Azure Bastion es un servicio (PaaS) que proporciona conectividad RDP y SSH de manera segura y sin problemas a las máquinas virtuales a través del protocolo TLS.
Gracias a este servicio las máquinas virtuales no necesitan una dirección IP pública, ya que las conexiones se realizan hacia Azure Bastion, agregando de esta forma una capa de seguridad a las virtuales.
Con Azure Bastion, la conexión a la máquina virtual se realiza directamente desde el portal de Azure. No se necesita un cliente, agente o software adicional.
La implementación de Azure Bastion es por red virtual, con lo cual estará disponible para todas las máquinas virtuales que se encuentren en esa red.
Con Azure Bastion las maquinas virtuales no solo no necesitan una IP publica sino que tampoco necesitan exponer los puertos RDP ni SSH, debido a esto, están protegidas contra el escaneo de puertos por parte de usuarios maliciosos y malintencionados ubicados fuera de la red.
Con algunas variaciones de acuerdo a la cantidad de conexiones y sesiones en uso, Azure Bastion soporta, en principio, 25 conexiones RDP concurrentes y 50 de SSH.
En cuanto a los precios se pueden verificar aqui.
Pasamos a lo importante.
Crear host de Azure Bastion:
Ingresamos al portal de Azure y elegimos crear un recurso:
Buscamos Bastion, nos aseguramos que sea el de Microsoft:
Y elegimos crear:
Completamos los datos que nos pide como nuestra suscripción, el grupo de recursos (en mi caso use uno que ya tenia), el nombre de la instancia, la región en donde lo vamos a crear, luego la red virtual y por ultimo el nombre de la ip publica:
En cuanto al grupo de recursos de Azure en el que se creará el Bastion, si no tienen uno, deben crear uno nuevo.
Con respecto a la red virtual pueden crear una nueva o utilizar una red virtual existente. Si van a utilizar una red virtual existente, tienen que asegurarse de que tenga suficiente espacio libre de direcciones para los requisitos de subred de Bastion.
La subred estará dedicada al host de Bastion y debe nombrarse como AzureBastionSubnet. Esta subred debe ser al menos /27 o mayor.
AzureBastionSubnet no admite rutas definidas por el usuario, pero sí admite grupos de seguridad de red.
La dirección IP pública de Bastion es a la que se accederá a través de RDP o SSH (a través del puerto 443). La IP pública debe estar en la misma región que el recurso Bastion que están creando.
Cuando terminamos la configuración, hacemos click en Revisar + Crear y luego en Crear. Esto valida los valores. Una vez que pasa la validación, comienza la implementacion:
Una vez que el servicio de Bastion se encuentra aprovisionado ya podemos usarlo para conectarlo a cualquier maquina virtual.
Para ello vamos al portal de Azure, vamos a la maquina virtual que queremos conectar y hacemos click en Conectar y luego Bastion:
Elegimos Usar un Bastion:
Ponemos nuestro usuario y contraseña:
Y podemos acceder a la virtual desde el navegador, sin que la virtual tenga IP publica ni puertos abiertos:
En la prueba el consumo fue de apenas 28 pesos (cosa que va a depender del tamaño de tu virtual, si tenes que crear algún grupo de recursos nuevo, etc, pero no debería ser descomunal para esta prueba).
Espero que les haya servido!
Saludos!
No hay comentarios:
Publicar un comentario