Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Ao trabalhar com o Azure Bastion, você pode usar NSGs (grupos de segurança de rede). Para mais informações, veja Grupos de segurança.
Neste diagrama:
- O Bastion host é implantado na rede virtual.
- O usuário se conecta ao portal do Azure usando qualquer navegador HTML5.
- O usuário navega para a máquina virtual do Azure até RDP/SSH.
- Integração do Connect - clique uma vez na sessão RDP/SSH dentro do navegador
- Nenhum IP público é necessário na VM do Azure.
Grupos de segurança de rede
Esta seção mostra o tráfego de rede entre o usuário e a Azure Bastion e até as máquinas virtuais de destino na sua rede virtual:
Importante
Caso opte por usar um grupo de segurança de rede com o recurso do Azure Bastion, você deverá criar todas as regras de tráfego de entrada e saída a seguir. Omitir qualquer uma das regras a seguir em seu NSG bloqueará o recurso do Azure Bastion de receber as atualizações necessárias no futuro e, portanto, sujeitará o seu recurso a futuras vulnerabilidades de segurança.
AzureBastionSubnet
O Azure Bastion é implantado especificamente em AzureBastionSubnet.
Tráfego de entrada:
- Tráfego de entrada da Internet pública: o Azure Bastion criará um IP público que requer que a porta 443 esteja habilitada no IP público para o tráfego de entrada. A porta 3389/22 NÃO precisa ser aberta no AzureBastionSubnet. Observe que a origem pode ser a Internet ou um conjunto de endereços IP públicos que você especificar.
- Tráfego de entrada do painel de controle do Azure Bastion: para a conectividade do painel de controle, habilite a entrada da porta 443 na marca de serviço do Gateway Manager. Isso permite que o painel de controle, ou seja, o Gateway Manager, possa se comunicar com o Azure Bastion.
- Tráfego de entrada do plano de dados do Azure Bastion: Para a comunicação do plano de dados entre os componentes subjacentes do Azure Bastion, habilite as portas de entrada 8080 e 5701 de marca de serviço do VirtualNetwork para marca de serviço do VirtualNetwork. Isso permite que os componentes do Azure Bastion se comuniquem entre si.
- Tráfego de entrada do Azure Load Balancer: Para investigações de integridade, habilite a porta de entrada 443 da marca de serviço AzureLoadBalancer. Isso permite que o Azure Load Balancer detecte conectividade
Tráfego de saída:
- Tráfego de saída para as máquinas virtuais de destino: o Azure Bastion alcançará as VMs de destino por IP privado. Os NSGs precisam permitir o tráfego de saída nas portas 3389 e 22 para outras sub-redes da máquina virtual de destino. Se estiver a utilizar a funcionalidade de porta personalizada dentro do SKU Standard, certifique-se de que os NSGs permitem o tráfego de saída para a etiqueta de serviço VirtualNetwork como destino.
- Tráfego de saída para o plano de dados do Azure Bastion: Para a comunicação do plano de dados entre os componentes subjacentes do Azure Bastion, habilite as portas de entrada 8080 e 5701 de marca de serviço do VirtualNetwork para marca de serviço do VirtualNetwork. Isso permite que os componentes do Azure Bastion se comuniquem entre si.
- Tráfego de saída para outros pontos de extremidade públicos no Azure: o Azure Bastion precisa ser capaz de se conectar a vários pontos de extremidade públicos no Azure (por exemplo, para armazenar logs de diagnóstico e logs de medição). Por esse motivo, o Azure Bastion requer saída na porta 443 para a marca de serviço AzureCloud.
- Tráfego de saída para a Internet: o Azure Bastion precisa ser capaz de se comunicar com a Internet para sessão, Link Compartilhável do Bastion e validação de certificado. Por esse motivo, é recomendável habilitar a saída da porta 80 para a Internet.
Script do PowerShell para criar as regras de tráfego de entrada e saída mencionadas acima
# Connect to Azure Account
Connect-AzAccount
# Get the Network Security Group details
$resourceGroupName = Read-Host ("Enter the name of the Resource Group")
$nsgName = Read-Host ("Enter the name of the Network Security Group")
# Ingress and Egress rules
$rules = @(
@{
Name = "AllowHttpsInbound"
Priority = 120
Direction = "Inbound"
Access = "Allow"
SourceAddressPrefix = "Internet"
SourcePortRange = "*"
DestinationAddressPrefix = "*"
DestinationPortRange = "443"
Protocol = "TCP"
},
@{
Name = "AllowGatewayManagerInbound"
Priority = 130
Direction = "Inbound"
Access = "Allow"
SourceAddressPrefix = "GatewayManager"
SourcePortRange = "*"
DestinationAddressPrefix = "*"
DestinationPortRange = "443"
Protocol = "TCP"
},
@{
Name = "AllowAzureLoadBalancerInbound"
Priority = 140
Direction = "Inbound"
Access = "Allow"
SourceAddressPrefix = "AzureLoadBalancer"
SourcePortRange = "*"
DestinationAddressPrefix = "*"
DestinationPortRange = "443"
Protocol = "TCP"
},
@{
Name = "AllowBastionHostCommunication"
Priority = 150
Direction = "Inbound"
Access = "Allow"
SourceAddressPrefix = "VirtualNetwork"
SourcePortRange = "*"
DestinationAddressPrefix = "VirtualNetwork"
DestinationPortRange = 8080,5701
Protocol = "Ah"
}
@{
Name = "AllowSshRdpOutbound"
Priority = 100
Direction = "Outbound"
Access = "Allow"
SourceAddressPrefix = "*"
SourcePortRange = "*"
DestinationAddressPrefix = "VirtualNetwork"
DestinationPortRange = 22,3389
Protocol = "Ah"
},
@{
Name = "AllowAzureCloudOutbound"
Priority = 110
Direction = "Outbound"
Access = "Allow"
SourceAddressPrefix = "*"
SourcePortRange = "*"
DestinationAddressPrefix = "AzureCloud"
DestinationPortRange = "443"
Protocol = "TCP"
},
@{
Name = "AllowBastionCommunication"
Priority = 120
Direction = "Outbound"
Access = "Allow"
SourceAddressPrefix = "VirtualNetwork"
SourcePortRange = "*"
DestinationAddressPrefix = "VirtualNetwork"
DestinationPortRange = 8080,5701
Protocol = "Ah"
},
@{
Name = "AllowHttpOutbound"
Priority = 130
Direction = "Outbound"
Access = "Allow"
SourceAddressPrefix = "*"
SourcePortRange = "*"
DestinationAddressPrefix = "Internet"
DestinationPortRange = "80"
Protocol = "Ah"
}
)
foreach ($rule in $rules) {
$nsgRule = New-AzNetworkSecurityRuleConfig -Name $rule.Name `
-Priority $rule.Priority `
-Direction $rule.Direction `
-Access $rule.Access `
-SourceAddressPrefix $rule.SourceAddressPrefix `
-SourcePortRange $rule.SourcePortRange `
-DestinationAddressPrefix $rule.DestinationAddressPrefix `
-DestinationPortRange $rule.DestinationPortRange `
-Protocol $rule.Protocol
# Get the details of the Network Security Group and Add rules to the group
$nsg = Get-AzNetworkSecurityGroup -ResourceGroupName $resourceGroupName -Name $nsgName
$nsg.SecurityRules.Add($nsgRule)
Set-AzNetworkSecurityGroup -NetworkSecurityGroup $nsg
}
Sub-rede da máquina virtual de destino
Essa é a sub-rede que contém a máquina virtual de destino para a qual você deseja direcionar o RDP/SSH.
- Tráfego de entrada do Azure Bastion: o Azure Bastion alcançará a VM de destino por IP privado. As portas RDP/SSH (portas 3389/22, respectivamente, ou valores de porta personalizada se você estiver usando o recurso de porta personalizada como parte do SKU Standard ou Premium) precisarão ser abertas no lado da VM de destino por IP privado. Como prática recomendada, você pode adicionar o intervalo de endereços IP da sub-rede do Azure Bastion a esta regra para permitir que somente o Bastion possa abrir essas portas nas máquinas virtuais de destino em sua sub-rede de máquinas virtuais de destino.
Próximas etapas
Para saber mais sobre o Azure Bastion, consulte as Perguntas frequentes.