Arquitetura de design para o Azure Bastion

O Azure Bastion oferece várias arquiteturas de implantação, dependendo do SKU selecionado e das configurações de opções. Para a maioria dos SKUs, o Bastion é implantado numa rede virtual e suporta o emparelhamento de rede virtual. Especificamente, o Azure Bastion gerencia a conectividade RDP/SSH com as VMs criadas nas redes virtuais locais ou emparelhadas.

RDP e SSH são alguns dos meios fundamentais pelos quais você pode se conectar às suas cargas de trabalho em execução no Azure. A exposição de portas RDP/SSH pela Internet não é desejada e é vista como uma superfície de ameaça significativa. Isso costuma ocorrer devido a vulnerabilidades de protocolo. Para conter essa superfície de ameaça, você pode implantar hosts de bastiões (também conhecidos como jump-servers) no lado público de sua rede de perímetro. Os servidores de hosts de bastião são projetados e configurados para resistir a ataques. Os servidores de Bastion também fornecem conectividade RDP e SSH às cargas de trabalho dentro do bastião e dentro da rede.

A SKU selecionada ao implantar o Bastion determina a arquitetura e os recursos disponíveis. É possível atualizar para uma SKU mais alta para dar suporte a mais recursos, mas não é possível fazer downgrade de uma SKU após a implantação. Determinadas arquiteturas, como Private-only e Bastion Developer, devem ser configuradas no momento da implantação.

Implantação – SKU Básico e superior

Ao trabalhar com a SKU Básico ou superior, o Bastion usa a arquitetura e o fluxo de trabalho a seguir.

• O Bastion host é implantado na rede virtual que contém a sub-rede AzureBastionSubnet que tem um prefixo mínimo de /26.
• O usuário se conecta ao portal do Azure usando um navegador HTML5 e seleciona a máquina virtual à qual se conectar. Nenhum endereço IP público é necessário na VM do Azure.
• A sessão RDP/SSH é aberta no navegador com um único clique.

Para algumas configurações, o usuário pode conectar-se à máquina virtual através do cliente nativo do sistema operacional.

Para obter as etapas de configuração, consulte:

• Implantar o Bastion automaticamente usando as configurações padrão e o SKU Standard
• Implantar o Bastion utilizando configurações especificadas manualmente

Implantação – Desenvolvedor do Bastion

O Bastion Developer é uma oferta leve e gratuita do serviço do Azure Bastion. Essa oferta é ideal para usuários de Desenvolvimento/Teste que desejam se conectar com segurança às suas VMs, mas não precisam de recursos adicionais do Bastion ou dimensionamento de host. Com o Bastion Developer, você pode se conectar a uma VM do Azure de cada vez diretamente por meio da página de conexão da máquina virtual.

Quando você se conecta ao Bastion Developer, os requisitos de implantação são diferentes de quando você implanta usando outras SKUs. Normalmente, ao criar um bastion host, um host é implantado no AzureBastionSubnet em sua rede virtual. O host do Bastion é dedicado para seu uso, enquanto o Desenvolvedor do Bastion não é. Como o recurso de Desenvolvedor do Bastion não é dedicado, os recursos para o Desenvolvedor do Bastion são limitados. Você sempre pode atualizar o Desenvolvedor do Bastion para uma SKU específica se precisar dar suporte a mais recursos. Confira Fazer upgrade de uma SKU.

Para obter mais informações sobre o Desenvolvedor do Bastion, consulte Conectar-se com o Desenvolvedordo Azure Bastion.

Implantação - Somente privado

As implantações do Bastion somente privadas bloqueiam cargas de trabalho de ponta a ponta criando uma implantação do Bastion sem roteamento pela internet que permite apenas acesso a endereços IP privados. As implantações do Bastion somente privadas não permitem conexões com o bastion host por meio de um endereço IP público. Por outro lado, uma implantação comum do Azure Bastion permite que os usuários se conectem ao bastion host usando um endereço IP público.

O diagrama mostra a arquitetura de implantação somente privada do Bastion. Um usuário conectado ao Azure por meio do emparelhamento privado do ExpressRoute pode se conectar com segurança ao Bastion usando o endereço IP privado do bastion host. Em seguida, o Bastion pode fazer a conexão por meio de um endereço IP privado a uma máquina virtual que está dentro da mesma rede virtual que o bastion host. Em uma implantação do Bastion somente privada, o Bastion não permite o acesso de saída fora da rede virtual.

Considerations:

• O Bastion somente privado é configurado no momento da implantação e requer a camada de SKU Premium.

• Não é possível alterar de uma implantação comum do Bastion para uma implantação somente privada.

• Para implantar o Bastion somente privado em uma rede virtual que já tenha uma implantação do Bastion, primeiro remova o Bastion de sua rede virtual e implante o Bastion novamente na rede virtual como somente privado. Você não precisa excluir e recriar a AzureBastionSubnet.

• Se desejar criar conectividade privada de ponta a ponta, conecte-se usando o cliente nativo em vez de se conectar por meio do portal do Azure.

• Se o computador cliente for local e não a do Azure, você precisará implantar um ExpressRoute ou VPN e habilitar a conexão baseada em IP no recurso do Bastion.

• Verifique se as regras de segurança de rede não bloqueiam o acesso da porta 443 ao AzureBastionSubnet para tráfego de rede virtual de entrada.

Para obter mais informações sobre implantações somente privadas, consulte Implantar o Bastion como somente privado.

Próximas etapas

• Início Rápido: Implantar Bastion automaticamente - SKU padrão
• Implantar o Bastion utilizando configurações especificadas manualmente
• Conectar-se ao Desenvolvedor do Azure Bastion
• Implantar o Bastion como somente privado