Arquitetura de design para o Azure Bastion

O Azure Bastion oferece várias arquiteturas de implantação, dependendo do SKU selecionado e das configurações de opções. Para a maioria dos SKUs, o Bastion é implantado numa rede virtual e suporta o emparelhamento de rede virtual. Especificamente, o Azure Bastion gerencia a conectividade RDP/SSH com as VMs criadas nas redes virtuais locais ou emparelhadas.

RDP e SSH são alguns dos meios fundamentais pelos quais você pode se conectar às suas cargas de trabalho em execução no Azure. A exposição de portas RDP/SSH pela Internet não é desejada e é vista como uma superfície de ameaça significativa. Isso costuma ocorrer devido a vulnerabilidades de protocolo. Para conter essa superfície de ameaça, você pode implantar hosts de bastiões (também conhecidos como jump-servers) no lado público de sua rede de perímetro. Os servidores de hosts de bastião são projetados e configurados para resistir a ataques. Os servidores de Bastion também fornecem conectividade RDP e SSH às cargas de trabalho dentro do bastião e dentro da rede.

A SKU selecionada ao implantar o Bastion determina a arquitetura e os recursos disponíveis. É possível atualizar para uma SKU mais alta para dar suporte a mais recursos, mas não é possível fazer downgrade de uma SKU após a implantação. Determinadas arquiteturas, como Somente privado e SKU do Desenvolvedor, devem ser configuradas no momento da implantação.

Implantação – SKU Básico e superior

Diagrama mostrando a arquitetura do Azure Bastion.

Ao trabalhar com a SKU Básico ou superior, o Bastion usa a arquitetura e o fluxo de trabalho a seguir.

  • O Bastion host é implantado na rede virtual que contém a sub-rede AzureBastionSubnet que tem um prefixo mínimo de /26.
  • O usuário se conecta ao portal do Azure usando um navegador HTML5 e seleciona a máquina virtual à qual se conectar. Nenhum endereço IP público é necessário na VM do Azure.
  • A sessão RDP/SSH é aberta no navegador com um único clique.

Para algumas configurações, o usuário pode conectar-se à máquina virtual através do cliente nativo do sistema operacional.

Para obter as etapas de configuração, consulte:

Implantação – SKU do Desenvolvedor

Diagrama que mostra a arquitetura de SKU do desenvolvedor do Azure Bastion.

O SKU Bastion Developer é um SKU leve e gratuito. Essa SKU é ideal para usuários de Desenvolvimento/Teste que desejam se conectar com segurança às suas VMs, mas não precisam de recursos adicionais do Bastion ou de dimensionamento de host. Com o SKU do Desenvolvedor, você pode se conectar a uma VM do Azure por vez diretamente por meio da página de conexão da máquina virtual.

Ao implantar o Bastion usando o SKU do Desenvolvedor, os requisitos de implantação são diferentes de quando você implanta usando outros SKUs. Normalmente, ao criar um bastion host, um host é implantado no AzureBastionSubnet em sua rede virtual. O Bastion host é dedicado para seu uso. Quando você usa a SKU de desenvolvedor, um bastion host não é implantado em sua rede virtual e você não precisa de uma AzureBastionSubnet. No entanto, a SKU de Desenvolvedor do bastion host não é um recurso dedicado. Em vez disso, ele faz parte de um pool compartilhado.

Como o recurso de bastion de SKU do Desenvolvedor não é dedicado, os recursos para o SKU do Desenvolvedor são limitados. Consulte a seção SKU nas definições de configuração do Bastion para obter os recursos listados por SKU. Você sempre pode atualizar o SKU do desenvolvedor para um SKU superior se precisar oferecer suporte a mais recursos. Confira Fazer upgrade um SKU.

Para obter mais informações sobre a SKU de desenvolvedor, consulte Implantar o Azure Bastion – SKU do Desenvolvedor.

Implantação – Somente privado (versão prévia)

Diagrama mostrando a arquitetura somente privada do Azure Bastion.

As implantações do Bastion somente privadas bloqueiam cargas de trabalho de ponta a ponta criando uma implantação do Bastion sem roteamento pela internet que permite apenas acesso a endereços IP privados. As implantações do Bastion somente privadas não permitem conexões com o bastion host por meio de um endereço IP público. Por outro lado, uma implantação comum do Azure Bastion permite que os usuários se conectem ao bastion host usando um endereço IP público.

O diagrama mostra a arquitetura de implantação somente privada do Bastion. Um usuário conectado ao Azure por meio do emparelhamento privado do ExpressRoute pode se conectar com segurança ao Bastion usando o endereço IP privado do bastion host. Em seguida, o Bastion pode fazer a conexão por meio de um endereço IP privado a uma máquina virtual que está dentro da mesma rede virtual que o bastion host. Em uma implantação do Bastion somente privada, o Bastion não permite o acesso de saída fora da rede virtual.

Considerações:

  • O Bastion somente privado é configurado no momento da implantação e necessita da camada de SKU Premium.

  • Não é possível alterar de uma implantação comum do Bastion para uma implantação somente privada.

  • Para implantar o Bastion somente privado em uma rede virtual que já tenha uma implantação do Bastion, primeiro remova o Bastion de sua rede virtual e implante o Bastion novamente na rede virtual como somente privado. Você não precisa excluir e recriar a AzureBastionSubnet.

  • Se desejar criar conectividade privada de ponta a ponta, conecte-se usando o cliente nativo em vez de se conectar por meio do portal do Azure.

  • Se o computador cliente for local e não Azure, você precisará implantar um ExpressRoute ou VPN e habilitar a conexão baseada em IP no recurso do Bastion

Para obter mais informações sobre implantações somente privadas, consulte Implantar o Bastion como somente privado.

Próximas etapas