O que é o Azure Bastion?
O Azure Bastion disponibiliza uma ligação remota segura a partir do portal do Azure às máquinas virtuais (VMs) do Azure por TLS (Transport Layer Security). Você pode provisionar o Azure Bastion para a mesma rede virtual do Azure que suas VMs ou para uma rede virtual emparelhada e, em seguida, conectar-se a qualquer VM nessa rede virtual ou a uma rede virtual emparelhada diretamente do portal do Azure.
Disponibilizar conectividade RDP e SSH segura a uma VM interna
Pode utilizar o Azure Bastion para abrir facilmente uma sessão RDP ou SSH a partir do portal do Azure numa VM que não esteja publicamente exposta. O Azure Bastion liga-se às máquinas virtuais por IP privado. Não tem de expor as portas RDP ou SSH nem os endereços IP públicos das VMs internas.
Como o Azure Bastion é uma plataforma como serviço (PaaS) totalmente gerenciada, você não precisa aplicar nenhum grupo de segurança de rede à sub-rede do Azure Bastion. No entanto, se quiser segurança adicional, você pode configurar seus NSGs (grupos de segurança de rede) para permitir RDP e SSH somente do Azure Bastion.
O Azure Bastion fornece conectividade RDP e SSH para todas as VMs na mesma rede virtual que a sub-rede do Azure Bastion ou em uma rede virtual emparelhada. Não tem de instalar um cliente, agente ou software adicional para utilizar o Azure Bastion.
Estabelecer ligação a uma VM com o Azure Bastion
Depois de implementar o Azure Bastion, na página de descrição geral da VM, selecione Ligar>Bastion>Utilizar o Bastion. Em seguida, insira as credenciais de entrada para a VM se conectar.
Principais funcionalidades de segurança
- O tráfego iniciado a partir do Azure Bastion para as máquinas virtuais de destino permanece dentro da rede virtual ou entre as redes virtuais em modo de peering.
- Não é necessário aplicar NSGs à sub-rede do Azure Bastion, uma vez que esta é protegida internamente. Para obter segurança adicional, pode configurar NSGs para permitir apenas ligações remotas às máquinas virtuais de destino a partir do anfitrião do Azure Bastion.
- O Azure Bastion ajuda na proteção contra a análise de portas. As portas RDP e SSH, bem como os endereços IP públicos, não estão expostos publicamente às suas VMs.
- O Azure Bastion ajuda na proteção contra explorações do dia zero Ele fica no perímetro da sua rede virtual, para que você não precise se preocupar em proteger cada uma das máquinas virtuais em sua rede virtual. A plataforma do Azure mantém o Azure Bastion atualizado.
- O serviço tem aplicações de segurança nativas integradas para uma rede virtual do Azure, como a Azure Firewall.
- Pode utilizar o serviço para monitorizar e gerir ligações remotas.
Sessões simultâneas suportadas
A seguinte tabela mostra quantas sessões RDP e SSH simultâneas cada recurso do Azure Bastion consegue suportar mediante uma utilização diária normal. Se existirem outras sessões RDP ou SSH em curso, estes números poderão variar.
| Recurso | Limite |
|---|---|
| Ligações RDP simultâneas | 25 |
| Ligações SSH simultâneas | 65 |
Funcionalidades suportadas durante a ligação a uma VM
A tabela a seguir destaca alguns dos recursos de experiência do usuário suportados pelo Azure Bastion:
| Funcionalidade | Apoios |
|---|---|
| Browsers | - Windows: navegador Microsoft Edge, Microsoft Edge Chromium ou Google Chrome - Apple Mac: navegador Google Chrome ou Microsoft Edge Chromium |
| Esquema de teclado na VM | - en-us-qwerty- en-gb-qwerty- de-ch-qwertz- de-de-qwertz- fr-be-azerty- fr-fr-azerty- fr-ch-qwertz- hu-hu-qwertz- it-it-qwerty- ja-jp-qwerty- pt-br-qwerty- es-es-qwerty- es-es-qwerty- es-latam-qwerty- sv-se-qwerty- tr-tr-qwerty |
| Funções na VM | - Copiar e colar texto- Recursos como cópia de arquivo não são suportados atualmente |
Funções necessárias para utilizar o Azure Bastion
Como acontece com outros recursos do Azure, tem de aceder ao grupo de recursos ou ao recurso do Azure Bastion para implementar ou gerir o Azure Bastion.
Para estabelecer ligação ao recurso da VM com o Azure Bastion, as seguintes funções fornecem o privilégio mínimo necessário:
- Função de leitor na máquina virtual
- Função de leitor na NIC com IP privado da máquina virtual
- Função de leitor no recurso do Azure Bastion