Você está procurando uma nova maneira de melhorar a segurança para ao se conectar nas suas máquinas virtuais no Azure? Você deveria verificar Azure Bastion.
No passado, para garantir a conectividade RDP e SSH às suas Máquinas Virtuais do Azure, provavelmente tinha de utilizar uma caixa de salto onde as pessoas se conectavam para aceder aos outros VMs.
É claro que uma caixa de salto melhora a segurança do seu acesso, mas introduz algumas lacunas que o Azure Bastion aborda.
Azure Bastion visão geral
Em primeiro lugar, o Azure Bastion é um serviço de plataforma como serviço que fornece conectividade RDP e SSH segura para proteger suas máquinas virtuais do Azure.
A implementação do Azure Bastion permite o acesso a todos os VMs dentro de uma rede virtual através de um único ponto de acesso reforçado, o AzureBastionSubnet.
E como você pode imaginar, a conexão com sua VM agora acontecerá através do Portal do Azure, que se conecta ao serviço Azure Bastion usando seu IP público e carrega sua VM diretamente no seu navegador.
Custo
Para usufruir dos benefícios do Azure Bastion, você terá um custo adicional à sua assinatura
US$0.19/hour (~ US$138.70/mês por Azure Bastion)
E você também tem um custo de transferência de dados de saída, mas os preços podem variar dependendo do uso. No entanto, os primeiros 5 GB/mês são gratuitos.
Requisitos
Para criar o Azure Bastion na sua Subscription
- Sua rede virtual precisa ter uma Subnet chamada AzureBastionSubnet
- A AzureBastionSubnet deve ser /27 ou maior
- Azure Bastion utiliza IP Público e deve ser do ser Standard Public IP SKU
Para utilizar Azure Bastion
- Qualquer navegador que suporte HTML5
- Usuários ou Grupos de segurança que utilizarem o recurso do Azure Bastion deveram ter
- Reader role na(s) Máquina(s) Virtual(is)
- Reader role na placa de rede onde está o IP privado da Máquina Virtual
- Reader role para o recurso do Azure Bastion
Criando Azure Bastion num ambiente novo
Criar Azure Bastion
Primeiro, vamos criar o recurso Azure Bastion digitando Azure Search Bastion e clicando em Bastions
No Bastions, vamos clicar em Add
Para criar Bastion, selecione o Resource group (1), um Name (2) para sua instância Bastion, a Region (3), então clique em Create new (4) para configurar a nova Virtual Network
Ao criar uma rede virtual, tenha em mente que o seu Azure Bastion deve ter uma subnet chamada AzureBastionSubnet e o intervalo de endereços deve ser de pelo menos /27 e o espaço de endereço deve ser capaz de acomodá-lo.
Depois de criar a nova Virtual Network, todo o resto está dentro de Configure Virtual Networks e devidamente preenchido, mas fique a vontade para alterar se tiver uma necessidade específica de criar o recurso Bastion. Então, clique Review + Create
Agora, verifique novamente se tudo está OK e clique em Create
Criar uma máquina virtual com acesso via Bastion
Digite Virtual Machines, e clique Virtual machines na busca do Azure Portal
Em Virtual Machines, vá em Add (1) e Virtual Machine (2)
Você terá que fornecer todas as informações de 1 a 8, então ir até a aba de Networking
Em Networking você deve ter cuidado ao escolher as opções e garantir que está selecionado a mesma Virtual Network (1) usada para criar a AzureBastionSubnet, e escolher qualquer Subnet (2) disponível.
Observe que eu escolhi None para o Public IP (3) e Public inbound ports (4) porque o Azure Bastion não exige que a máquina virtual tenha um IP Público, pois nos conectaremos diretamente pelo Azure
Então clique em Review + Create
Verifique que está tudo certo com as informações e pressione Create
Conectar a sua máquina virtual utilizando Bastion
Vá até a máquina virtual que você criou e procure por Bastion
Preencha o seu Username (1) e Password (2), então pressione Connect (3)
Voilá, você agora está acessando a sua Máquina Virtual através do navegador, utilizando Bastion
E pra quem quiser um pouco mais, tem uma demonstração que fizemos no Azure Floripa
Deixe um comentário