Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Azure Bastion é um serviço de PaaS totalmente gerenciado que você provisiona para se conectar com segurança às máquinas virtuais por meio de um endereço IP privado. Ele fornece conectividade RDP/SSH segura e contínua para suas máquinas virtuais diretamente pelo TLS no portal do Azure ou por meio do cliente SSH ou RDP nativo já instalado no computador local. Ao se conectar por meio do Azure Bastion, suas máquinas virtuais não precisarão de um endereço IP público, nem de um agente e tampouco de um software cliente especial.
O Bastion fornece conectividade RDP e SSH segura a todas as VMs da rede virtual na qual ele é provisionado. O uso do Azure Bastion protege suas máquinas virtuais contra a exposição das portas RDP/SSH ao mundo externo, fornecendo acesso seguro usando o RDP/o SSH.
Principais benefícios
| Benefício | Descrição |
|---|---|
| Gravação de sessão em sessões de VM | O Azure Bastion Premium permite a gravação de sessão gráfica de todas as sessões conectadas por meio do Bastion, armazenadas em um contêiner de armazenamento designado pelo cliente e exibidas dentro do recurso Bastion |
| RDP e SSH pelo portal do Azure | Você pode obter acesso direto à sessão RDP e SSH no portal do Azure usando uma experiência perfeita de único clique. |
| Suporte à autenticação de ID do Entra | O Azure Bastion dá suporte à autenticação de ID do Entra para o portal e por meio do cliente nativo. Isso permite a autenticação baseada em identidade na VM, eliminando a necessidade de métodos de autenticação local. |
| Sessão remota sobre TLS e passagem de firewall para RDP/SSH | O Azure Bastion usa um cliente da web baseado em HTML5 que é transmitido automaticamente para seu dispositivo local. Sua sessão RDP/SSH é por TLS na porta 443. Isso permite que o tráfego percorra firewalls com mais segurança. Bastião suporta TLS 1.2. Não há suporte para versões mais antigas do TLS. |
| Nenhum IP público de endereço é necessário na VM do Azure | O Azure Bastion abre a conexão RDP/SSH com a sua VM do Azure usando um IP privado de endereço na VM. Você não precisa de um IP público de endereço na sua máquina virtual. |
| Sem complicações para gerenciar Grupos de Segurança de Rede (NSGs) | Você não precisa aplicar nenhum NSG na sub-rede do Azure Bastion. Como o Azure Bastion se conecta às suas máquinas virtuais por IP privado, você pode configurar seus NSGs para permitir somente o RDP/SSH do Azure Bastion. Isso acaba com o trabalho de gerenciar NSGs cada vez que você precisa se conectar com segurança às suas máquinas virtuais. Para obter mais informações sobre os NSGs, confira grupos de segurança de rede. |
| Não é necessário gerenciar um bastion host separado em uma VM | O Azure Bastion é um serviço PaaS de plataforma totalmente gerenciado do Azure que é protegido internamente para fornecer conectividade RDP/SSH segura. |
| Proteção contra verificação de porta | Suas VMs são protegidas contra a verificação de porta por usuários não autorizados e mal-intencionados, pois você não precisa expô-las à Internet. |
| Proteção em um único lugar | O Azure Bastion fica no perímetro da sua rede virtual, portanto, você não precisa se preocupar com o reforço de segurança de cada uma das VMs na sua rede virtual. |
| Protege contra explorações de dia zero. | A plataforma Azure oferece proteção contra explorações de dia zero, mantendo o Azure Bastion protegido e sempre atualizado para você. |
SKUs
Observação
A SKU Premium do Bastion está agora em disponibilidade geral, oferecendo gravação de sessão gráfica e funcionalidades de implantação apenas privada.
O Azure Bastion oferece várias camadas de SKU. A tabela a seguir mostra os recursos e SKUs correspondentes. Para obter mais informações sobre SKUs, consulte o artigo Comparação de SKU .
| Recurso | SKU Básico | SKU Standard | SKU Premium |
|---|---|---|---|
| Conectar-se a VMs de destino na mesma rede virtual | Sim | Sim | Sim |
| Conectar-se a VMs de destino em redes virtuais emparelhadas | Sim | Sim | Sim |
| Oferecer suporte a conexões simultâneas | Sim | Sim | Sim |
| Acessar chaves privadas da VM do Linux no Azure Key Vault (AKV) | Sim | Sim | Sim |
| Conectar-se a uma VM do Linux usando SSH | Sim | Sim | Sim |
| Conectar-se a uma VM do Windows usando RDP | Sim | Sim | Sim |
| Conectar-se a uma VM do Linux usando RDP | Não | Sim | Sim |
| Conectar-se a uma VM do Windows usando SSH | Não | Sim | Sim |
| Especificar porta de entrada personalizada | Não | Sim | Sim |
| Conectar-se a VMs por meio da CLI do Azure | Não | Sim | Sim |
| Dimensionamento de host | Não | Sim | Sim |
| Carregar ou baixar arquivos | Não | Sim | Sim |
| Autenticação Kerberos | Sim | Sim | Sim |
| Link compartilhável | Não | Sim | Sim |
| Conectar-se a VMs por meio de endereço IP | Não | Sim | Sim |
| Saída de áudio VM | Sim | Sim | Sim |
| Desabilitar copiar/colar (clientes baseados na Web) | Não | Sim | Sim |
| Gravação de sessão | Não | Não | Sim |
| Implantação somente privada | Não | Não | Sim |
Arquitetura
O Azure Bastion oferece várias arquiteturas de implantação, dependendo do SKU selecionado e das configurações de opções. Para a maioria dos SKUs, o Bastion é implantado numa rede virtual e suporta o emparelhamento de rede virtual. Especificamente, o Azure Bastion gerencia a conectividade RDP/SSH com as VMs criadas nas redes virtuais locais ou emparelhadas.
RDP e SSH são alguns dos meios fundamentais pelos quais você pode se conectar às suas cargas de trabalho em execução no Azure. A exposição de portas RDP/SSH pela Internet não é desejada e é vista como uma superfície de ameaça significativa. Isso costuma ocorrer devido a vulnerabilidades de protocolo. Para conter essa superfície de ameaça, você pode implantar hosts de bastiões (também conhecidos como jump-servers) no lado público de sua rede de perímetro. Os servidores de hosts de bastião são projetados e configurados para resistir a ataques. Os servidores de bastião também fornecem conectividade RDP e SSH às cargas de trabalho situadas atrás do bastião, bem como dentro da rede.
A SKU selecionada ao implantar o Bastion determina a arquitetura e os recursos disponíveis. É possível atualizar para uma SKU mais alta para dar suporte a mais recursos, mas não é possível fazer downgrade de uma SKU após a implantação. Determinadas arquiteturas, como Somente privado e a oferta de Desenvolvedor do Bastion, devem ser configuradas no momento da implantação. Para obter mais informações sobre cada arquitetura, consulte o Design e a arquitetura do Bastion.
Os diagramas a seguir mostram as arquiteturas disponíveis para o Azure Bastion.
SKU Básico e superior
Desenvolvedor do Bastion
Implantação somente privada
Zonas de disponibilidade
Algumas regiões dão suporte à capacidade de implantar o Azure Bastion em uma zona de disponibilidade (ou múltipla, para redundância de zona). Para implantar zonalmente, implante o Bastion usando configurações especificadas manualmente (não implante usando as configurações padrão automáticas). Especifique as zonas de disponibilidade desejadas no momento da implantação. Você não poderá alterar a disponibilidade zonal depois que o Bastion for implantado.
O suporte para Zonas de Disponibilidade está atualmente em versão prévia. Durante a versão prévia, as seguintes regiões estão disponíveis:
- Leste dos EUA
- Leste da Austrália
- Leste dos EUA 2
- EUA Central
- Catar Central
- Norte da África do Sul
- Oeste da Europa
- Oeste dos EUA 2
- Europa Setentrional
- Suécia Central
- Sul do Reino Unido
- Canadá Central
Dimensionamento de host
O Azure Bastion dá suporte ao dimensionamento manual do host. Você pode configurar o número de instâncias de host (unidades de escala) para gerenciar o número de conexões RDP/SSH simultâneas às quais o Azure Bastion pode dar suporte. Ao aumentar o número de instâncias de host, o Azure Bastion pode gerenciar mais sessões simultâneas. Ao reduzir o número de instâncias, você diminui também o número de sessões simultâneas com suporte. O Azure Bastion dá suporte a até 50 instâncias de host. Esse recurso está disponível para SKU Standard e superior.
Para obter mais informações, confira o artigo Definições de configuração.
Preços
Os preços do Azure Bastion são uma combinação de preço por hora com base em SKU e instâncias (unidades de escala), além dos valores de transferência de dados. Os preços por hora começam a partir do momento em que o Bastion é implantado, independentemente do uso de dados de saída. Para obter as informações de preços mais recentes, consulte a página de preços do Azure Bastion.
Perguntas frequentes sobre o Bastion
Para perguntas frequentes, confira as Perguntas frequentes sobre o Azure Bastion.
Próximas etapas
- Início Rápido: Implantar o Bastion automaticamente com configurações padrão e SKU Standard
- Início Rápido: Implantar o Desenvolvedor do Bastion
- Tutorial: Implantar o Bastion usando configurações e SKUs especificados
- Módulo do Learn: Introdução ao Azure Bastion
- Saiba mais sobre algumas das outras principais funcionalidades de rede do Azure
- Saiba mais sobre segurança de rede do Azure