Uso de Azure Bastion para el acceso remoto de la máquina virtual

La solución de acceso remoto que elija depende de factores como la escala, la topología y los requisitos de seguridad. En este artículo se describe cómo proporcionar acceso remoto a máquinas virtuales (VM) que se implementan en una arquitectura de zona de aterrizaje de Azure. Esta guía se centra en Azure Bastion para el acceso remoto.

Azure ofrece tecnologías que funcionan conjuntamente para facilitar el acceso remoto altamente seguro a las máquinas virtuales:

• Azure Bastion es una solución de plataforma como servicio (PaaS) que puede usar para acceder a las máquinas virtuales a través de un explorador o a través del cliente SSH o RDP nativo en estaciones de trabajo de Windows.

• El acceso Just-In-Time (JIT) se proporciona a través de Microsoft Defender for Cloud.

• Opciones de conectividad híbrida, como Azure ExpressRoute y VPN.

• Una dirección IP pública que está conectada directamente a la máquina virtual o a través de una regla NAT a través de un equilibrador de carga público de Azure.

Consideraciones de diseño

• Cuando esté disponible, puede usar la conectividad híbrida existente a redes virtuales de Azure a través de ExpressRoute o conexiones VPN S2S y P2S para proporcionar acceso remoto desde el entorno local a máquinas virtuales de Azure Windows y Linux.

• Los grupos de seguridad de red (NSG) se pueden usar para proteger las conexiones SSH y RDP a máquinas virtuales de Azure.

• JIT permite el acceso remoto ssh y RDP a través de Internet sin tener que implementar ninguna otra infraestructura para las máquinas virtuales compatibles. JIT admite:

  • Máquinas virtuales implementadas a través de Azure Resource Manager.
  • Máquinas virtuales implementadas con modelos de implementación clásicos.
  • Máquinas virtuales protegidas por Azure Firewalls en la misma red virtual que la máquina virtual.
  • Máquinas virtuales protegidas por firewalls de Azure controladas por Azure Firewall Manager.

• Azure Bastion proporciona una capa adicional de control. Permite una conectividad RDP y SSH altamente segura y sin problemas a las máquinas virtuales directamente desde Azure Portal o el cliente nativo a través de un canal TLS seguro. Azure Bastion también niega la necesidad de conectividad híbrida.

• Use la SKU de Azure Bastion adecuada en función de sus requisitos. Para más información, consulte Opciones de configuración de Azure Bastion.

• Revise las preguntas más frecuentes sobre Azure Bastion para obtener respuestas a preguntas comunes sobre el servicio.

• Azure Bastion con autenticación Kerberos requiere que los controladores de dominio y Azure Bastion se encuentren en la misma red virtual. Para más información, consulte Autenticación Kerberos de Azure Bastion.

• Azure Bastion se puede usar en una topología de Azure Virtual WAN. Sin embargo, existen algunas limitaciones:

  • Azure Bastion no se puede implementar dentro de un centro virtual de Virtual WAN.

  • Azure Bastion debe usar la SKU Premium o Estándar. La característica de conexión basada en IP debe estar habilitada en el recurso de Azure Bastion. Para más información, consulte la documentación de conexión basada en IP de Azure Bastion.

  • Azure Bastion se puede implementar en cualquier red virtual de satélite que esté conectada a una Virtual WAN. Azure Bastion proporciona acceso a las máquinas virtuales de su propia red virtual a través de conexiones de red virtual de Virtual WAN. También puede proporcionar acceso a las máquinas virtuales de otras redes virtuales que están conectadas a la misma virtual WAN a través de sus centros asociados. Una implementación correcta requiere la configuración de enrutamiento adecuada. Por ejemplo, puede implementar Azure Bastion mediante el patrón de extensión del centro virtual.

  • La SKU estándar de Azure Bastion requiere una subred dedicada (AzureBastionSubnet), mientras que la SKU para desarrolladores no lo hace.

• La SKU del desarrollador es una versión gratuita, de configuración cero y siempre activa del servicio Azure Bastion. A diferencia de la SKU estándar, la SKU para desarrolladores no es un recurso dedicado, pero funciona como parte de un grupo compartido y no admite el emparejamiento de red virtual.

Recomendaciones de diseño

• En el caso de las cargas de trabajo de producción, implemente la SKU Estándar o Premium de Azure Bastion. Para entornos de prueba y sandbox, use la SKU de desarrollador en regiones seleccionadas.

• Use la conectividad de ExpressRoute o VPN existente para proporcionar acceso remoto a las máquinas virtuales de Azure a las que se puede acceder desde la red local.

• En una topología de red basada en Virtual WAN en la que se requiere acceso remoto a las VMs a través de Internet, puede implementar Azure Bastion en cada red virtual de los VMs correspondientes.

  O bien, puede implementar una instancia centralizada de Azure Bastion en un solo nodo en la topología de la Virtual WAN. Esta configuración reduce el número de instancias de Azure Bastion que se van a administrar en el entorno. Este escenario requiere que los usuarios que inicien sesión en máquinas virtuales Windows y Linux a través de Azure Bastion tengan un rol de Lector en el recurso de Azure Bastion y la red virtual de bastidor elegida. Algunas implementaciones pueden tener consideraciones de seguridad o cumplimiento que restrinjan o impidan este requisito. En el diagrama siguiente se muestra una topología de Azure Virtual WAN.

  

• En una red hub-and-spoke en la que se requiere acceso remoto a máquinas virtuales de Azure a través de internet:

  • Puede implementar un único host de Azure Bastion en la red virtual central, que puede proporcionar conectividad a máquinas virtuales de Azure en redes virtuales satélite a través del emparejamiento de redes virtuales. Esta configuración reduce el número de instancias de Azure Bastion que se van a administrar en el entorno. Este escenario requiere que los usuarios que inicien sesión en máquinas virtuales Windows y Linux a través de Azure Bastion tengan un rol de lector en el recurso de Azure Bastion y en la red virtual del hub. Algunas implementaciones pueden tener consideraciones de seguridad o cumplimiento que restrinjan o impidan este requisito. En el diagrama siguiente se muestra una topología en estrella tipo hub-and-spoke de Azure.

  

  • Es posible que tu entorno no permita conceder a los usuarios el rol de lector de control de acceso basado en roles (RBAC) en el recurso de Azure Bastion y la red virtual del centro. Utiliza la SKU Básica o Estándar de Azure Bastion para proporcionar conectividad a las máquinas virtuales dentro de una red virtual de tipo spoke. Despliegue una instancia dedicada de Azure Bastion en cada red virtual de rama que requiera acceso remoto. En el diagrama siguiente se muestra una topología de red virtual independiente de Azure.

  

• Configure reglas de NSG para proteger Azure Bastion y las máquinas virtuales a las que proporciona conectividad. Para más información, consulte Uso de máquinas virtuales y grupos de seguridad de red en Azure Bastion.

• Configure los registros de diagnóstico de Azure Bastion que se enviarán al área de trabajo central de Log Analytics. Para más información, consulte Habilitación y uso de registros de recursos de Azure Bastion.

• Asegúrese de crear las asignaciones de roles de RBAC necesarias para los usuarios o grupos que se conectan a las máquinas virtuales a través de Azure Bastion.

• Si se conecta a máquinas virtuales Linux mediante SSH, establezca la conexión a través de una clave privada en Azure Key Vault.

• Implemente Azure Bastion y el acceso a ExpressRoute o VPN para satisfacer necesidades específicas, como el acceso de emergencia.

• No habilite el acceso remoto a máquinas virtuales Windows y Linux a través de direcciones IP públicas conectadas directamente a las máquinas virtuales. No implemente el acceso remoto sin reglas estrictas de NSG y firewalling.