Plano de acesso remoto à máquina virtual
Este artigo descreve as diretrizes recomendadas para fornecer acesso remoto a VMs (máquinas virtuais) implantadas em uma arquitetura de zonas de destino do Azure.
O Azure oferece tecnologias diferentes para fornecer acesso remoto a VMs:
- Azure Bastion, uma solução de PaaS (plataforma como serviço), para acessar VMs por meio de um navegador ou atualmente em versão prévia por meio do cliente nativo SSH/RDP nas estações de trabalho do Windows
- Acesso JIT fornecido por meio do Microsoft Defender para Nuvem
- Opções de conectividade híbrida, como o Azure ExpressRoute e VPNs
- IP público anexado diretamente à VM ou por meio de uma regra NAT usando um balanceador de carga público do Azure
A escolha de qual solução de acesso remoto é mais apropriada depende de fatores como escala, topologia e requisitos de segurança.
Considerações sobre o design
- Quando disponível, você pode usar a conectividade híbrida existente para as redes virtuais do Azure usando conexões ExpressRoute ou S2S/P2S VPN para fornecer acesso remoto das VMs locais para as VMs Windows e Linux do Azure.
- Os NSGs podem ser usados para proteger as conexões SSH/RDP para as VMs do Azure.
- O JIT permite o acesso remoto de SSH/RDP pela Internet, sem precisar implantar outras infraestruturas.
- Existem algumas limitações de disponibilidade com o acesso JIT.
- O acesso JIT não pode ser usado para VMs protegidas pelos firewalls do Azure controlados pelo Gerenciador de Firewall do Azure.
- O Azure Bastion fornece uma camada de controle adicional. Ele habilita a conectividade RDP/SSH segura e contínua com as VMs diretamente no portal do Azure ou cliente nativo em versão prévia por um canal TLS seguro. O Azure Bastion também nega a necessidade de conectividade híbrida.
- Considere o SKU do Azure Bastion apropriado para ser usado com base nos requisitos, conforme descrito nas configurações sobre o Azure Bastion.
- Examine as Perguntas frequentes sobre o Azure Bastion, para obter respostas às perguntas comuns sobre o serviço.
- O Azure Bastion com autenticação Kerberos requer que os controladores de domínio e o Azure Bastion estejam localizados na mesma rede virtual. Para obter mais informações, consulte Autenticação Kerberos do Azure Bastion.
- O Azure Bastion pode ser usado na topologia do WAN Virtual do Azure, no entanto, há algumas limitações:
- O Azure Bastion não pode ser implantado dentro de um hub virtual de WAN Virtual.
- O Azure Bastion deve usar o SKU
Standard
e também o recursoIP based connection
deve ser habilitado no recurso do Azure Bastion. Confira a documentação de conexão baseada no IP do Azure Bastion - O Azure Bastion pode ser implantado em qualquer rede virtual spoke conectada em uma WAN Virtual, para acessar Máquinas Virtuais, em suas redes virtuais ou em outras redes virtuais conectadas à mesma WAN Virtual, por meio dos hubs associados, por meio de conexões de rede virtual WAN Virtual; desde que o roteamento seja configurado corretamente.
Dica
A conexão baseada em IP do Azure Bastion também permite a conectividade com computadores locais, desde que haja conectividade híbrida estabelecida entre o recurso do Azure Bastion e o computador ao qual você deseja se conectar. Consulte Conectar-se a uma VM por meio do endereço IP privado especificado por meio do portal
Recomendações sobre design
- Use a conectividade ExpressRoute ou VPN existente para fornecer acesso remoto a VMs do Azure que podem ser acessadas localmente por meio de conexões ExpressRoute ou VPN.
- Na topologia de rede baseadas em WAN Virtual, em que o acesso remoto às Máquinas Virtuais pela Internet é necessário:
- O Azure Bastion pode ser implantado em cada rede virtual spoke das respectivas VMs.
- Ou você pode optar por implantar uma instância centralizada do Azure Bastion em um único spoke na topologia WAN Virtual, conforme mostrado na Figura 1. Essa configuração reduz o número de instâncias do Azure Bastion a serem gerenciadas no ambiente. Esse cenário exige que os usuários conectados a VMs Windows e Linux por meio do Azure Bastion tenham uma função de leitor no recurso do Azure Bastion e na rede virtual spoke escolhida. Algumas implementações podem ter considerações de segurança ou conformidade que restringem ou impedem isso.
- Na topologia de rede hub e spoke, em que o acesso remoto às Máquinas Virtuais do Microsoft Azure pela Internet é necessário:
- Um único host do Azure Bastion pode ser implantado na rede virtual do hub, o qual pode fornecer conectividade com as VMs do Azure nas redes virtuais spoke por meio do emparelhamento de rede virtual. Essa configuração reduz o número de instâncias do Azure Bastion a serem gerenciadas no ambiente. Esse cenário exige que os usuários conectados a VMs Windows e Linux por meio do Azure Bastion tenham uma função de leitor no recurso do Azure Bastion e na rede virtual do hub. Algumas implementações podem ter considerações de segurança ou conformidade. Consulte a Figura 2.
- O ambiente pode não permitir que a função RBAC (controle de acesso baseado em função) de leitor seja concedida aos usuários no recurso do Azure Bastion e na rede virtual do hub. Use o Azure Bastion Básico ou Standard para fornecer conectividade com as VMs em uma rede virtual spoke. Implante uma instância dedicada do Azure Bastion em cada rede virtual spoke que exija acesso remoto. Consulte a Figura 3.
- Configure regras de NSG para proteger o Azure Bastion e as VMs às quais ele fornece conectividade. Siga as diretrizes em Como trabalhar com VMs e NSGs no Azure Bastion.
- Configure os logs de diagnóstico do Azure Bastion a serem enviados para o workspace do Log Analytics central. Siga as diretrizes em Habilitar e trabalhar com logs de recursos do Azure Bastion.
- Verifique se as atribuições de função RBAC necessárias para os usuários ou grupos que se conectam às VMs por meio do Azure Bastion foram estabelecidas.
- Se você se conectar a VMs Linux por meio de SSH, use o recurso de conectar-se usando uma chave privada armazenada no Azure Key Vault.
- Implante o Azure Bastion e o acesso ExpressRoute ou VPN para atender a necessidades específicas, como acesso de emergência.
- O acesso remoto a VMs Windows e Linux por meio de IPs públicos diretamente anexados às VMs é desencorajado. O acesso remoto nunca deve ser implantado sem regras NSG rigorosas e firewalling.
Figura 1: topologia de WAN Virtual do Azure.
Figura 2: topologia hub e spoke do Azure.
Figura 3: topologia de rede virtual autônoma do Azure.