Por Fábio Moura

/ Em Segurança da Informação /

Postado em

fev 20, 2020

Azure Bastion: acesso seguro via RDP/SSH

Com a crescente preocupação em tornar os acessos mais seguros da sua infraestrutura de VMs na Nuvem, trouxemos um serviço PaaS que fornece conectividade de RDP/SSH contínua e segura para as suas máquinas virtuais dentro da rede na qual foi provisionado.

Azure Bastion protege suas VMs de expor as portas RDP/SSH ao mundo externo, ao mesmo tempo fornecendo o acesso seguro: você conecta diretamente na VM pelo portal do Azure dispensando a necessidade de cliente, agente ou programa adicional.

Arquitetura

A implantação é realizada em sua rede virtual fornecendo a experiência segura de RDP/SSH para todas as máquinas virtuais em seu ambiente.

Após o provisionamento, a experiência de RDP/SSH é disponibilizada para todas as suas VMs na mesma rede virtual. A implantação é feita por rede virtual, não por assinatura/conta ou VM.

RDP e SSH são alguns dos meios fundamentais pelos quais você pode se conectar as suas VMs em execução no Azure.

A exposição de portas RDP/SSH pela Internet não é desejada e vista como uma superfície de ameaça significativa, isso costuma ocorrer devido às vulnerabilidades de protocolo. Para conter essa superfície de ameaça, você pode implantar hosts de bastion (também conhecidos como jump-servers) no lado público de sua rede de perímetro.

Os servidores de hosts de bastion são projetados e configurados para resistir aos ataques. Eles também fornecem conectividade RDP e SSH às cargas de trabalho situadas atrás do bastion, bem como dentro da rede.

Arquitetura de implantação

O host Bastion é implantado na rede virtual, o usuário se conecta ao portal do Azure usando qualquer navegador HTML5 e seleciona a máquina virtual a qual deseja se conectar.

Com um único clique, a sessão RDP/SSH é aberta no navegador, nenhum IP público é necessário na VM do Azure.

Recursos disponíveis

  • Você pode obter acesso direto à sessão RDP e SSH no portal do Azure usando uma experiência perfeita de único clique.
  • Sessão remota sobre SSL e passagem de firewall para RDP/SSH: O Azure Bastion usa um cliente Web baseado em HTML5 que é automaticamente transmitido para seu dispositivo local, para que você obtenha sua sessão RDP/SSH sobre SSL na porta 443, permitindo que cruze firewalls corporativos com segurança.
  • Não é necessário IP público na VM do Azure: O Azure Bastion abre a conexão RDP/SSH com sua máquina virtual do Azure usando IP privado em sua VM. Você não precisa de um IP público na sua máquina virtual.
  • Sem problemas de gerenciamento de NSGs: O Azure Bastion é um serviço PaaS de plataforma totalmente gerenciado do Azure que é protegido internamente para fornecer conectividade RDP/SSH segura. Não é preciso aplicar qualquer NSG na sub-rede do Azure Bastion.
  • Como o Azure Bastion se conecta às suas máquinas virtuais por IP privado, você pode configurar seus NSG’s para permitir somente o RDP/SSH do Azure Bastion. Isso acaba com o trabalho de gerenciar NSG’s cada vez que você precisa se conectar com segurança às suas máquinas virtuais.
  • Proteção contra a varredura de porta: Como você não precisa expor suas máquinas virtuais à Internet pública, suas VMs são protegidas contra a varredura de portas por usuários invasores e mal-intencionados localizados fora de sua rede virtual.
  • Protege contra explorações de dia zero, proteção em um único lugar: o Azure Bastion é um serviço de PaaS totalmente gerenciado por plataforma. Como ele reside no perímetro de sua rede virtual, você não precisa se preocupar em proteger cada uma das VMs da sua rede virtual. A plataforma do Azure protege contra explorações de dia zero, mantendo o Azure Bastion protegido e sempre atualizado para você.

Regiões disponíveis

  • Oeste dos EUA
  • Leste dos EUA
  • Europa Ocidental
  • Centro-Sul dos Estados Unidos
  • Leste da Austrália
  • Leste do Japão

Navegadores compatíveis

Use o navegador Microsoft Edge ou o Google Chrome no Windows. Para o Apple Mac, use o navegador Google Chrome. O Microsoft Edge Chromium também é compatível com o Windows e Mac.

Função para acessar uma máquina virtual

Para fazer uma conexão, são necessárias as seguintes funções:

  • Função de leitor na máquina virtual
  • Função de leitor na placa de interface de rede com endereço IP privado da máquina virtual
  • Função de leitor no recurso do Azure Bastion

Utilizando essa tecnologia descrita no artigo, temos uma camada a mais de segurança para o acesso das suas VMs, com isso tornando o seu trabalho de acesso e administração dessas máquinas muito mais seguro.

Quer saber mais sobre o assunto, procure nossos especialistas.

0

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *