Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
O Azure Bastion é um serviço PaaS totalmente gerido que se disponibiliza para se ligar de forma segura a máquinas virtuais através de um endereço IP privado. Fornece conectividade RDP/SSH segura e contínua às suas máquinas virtuais diretamente via TLS a partir do portal Azure, ou através do cliente SSH ou RDP nativo já instalado no seu computador local. Quando se liga através do Azure Bastion, as máquinas virtuais não necessitam de um endereço IP público, agente ou software cliente especial.
O Bastion fornece conectividade segura RDP e SSH a todas as VMs na rede virtual para a qual está provisionado. Usar Azure Bastion protege as suas máquinas virtuais de expor portas RDP/SSH ao exterior, ao mesmo tempo que oferece acesso seguro através de RDP/SSH.
Principais benefícios
| Benefit | Description |
|---|---|
| Gravação de sessões em sessões VM | O Azure Bastion Premium permite a gravação gráfica de todas as sessões ligadas através do Bastion, armazenadas num contentor de armazenamento designado pelo cliente e visualizadas dentro do recurso Bastion |
| RDP e SSH através do portal Azure | Pode aceder diretamente à sessão RDP e SSH no portal Azure usando uma experiência fluida com um único clique. |
| Suporte para autenticação do Entra ID | O Azure Bastion suporta autenticação Entra ID para o portal e através de um cliente nativo. Isto permite a autenticação baseada em identidade na VM, eliminando a necessidade de métodos locais de autenticação. |
| Sessão Remota sobre TLS e travessia de firewall para RDP/SSH | O Azure Bastion utiliza um cliente web baseado em HTML5 que é transmitido automaticamente para o seu dispositivo local. A tua sessão RDP/SSH é via TLS na porta 443. Isto permite que o tráfego atravesse firewalls de forma mais segura. Bastion suporta TLS 1.2. Versões mais antigas do TLS não são suportadas. |
| Não é necessário endereço IP público na VM Azure | O Azure Bastion abre a ligação RDP/SSH à sua VM Azure usando o endereço IP privado na sua VM. Não precisa de um endereço IP público na sua máquina virtual. |
| Sem complicações na gestão de Grupos de Segurança de Rede (NSGs) | Não é necessário aplicar NSGs à sub-rede da Azure Bastion. Como o Azure Bastion liga-se às suas máquinas virtuais via IP privado, pode configurar os seus NSGs para permitir RDP/SSH apenas a partir do Azure Bastion. Isto elimina o incómodo de gerir NSGs sempre que precisa de se ligar de forma segura às suas máquinas virtuais. Para mais informações sobre NSGs, consulte Grupos de Segurança de Rede. |
| Não é preciso gerir um host bastião separado numa VM | O Azure Bastion é um serviço PaaS totalmente gerido da Azure que é reforçado internamente para lhe fornecer conectividade RDP/SSH segura. |
| Proteção contra varrimento de portas | As suas VMs estão protegidas contra scanning de portas por utilizadores desonestos e maliciosos porque não precisa de expor as VMs à internet. |
| Endurecimento apenas num único local | O Azure Bastion situa-se no perímetro da sua rede virtual, por isso não precisa de se preocupar em reforçar cada uma das VMs da sua rede virtual. |
| Proteção contra exploits zero-day | A plataforma Azure protege contra exploits zero-day mantendo o Azure Bastion reforçado e sempre atualizado para si. |
SKUs
Observação
O Bastion Premium SKU está agora disponível globalmente, oferecendo gravação gráfica de sessões e capacidades exclusivas de implementação privada.
O Azure Bastion oferece múltiplos níveis de SKU. A tabela seguinte mostra as funcionalidades e os SKUs correspondentes. Para mais informações sobre SKUs, consulte o artigo de Comparação de SKUs .
| Feature | SKU Básico | SKU padrão | SKU Premium |
|---|---|---|---|
| Conectar-se a VMs de destino na mesma rede virtual | Yes | Yes | Yes |
| Conectar-se a máquinas virtuais de destino em redes virtuais emparelhadas | Yes | Yes | Yes |
| Suporte para conexões simultâneas | Yes | Yes | Yes |
| Acessar chaves privadas de VM do Linux no Cofre de Chaves do Azure (AKV) | Yes | Yes | Yes |
| Conectar-se à VM Linux usando SSH | Yes | Yes | Yes |
| Conectar-se à VM do Windows usando RDP | Yes | Yes | Yes |
| Conectar-se à VM Linux usando RDP | No | Yes | Yes |
| Conectar-se à VM do Windows usando SSH | No | Yes | Yes |
| Especificar porta de entrada personalizada | No | Yes | Yes |
| Conectar-se a VMs usando a CLI do Azure | No | Yes | Yes |
| Dimensionamento do host | No | Yes | Yes |
| Carregar ou descarregar ficheiros | No | Yes | Yes |
| Autenticação Kerberos | Yes | Yes | Yes |
| Link compartilhável | No | Yes | Yes |
| Conectar-se a VMs via endereço IP | No | Yes | Yes |
| Saída de áudio VM | Yes | Yes | Yes |
| Desativar copiar/colar (clientes baseados na Web) | No | Yes | Yes |
| Gravação da sessão | No | No | Yes |
| Implantação apenas privada | No | No | Yes |
Architecture
O Azure Bastion oferece múltiplas arquiteturas de implementação, dependendo do SKU selecionado e das configurações de opções. Para a maioria dos SKUs, o Bastion é implementado numa rede virtual e suporta peering de rede virtual. Especificamente, o Azure Bastion gere a conectividade RDP/SSH para VMs criadas nas redes virtuais locais ou associadas.
RDP e SSH são alguns dos meios fundamentais através dos quais se pode ligar às suas cargas de trabalho a correr no Azure. Expor portas RDP/SSH pela Internet não é desejado e é visto como uma ameaça significativa. Isto deve-se frequentemente a vulnerabilidades de protocolo. Para conter esta superfície de ameaça, pode implantar servidores bastião (também conhecidos como jump servers) no lado público da sua rede de perímetro. Os servidores anfitriões Bastion são concebidos e configurados para resistir a ataques. Os servidores Bastion também fornecem conectividade RDP e SSH às cargas de trabalho situadas atrás do bastião, bem como mais para dentro da rede.
O SKU que seleciona ao implementar o Bastion determina a arquitetura e as funcionalidades disponíveis. Podes atualizar para um SKU superior para suportar mais funcionalidades, mas não podes fazer downgrade de um SKU depois de implementar. Certas arquiteturas, como Private-only e a oferta Bastion Developer, devem ser configuradas no momento da implementação. Para mais informações sobre cada arquitetura, veja Design e arquitetura dos bastiões.
Os diagramas seguintes mostram as arquiteturas disponíveis para Azure Bastion.
SKU Básico e Superior
Desenvolvedor Bastion
Implantação exclusiva privada
Zonas de disponibilidade
Algumas regiões oferecem suporte à capacidade de implantar o Azure Bastion em uma zona de disponibilidade (ou várias, para redundância de zona). Para implantar zonalmente, implante o Bastion usando configurações especificadas manualmente (não implante usando as configurações padrão automáticas). Especifique as zonas de disponibilidade desejadas no momento da implantação. Não é possível alterar a disponibilidade zonal após a implantação do Bastion.
O suporte para zonas de disponibilidade está atualmente em versão de teste. Durante a visualização, as seguintes regiões estão disponíveis:
- E.U.A. Leste
- Leste da Austrália
- E.U.A. Leste 2
- E.U.A. Central
- Catar Central
- Norte da África do Sul
- Europa Ocidental
- E.U.A. Oeste 2
- Europa do Norte
- Suécia Central
- Sul do Reino Unido
- Canadá Central
Dimensionamento do host
O Azure Bastion suporta escalonamento manual do host. Pode configurar o número de instâncias do host (unidades de escala) para gerir o número de ligações RDP/SSH concorrentes que o Azure Bastion pode suportar. Aumentar o número de instâncias do host permite que o Azure Bastion gere mais sessões simultâneas. Diminuir o número de instâncias diminui o número de sessões suportadas em simultâneo. O Azure Bastion suporta até 50 instâncias host. Esta funcionalidade está disponível para SKU Standard e superiores.
Para mais informações, consulte o artigo Definições de Configuração .
Pricing
O preço do Azure Bastion é uma combinação de preços horários baseados no SKU e nas instâncias (unidades de escala), mais taxas de transferência de dados. A tarifação por hora começa no momento em que o Bastion é implementado, independentemente do uso de dados de saída. Para as informações mais recentes sobre preços, consulte a página de preços do Azure Bastion .
FAQ do Bastion
Para perguntas frequentes, consulte o FAQ do Bastion.
Próximos passos
- Quickstart: Implementar o Bastion automaticamente com as definições padrão e o SKU padrão
- Introdução Rápida: Implantar Bastion Developer
- Tutorial: Implementar o Bastion usando definições e SKUs especificados
- Módulo Learn: Introdução ao Azure Bastion
- Saiba mais sobre algumas das outras capacidades de rede chave do Azure
- Saiba mais sobre a segurança de rede do Azure