O que é o Azure Bastion?
É essencial administrar e gerenciar com segurança as VMs hospedadas remotamente. Para começar, vamos definir o que é o gerenciamento remoto seguro e dar uma olhada nos recursos do Azure Bastion. Esta visão geral ajudará você a decidir se o Azure Bastion é uma boa opção para suas necessidades.
O que é gerenciamento remoto seguro?
O gerenciamento remoto seguro é a capacidade de se conectar a um recurso remoto sem expor esse recurso a riscos de segurança. Às vezes, esse tipo de conexão pode ser um grande desafio, especialmente se o recurso estiver sendo acessado pela Internet.
Quando os administradores se conectam a VMs remotas, eles normalmente usam o RDP ou o SSH para atingir suas metas administrativas. O problema é, para se conectar a uma VM hospedada, você precisa se conectar ao endereço IP público dela. No entanto, expor as portas IP usadas pelo RDP e pelo SSH (3389 e 22) à Internet é altamente indesejável, pois apresenta riscos de segurança significativos.
Definição do Azure Bastion
O Azure Bastion é um PaaS (plataforma como serviço) totalmente gerenciado que ajuda a fornecer acesso seguro e contínuo de RDP e SSH às suas VMs do Azure diretamente por meio do portal do Azure.
O Azure Bastion:
- Foi projetado e configurado para resistir a ataques.
- Fornece conectividade RDP e SSH para suas cargas de trabalho do Azure por trás do bastion.
A tabela a seguir descreve os recursos que estão disponíveis depois de implantar o Azure Bastion.
| Benefício | Descrição |
|---|---|
| RDP e SSH por meio do portal do Azure | Você pode obter acesso direto à sessão RDP e SSH no portal do Azure usando uma experiência perfeita de único clique. |
| Sessão remota sobre TLS e passagem de firewall para RDP/SSH | O Azure Bastion usa um cliente da web baseado em HTML5 que é transmitido automaticamente para seu dispositivo local. Sua sessão RDP/SSH é por TLS na porta 443. Isso permite que o tráfego percorra firewalls com mais segurança. O Bastion dá suporte ao TLS 1.2 e superior. Não há compatibilidade com as versões de TLS anteriores. |
| Nenhum IP público de endereço é necessário na VM do Azure | O Azure Bastion abre a conexão RDP/SSH com a sua VM do Azure usando um IP privado de endereço na VM. Você não precisa de um IP público de endereço na sua máquina virtual. |
| Sem complicações no gerenciamento de NSGs (grupos de segurança de rede) | Você não precisa aplicar nenhum NSG na sub-rede do Azure Bastion. Como o Azure Bastion se conecta às suas máquinas virtuais por IP privado, você pode configurar seus NSGs para permitir somente o RDP/SSH do Azure Bastion. Isso acaba com o trabalho de gerenciar NSGs cada vez que você precisa se conectar com segurança às suas máquinas virtuais. |
| Não é necessário gerenciar um bastion host separado em uma VM | O Azure Bastion é um serviço PaaS de plataforma totalmente gerenciado do Azure que é protegido internamente para fornecer conectividade RDP/SSH segura. |
| Proteção contra a varredura de porta | Suas VMs são protegidas contra a verificação de porta por usuários não autorizados e mal-intencionados, pois você não precisa expô-las à Internet. |
| Proteção em um só lugar | O Azure Bastion reside no perímetro da sua rede virtual. Portanto, você não precisa se preocupar em proteger cada uma das VMs da rede virtual. |
| Protege contra explorações de dia zero. | A plataforma Azure oferece proteção contra explorações de dia zero, mantendo o Azure Bastion protegido e sempre atualizado para você. |
Como evitar a exposição de portas de gerenciamento remoto
Ao implementar o Azure Bastion, você pode gerenciar as VMs do Azure em uma rede virtual do Azure configurada usando o RDP ou o SSH, sem a necessidade de expor essas portas de gerenciamento à Internet pública. Usando o Azure Bastion, você poderá:
- Conectar-se com facilidade às suas VMs do Azure. Conectar suas sessões RDP e SSH diretamente no portal do Azure.
- Evitar expor portas de gerenciamento à Internet. Entrar nas suas VMs do Azure e evitar a exposição à Internet pública usando o SSH e o RDP somente com endereços IP privados.
- Evitar uma reconfiguração extensiva da sua infraestrutura de rede existente. Integrar e percorrer firewalls e perímetros de segurança existentes usando um cliente Web moderno baseado em HTML5 em SSL na porta 443.
- Simplificar a entrada. Usar suas chaves SSH para autenticação ao entrar nas VMs do Azure.
Dica
Você pode salvar todas as suas chaves privadas SSH no Azure Key Vault para dar suporte ao armazenamento de chaves centralizado.