows e Linux por meio do Azure Bastion tenham a Função de leitor no recurso Azure Bastion e na rede virtual spoke selecionada. Algumas implementações podem ter considerações de segurança ou conformidade que restringem ou impedem esse requisito. O diagrama a seguir mostra uma topologia de WAN Virtual do Azure.

    Diagrama que mostra uma topologia de WAN Virtual do Azure.

  • Em uma topologia de rede hub-and-spoke em que você precisa de acesso remoto a VMs do Azure pela Internet:

    • Você pode implantar um só host do Azure Bastion na rede virtual do hub, que pode fornecer conectividade com VMs do Azure em redes virtuais spoke por meio do emparelhamento de rede virtual. Essa configuração reduz o número de instâncias do Azure Bastion a serem gerenciadas em seu ambiente. Esse cenário requer que os usuários que acessam VMs Windows e Linux por meio do Azure Bastion tenham a Função de leitor no recurso Azure Bastion e na rede virtual de hub. Algumas implementações podem ter considerações de segurança ou conformidade que restringem ou impedem esse requisito. O diagrama a seguir mostra uma topologia hub-and-spoke do Azure.

    Diagrama que mostra uma topologia hub e spoke do Azure.

    • O ambiente pode não permitir que a função RBAC (controle de acesso baseado em função) de leitor seja concedida aos usuários no recurso do Azure Bastion e na rede virtual de hub. Use o Azure Bastion Basic ou o SKU Standard para fornecer conectividade a VMs em uma rede virtual spoke. Implante uma instância dedicada do Azure Bastion em cada rede virtual spoke que exija acesso remoto. O diagrama a seguir mostra uma topologia de rede virtual autônoma do Azure.

    Diagrama que mostra uma topologia de rede virtual autônoma do Azure.

  • Configure regras NSG para proteger o Azure Bastion e as VMs às quais ele fornece conectividade. Para obter mais informações, consulte Trabalhar com VMs e NSGs no Azure Bastion.

  • Configure os logs de diagnóstico do Azure Bastion para serem enviados ao espaço de trabalho central do Log Analytics. Para obter mais informações, confira Habilitar e trabalhar com logs de recursos do Azure Bastion.

  • Certifique-se de criar as atribuições de função RBAC necessárias para os usuários ou grupos que se conectam às VMs por meio do Azure Bastion.

  • Se você se conectar a VMs do Linux por meio do SSH, estabeleça a conexão por meio de uma chave privada no Azure Key Vault.

  • Implante o Azure Bastion e o ExpressRoute ou o acesso a VPN para atender a necessidades específicas, como acesso de emergência.

  • Não habilite o acesso remoto a VMs windows e Linux por meio de IPs públicos diretamente anexados às VMs. Não implante o acesso remoto sem regras NSG estritas e firewalling.