Arquitetura de design para o Azure Bastion

O Azure Bastion oferece várias arquiteturas de implantação, dependendo da SKU selecionada e das configurações de opção. Para a maioria das SKUs, o Bastion é implantado numa rede virtual e suporta o emparelhamento de redes virtuais. Especificamente, o Azure Bastion gerencia a conectividade RDP/SSH para VMs criadas nas redes virtuais locais ou emparelhadas.

RDP e SSH são alguns dos meios fundamentais através dos quais você pode se conectar às suas cargas de trabalho em execução no Azure. Expor portas RDP/SSH pela Internet não é desejado e é visto como uma superfície de ameaça significativa. Isto é muitas vezes devido a vulnerabilidades de protocolo. Para conter essa superfície de ameaça, você pode implantar hosts bastion (também conhecidos como jump-servers) no lado público da sua rede de perímetro. Os servidores host Bastion são projetados e configurados para resistir a ataques. Os servidores Bastion também fornecem conectividade RDP e SSH para as cargas de trabalho situadas atrás do bastião, e também mais dentro da rede.

A SKU selecionada ao implantar o Bastion determina a arquitetura e os recursos disponíveis. Você pode atualizar para um SKU superior para suportar mais recursos, mas não pode fazer um downgrade de um SKU após a implantação. Certas arquiteturas, como Private-only e Bastion Developer, devem ser configuradas no momento da implementação.

Implantação - SKU básico e superior

Ao trabalhar com o Basic SKU ou superior, Bastion usa a seguinte arquitetura e fluxo de trabalho.

• O host Bastion é implantado na rede virtual que contém a sub-rede AzureBastionSubnet que tem um prefixo /26 mínimo.
• O usuário se conecta ao portal do Azure usando qualquer navegador HTML5 e seleciona a máquina virtual à qual se conectar. Um endereço IP público não é necessário na VM do Azure.
• A sessão RDP/SSH é aberta no navegador com um único clique.

Para algumas configurações, o usuário pode se conectar à máquina virtual por meio do cliente nativo do sistema operacional.

Para obter os passos de configuração, veja:

• Implante o Bastion automaticamente usando as configurações padrão e o SKU padrão
• Implantar Bastion usando configurações especificadas manualmente

Implantação - Bastion Developer

O Bastion Developer é uma oferta leve e gratuita do serviço Azure Bastion. Essa oferta é ideal para usuários de Desenvolvimento/Teste que desejam se conectar com segurança a suas VMs, mas não precisam de recursos adicionais de Bastion ou dimensionamento de host. Com o Bastion Developer, você pode se conectar a uma VM do Azure de cada vez diretamente por meio da página de conexão da máquina virtual.

Quando você se conecta com o Bastion Developer, os requisitos de implantação são diferentes de quando você implanta usando outros SKUs. Normalmente, quando você cria um host bastion, um host é implantado na AzureBastionSubnet em sua rede virtual. O servidor Bastion é dedicado ao seu uso, enquanto o Bastion Developer não é. Como o recurso Bastion Developer não é dedicado, os recursos do Bastion Developer são limitados. Você pode sempre atualizar o Bastion Developer para um SKU específico, caso precise suportar mais funcionalidades. Consulte Atualizar a SKU.

Para obter mais informações sobre o Bastion Developer, consulte Conectar-se com o Azure Bastion Developer.

Implantação - Somente privada

As implantações apenas privadas do Bastion protegem as cargas de trabalho de ponta a ponta ao criar uma implantação que não é roteável na Internet, permitindo apenas o acesso a endereços IP privados. As implantações Bastion somente privadas não permitem conexões com o host bastion por meio de endereço IP público. Por outro lado, uma implantação regular do Azure Bastion permite que os usuários se conectem ao host bastion usando um endereço IP público.

O diagrama mostra a arquitetura de implantação privada apenas do Bastion. Um utilizador conectado ao Azure através do emparelhamento privado do ExpressRoute pode conectar-se em segurança ao Bastion usando o endereço IP privado do host bastion. Bastion pode então fazer a conexão via endereço IP privado para uma máquina virtual que está dentro da mesma rede virtual que o host bastion. Numa implantação de Bastion apenas privada, Bastion não permite acesso de saída fora da rede virtual.

Considerations:

• O Bastion de acesso apenas privado é configurado no momento da implementação e requer o nível SKU Premium.

• Não é possível alterar de uma implementação Bastion regular para uma implementação exclusivamente privada.

• Para implantar o Bastion como apenas privado numa rede virtual que já tenha uma implantação Bastion, primeiro remova o Bastion da sua rede virtual e, em seguida, implante-o novamente na rede virtual como apenas privado. Você não precisa excluir e recriar o AzureBastionSubnet.

• Se você quiser criar conectividade privada de ponta a ponta, conecte-se usando o cliente nativo em vez de se conectar por meio do portal do Azure.

• Se sua máquina cliente for local e não for do Azure, você precisará implantar uma Rota Expressa ou VPN e habilitar a conexão baseada em IP no recurso Bastion.

• Certifique-se de que suas regras de segurança de rede não bloqueiem o acesso da porta 443 à AzureBastionSubnet para o tráfego de entrada da Rede Virtual.

Para obter mais informações sobre implantações apenas privadas, consulte Implantar Bastion como apenas privado.

Próximos passos

• Implantar Bastion automaticamente - somente SKU padrão
• Implantar Bastion usando configurações especificadas manualmente e SKU
• Conecte-se com o Azure Bastion Developer
• Implantar Bastion como somente privado