Quando usar o Azure Bastion
Nesta unidade, você explora os usos do Azure Bastion e determina se ele é uma opção adequada para se conectar com segurança a uma VM remota. Você avalia o Azure Bastion com base nos seguintes critérios:
- Segurança
- Facilidade de gestão
- Integração com outras aplicações
Os administradores devem confiar no gerenciamento remoto para a administração e manutenção dos recursos do Azure de uma organização, que incluem VMs, e os aplicativos instalados nessas VMs. É importante considerar a capacidade de se conectar com segurança a esses recursos e aplicativos sem expô-los à internet. Você pode usar o Azure Bastion para se conectar remotamente e gerenciar VMs hospedadas sem expor as portas de gerenciamento à Internet. No entanto, alguns administradores abordaram esse requisito usando servidores de salto, que às vezes são chamados de caixas de salto. Nesta unidade, você determina se o Azure Bastion pode substituir as caixas de salto como um método para fornecer acesso seguro de gerenciamento remoto.
Nota
Uma caixa de salto é uma VM do Azure com um endereço IP público, que pode ser acessado pela Internet.
Em um cenário típico de caixa de salto:
- As VMs da sua organização são configuradas apenas com endereços IP privados e não são diretamente acessíveis a partir da Internet.
- A caixa de salto é implantada na mesma rede virtual que as VMs que os administradores desejam gerenciar remotamente usando RDP e SSH.
- Um NSG gerencia o fluxo de tráfego de rede entre a Internet, a caixa de salto e as VMs de destino.
- Os administradores se conectam à caixa de salto com RDP usando o IP público.
Importante
Como você se conecta à sua caixa de salto com RDP em um IP público, a segurança da caixa de salto pode ser comprometida.
A caixa de salto é uma VM executando um sistema operacional de servidor, portanto, você precisa:
- Mantenha a VM atualizada com patches e outras atualizações.
- Configure NSGs apropriados para ajudar a proteger o fluxo de tráfego dentro da rede virtual entre a caixa de salto e as VMs de destino.
Critérios de decisão
Para determinar se uma caixa de salto ou o Azure Bastion é a melhor opção para gerenciar remotamente os recursos do Azure da sua organização, considere critérios como segurança, facilidade de gerenciamento e integração. Aqui está uma análise desses critérios.
| Critérios | Análise |
|---|---|
| Segurança | O Azure Bastion não expõe RDP/SSH em seu IP público. Ao contrário de uma caixa de salto, o Azure Bastion suporta apenas conexões protegidas por TLS do portal do Azure. Com o Azure Bastion, você não precisa configurar NSGs para ajudar a proteger o fluxo de tráfego. |
| Facilidade de gestão | O Azure Bastion é um serviço PaaS totalmente gerido. Não é uma VM como uma caixa de salto, que requer atualizações regulares. Você não precisa de um cliente ou agente para usar o Azure Bastion, nem precisa aplicar patches e atualizações a ele. Também não é necessário instalar ou manter nenhum outro software nos consoles de gerenciamento. |
| Integração | Você pode integrar o Azure Bastion com outros serviços de segurança nativos no Azure, como o Firewall do Azure. Os servidores Jump não têm essa opção. |
Nota
Você implanta o Azure Bastion por rede virtual (ou rede virtual emparelhada) em vez de por assinatura, conta ou VM.
Aplicar os critérios
O Azure Bastion aborda o objetivo principal de habilitar o gerenciamento remoto seguro de VMs hospedadas. Como um serviço gerenciado, você não precisa atualizar o Azure Bastion ou configurar manualmente NSGs e configurações relacionadas. O Azure Bastion representa a melhor solução para habilitar o gerenciamento remoto seguro de VMs hospedadas no Azure.
Considere usar o Azure Bastion quando tiver VMs remotas hospedadas no Azure para gerenciar e:
- Você deve se conectar a essas VMs usando RDP/SSH.
- Você não deseja manter o método pelo qual você se conecta a essas VMs remotas.
- Você não deseja definir as configurações do NSG para habilitar o gerenciamento remoto.
- Você quer evitar o uso de caixas de salto.
Ao determinar o número de hosts do Azure Bastion a serem implantados, considere que você precisa de um por rede virtual (ou rede virtual emparelhada). Não é necessário implantar o Azure Bastion por VM ou por sub-rede.