Quando usar o Azure Bastion
Nesta unidade, você vai explorar os usos do Azure Bastion e determinar se ele é uma opção adequada para uma conexão segura com uma VM remota. Você avaliará o Azure Bastion com base nos seguintes critérios:
- Segurança
- Facilidade de gerenciamento
- Integração a outros aplicativos
Os administradores precisam contar com o gerenciamento remoto para a administração e a manutenção dos recursos do Azure de uma organização, que incluem VMs e os aplicativos instalados nessas VMs. É importante considerar a capacidade de se conectar com segurança a esses recursos e aplicativos sem expô-los à Internet. Você pode usar o Azure Bastion para se conectar remotamente e gerenciar as VMs hospedadas sem expor as portas de gerenciamento à Internet. No entanto, alguns administradores atenderam a esse requisito usando jump servers, que às vezes são chamados de jumpboxes. Nesta unidade, você determinará se o Azure Bastion pode substituir os jumpboxes como um método para fornecer acesso a um gerenciamento remoto seguro.
Observação
Uma jumpbox é uma VM do Azure com um endereço IP público, que pode ser acessado pela Internet.
Em um cenário típico de jumpbox:
- As VMs da sua organização são configuradas somente com endereços IP privados e não são diretamente acessíveis pela Internet.
- A jumpbox é implantada na mesma rede virtual das VMs que os administradores desejam gerenciar remotamente usando o RDP e o SSH.
- Um NSG gerencia o fluxo de tráfego de rede entre a Internet, o jumpbox e as VMs de destino.
- Os administradores se conectam à jumpbox com o RDP usando o IP público.
Importante
Como você se conecta à jumpbox com o RDP em um IP público, a segurança da jumpbox pode ser comprometida.
O jumpbox é uma VM que executa um sistema operacional de servidor. Portanto, você precisará:
- Manter a VM atualizada com patches e outras atualizações.
- Configurar os NSGs apropriados para ajudar a proteger o fluxo de tráfego na rede virtual entre a jumpbox e as VMs de destino.
Critérios de decisão
Para determinar se uma jumpbox ou o Azure Bastion é a melhor opção para gerenciar remotamente os recursos do Azure da sua organização, considere critérios como segurança, facilidade de gerenciamento e integração. Veja abaixo uma análise desses critérios.
| Critérios | Análise |
|---|---|
| Segurança | O Azure Bastion não expõe o RDP/o SSH no IP público. Ao contrário de uma jumpbox, o Azure Bastion só dá suporte a conexões protegidas por TLS no portal do Azure. Com o Azure Bastion, você não precisa configurar NSGs para ajudar a proteger o fluxo de tráfego. |
| Facilidade de gerenciamento | O Azure Bastion é um serviço PaaS totalmente gerenciado. Não é uma VM como uma jumpbox, que exige atualizações regulares. Você não precisa ter um cliente nem um agente para usar o Azure Bastion, muito menos aplicar patches e atualizações a ele. Você também não precisa instalar nem manter outros programas de software em consoles de gerenciamento. |
| Integração | Você pode integrar o Azure Bastion a outros serviços de segurança nativos do Azure, como o Firewall do Azure. Os servidores jump não têm essa opção. |
Observação
Você implanta o Azure Bastion por rede virtual (ou rede virtual emparelhada), e não por assinatura, conta ou VM.
Aplicar os critérios
O Azure Bastion atinge a meta principal de habilitar o gerenciamento remoto seguro de VMs hospedadas. Como o Azure Bastion é um serviço gerenciado, você não precisa atualizá-lo nem definir manualmente NSGs e configurações relacionadas. O Azure Bastion representa a melhor solução para habilitar o gerenciamento remoto seguro de VMs hospedadas do Azure.
Considere a possibilidade de usar o Azure Bastion quando tiver VMs remotas hospedadas no Azure para gerenciamento e:
- Precisar se conectar a essas VMs usando o RDP/o SSH.
- Não quiser manter o método pelo qual você se conecta a essas VMs remotas.
- Não quiser definir as configurações de NSG para habilitar o gerenciamento remoto.
- Quiser evitar o uso de jumpboxes.
Ao determinar o número de hosts do Azure Bastion a serem implantados, considere que você precisa de um por rede virtual (ou rede virtual emparelhada). Você não precisa implantar o Azure Bastion por VM ou sub-rede.