Azure Bastion
É um serviço PaaS totalmente gerenciado por plataforma que pode ser provisionado dentro de sua rede virtual. Que fornece uma conectividade RDP/SSH segura e contínua para suas máquinas virtuais diretamente do portal do Azure via TLS.
Ao se conectar por meio do Azure Bastion, suas máquinas virtuais não precisarão de um endereço IP público, nem de um agente e tampouco de um software cliente especial.
Máquinas virtuais (VM) acessadas usando IPs públicos são vulneráveis a ataques cibernéticos, especialmente quando são usadas diretamente no ambiente de produção.
A alternativa é usar uma VPN site a site ou uma máquina virtual dedicada que armazene endereços IP públicos. Embora nenhuma dessas soluções garanta proteção completa contra ataques cibernéticos, elas são complexas de implementar e gerenciar.
Para combater esses problemas, a Microsoft introduziu essa solução de Plataforma como Serviço (PaaS) totalmente gerenciada fornecida na Rede Virtual do Azure (VNet) para conectividade de Protocolo de Área de Trabalho Remota (RDP)/Secure Shell Protocol (SSH) para máquinas virtuais do Azure.
Vantagens do Azure Bastion.
Com o Azure Bastion, os usuários aproveitam um servidor (Jump-Server) que atua como um ponto único para acessar seus recursos. No entanto, ao contrário de outras soluções, os usuários não precisam gerenciar implantações complexas de VPN ou usar um IP público para uma VM exposto à Internet.
Aqui estão algumas das outras vantagens de usar o Azure Bastion:
- Os usuários podem RDP/SSH diretamente no Portal do Azure.
- As sessões remotas podem ser acessadas com segurança por HTML5 (HTTPS/443).
- Os endereços IP públicos expostos diretamente à Internet não são necessários para acessar as VMs do Azure.
- As organizações que usam a solução não terão que gerenciar grupos de segurança de rede (NSG).
- A travessia de firewall não é necessária para RDP/SSH.
Custo.
Azure Bastion é cobrado por hora a partir do momento em que o recurso é implantado até o recurso ser excluído, independentemente do uso de dados de saída. O preço por hora será baseado no SKU selecionado, número de unidades de escala configuradas e nas taxas de transferência de dados.
Exemplo da Calculadora. Foi considerado o a Região East US, SKU Standard e o serviço estando ativo 30 dias, com uma transferência média (Transfer Out) de 100GB. Foi utilizado a calculadora da Microsoft. (02/2023) https://azure.microsoft.com/pt-br/pricing/calculator/
Pré-requisitos.
Uma rede virtual. Essa será a VNet na qual você implantará o Bastion.
Uma máquina virtual na rede virtual. Essa VM não faz parte da configuração do Bastion e não se torna um bastion host. Você se conecta a essa VM posteriormente neste tutorial por meio do Bastion. Caso não tenha uma VM, crie uma usando o Guia de Início Rápido: Criar uma VM.
- Funções VM necessárias:
- A função de leitor na máquina virtual.
- A função de leitor na placa de interface de rede com endereço IP privado da máquina virtual.
- Portas de entrada necessárias:
- Para VMs do Windows – RDP (3389)
- Para VMs do Linux – SSH (22)
Configuração Azure Bastion.
Abaixo, iremos realizar o passo a passo para implementação desta arquitetura, considerando que já exista uma VM conectada em uma VNet específica:
Neste cenário, utilizaremos a VM: SRV-DC01, onde abaixo vimos que não existe nenhum IP público atribuído a ela:
Vamos seguir abaixo com os passos para implementar o Azure Bastion:
1 – Dentro do Resource Group qual está localizada a VNet associada às VMs que você deseja ter acesso, clique em “Create”.
2 – Na barra de pesquisa, digite “Bastion” e selecione o serviço.
3 – Na tela seguinte, clique em “Create”.
4 – Neste passo, vamos realizar as configurações do Bastion. Confirme a Subscription e o Resource Group onde o Bastion será implementado, defina um nome e a região:
Continuando nesta tela, devemos selecionar a VNet qual o Bastion estará associado. Nesse ponto, temos um detalhe importante, onde temos criar uma subnet específica para ele, e o nome deve ser obrigatoriamente “AzureBastionSubnet”. Essa subnet deve ser no mínimo /26, conforme solicitado.
clique em “Manage subnet configuration” para criação dessa subnet
5– Neste passo, clique em “+ Subnet” para adicionar a nova subnet dentro da VNet escolhida anteriormente:
Irá abrir um novo menu, nomeie a nova subnet como “AzureBastionSubnet” e configure o range de endereços conforme a sua VNet, Atenção que é necessária uma subnet de tamanho mínimo /26. Em seguida, clique em “Save”.
Depois dessa configuração, nesse exemplo temos agora duas subnets, veja abaixo como ficou a configuração.
- default, onde está localizada a VM qual iremos acessar através do Bastion e
- AzureBastionSubnet, qual será utilizada pelo serviço de Bastion.
Voltando à tela anterior na criação do Bastion, vemos que agora a subnet que criamos já está disponível e deveremos selecioná-la:
6 – Para finalizar, deveremos atribuir um endereço de IP Público para o serviço do Bastion. Caso você não possua nenhum disponível, deixe marcada a opção “Create New” e o nomeie.
Ao final, realizadas todas as configurações, clique em “Next: Tags >”.
7 – Adicione TAGs conforme as necessidades ou compliance de seu ambiente e ao final clique em “Review + Create”.
8 – No próximo passo, aguarde a etapa de validação ser concluída, revise os dados e clique em “Create”:
9 – Você será redirecionado para a próxima tela, onde deverá aguardar o recurso ser provisionado. Então ao concluído, aparecerá uma tela semelhante. Clique em “Go to the Resource”
10 – Na tela do recurso Bastion que foi provisionado, observe se o status do provisionamento está como “Succeeded”. Caso positivo, iremos então realizar a conexão com à VM.
11 – Podemos ir até a VM que desejamos conectar (SRV-DC01). Veja que ela não possui nenhum IP Público atribuído. Assim, clique na opção “Bastion”, em seguida selecione “Provisione o Bastion”.
12 – Na tela de conexão através do Bastion, você deverá adicionar as credenciais de acesso à VM e clicar em “Connect”:
Obs. Esse usuário é o criado durante a criação da VM. Ou qualquer usuário que já possuía acesso a VM.
Desta forma seremos direcionados a uma nova aba com acesso à gerência da VM, diretamente pelo navegador.
Veja abaixo:
Conclusão.
Com isso finalizamos a configuração do Azure Bastion com sucesso!!!
Espero que este conteúdo tenha contribuído com o enriquecimento do conhecimento de vocês em Azure.
