Acceso seguro mediante RDP / SSH a tus máquinas virtuales en Azure.

Azure Bastion

¿Qué es Azure Bastion?

Cuando creamos una máquina virtual en la nube, necesitamos acceder a ella para administrarla. Habitualmente se habilita RDP en el caso de una máquina Windows o el servicio de SSH en el caso de un equipo con Linux.

Aquí se produce un dilema:

  • Si habilitamos este servicio de cara al exterior (Internet) estaremos poninedo en riesgo la seguridad de nuestra infraestructura. A partir de ese momento, cualquiera puede realizar ataques de fuerza bruta probando listas de contraseñas u otros ataques más sofisticados. Aunque se pueden implementar medidas de seguridad adicionales, como limitar las IPs de origen, esto también repercute en la administración de las máquinas. Si no accedemos desde esas IPs, tampoco nosotros podremos administrar las máquinas.
  • Si no habilitamos la administración remota será complicado gestionar el servicio y realizar cualquier configuración que necesitemos en los equipos virtuales.

Azure Bastion es un servicio de Microsoft que permite acceder a las máquinas virtuales a través de RDP o SSH sin que estas, estén expuestas a Internet.

Las máquinas protegidas por Azure Bastion, no necesitan de una IP pública. Cuando queremos adminsitrar las máquinas, nos conectamos al Bastion y este a su vez se conecta a la máquina en cuestión.

¿Y cómo accedemos a ese Bastión? A través del Portal de Azure mediante conexión cifrada TLS o directamente por RDP o SSH. Los equipos de destino no necesitan de ningún software o configuración especial.

Escenario de ejemplo

Publicamos en Azure una máquina virtual Wwindows y otra Linux. La máquina virtual de Windows tiene el protocolo RDP habilitado y la de Linux el SSH. Les asociamos una IP pública para acceder a estos recursos y administrarlos.

En lugar de exponer las máquinas a Internet, una mejor solución consiste en implementar Azure Bastion.

Una vez configurado, nos conectamos desde Azure Portal a Bastion y este, a su vez, se conecta a nuestras máquinas virtuales, usando esos mismos protocolos: RDP y SSH.

Es por esto que a menudo se conoce  aeste tipo de servicios como «servidores de salto».

Ahora, ya no es necesario que dispongamos de una IP pública para acceder a los recursos puesto que estamos utilizando un equipo que hace de puente en nuestras conexiones. Las máquinas de destino están disponibles directamente mediante RDP o SSH o a través del Portal de Azure. El servicio de Azure Bastion forma parte de PaaS o Plataforma como servicio. Únicamente tendremos que preocuparnos de implementar el servicio en nuestra infraestructura existente para comenzar a utilizarlo. De forma predeterminada, ya está configurado para permitir conexiones seguras y ser resistente a amenazas y ataques externos. Nuestras conexiones serán ahora mucho más seguras.

Arquitectura de Azure Bastion

Azure Bastion se implementa dentro de una red virtual en Azure. Permite conectar a los equipos que se encuentren dentro de esa misma red virtual. Al configurarlo, administra la conectividad RDP/SSH con máquinas virtuales creadas en las redes virtuales locales o emparejadas.

Actualmente, de forma predeterminada, las nuevas implementaciones de Bastion no admiten redundancias de zona.

En el diagrama siguiente se muestra la arquitectura de una implementación típica de Azure Bastion y se describe el proceso de conexión extremo a extremo.

Azure Bastion está implementado en una red virtual que contiene varias máquinas virtuales de Azure.
Los NSG protegen las subredes de la red virtual.
El NSG que protege la subred de máquina virtual permite el tráfico RDP y SSH desde la subred de Azure Bastion.
Azure Bastion solo admite comunicaciones mediante el puerto TCP 443 desde Azure Portal.

azure bastion esquema de red

En esta implementación típica de Azure Bastión podemos ver:

  • Bastión está implementado en la red virtual y esta a su vez, contiene la subred AzureBastionSubnet.
  • El usuario se conecta a Azure Portal con cualquier explorador HTML5.
  • Los usuario conectan a Azure Portal y este, establece la comunicación cifrada TLS con Azure Bastion
  • Las máquinas detrás de Bastión (identificadas como Azure VM) no tienen los servicios expuestos al exterior.

El proceso de conexión típico es el siguiente:

  1. El administrador de la red se conecta al Portal de Azure con cualquier navegador moderno (que soporte HTML5). La conexión está protegida y cifrada mediante TLS.
  2. A continuación selecciona la máquina de destino a la que quiere acceder para adminsitrarla mediante RDP o SSH.
  3. El portal se conecta mediante una conexión segura con Azure Bastion por medio de un NSG (Network Security Group) que protege la red virtual que hospeda la máquina virtual de destino.
  4. Azure Bastion inicia una conexión a la máquina virtual de destino.
  5. La sesión de RDP o SSH se abre en el explorador en la consola de administrador. Azure Bastion transmite la información de la sesión a través de paquetes personalizados. Estos paquetes están protegidos con TLS.

Así, mediante el uso de Azure Bastion, se omite la necesidad de exponer directamente RDP/SSH a Internet en una dirección IP pública. En su lugar, se conecta a Azure Bastion de forma segura. Utiliza para ello el protocolo Capa de sockets seguros (SSL), que se conecta a las máquinas virtuales de destino mediante una dirección IP privada.

Adicionalmente, es posible guardar las claves privadas SSH en Azure Key Vault para almacenarlas de forma centralizada.

Ventajas de Azure Bastion

La implementación de Azure Bastion es sencilla y al ser parte de los servicios de Platadorma como servicio (PaaS) los admisnitradores no deben destinar recursos a su funcionamiento interno. Es suficiente con implementarlo y comenzar a utilizarlo. Algunas de las ventajas que proporcionan son:

  • Especialmente diseñado y configurado para resistir los ataques.
  • El cliente lo implementa en su entorno pero es Microsoft quien lo mantiene actualizado y funcionando.
  • Permite el acceso mediante RDP y SSH a los equipos detrás de bastión.
  • Acceso sencillo desde el Portal de Azure a los recursos. Con un soloo clic puedes conectar mediante RDP o SSH.
  • Utiliza un cliente web basado en HTML5 por lo que puede atravesar de forma segura los firewalls perimetrales sin requerir configuración adicional. La sesión RDP o SSH se enruta mediante el puerto 443 a través del protocolo TLS.
  • Bastión se comunica con la máquina de destino mediante la IP interna de la red virtual. Por tanto no precisa de una IP pública que esté expuesta al exterior.
  • Elimina la necesidad de administrar los Network Security Group (NSG) en la subred de Azure Bastion. Los equipos de destino se pueden configrar para que únicamente acepten conexiones desde el equipo de BAstión. De este modo se evita tener que administrar los NSG cada vez que necesite conectarse de forma segura a las máquinas virtuales.
  • No requiere administrar un host bastión independiente en una máquina virtual. Azure Bastion es un servicio PaaS de Azure de plataforma totalmente administrada.
  • Protección frente al escaneado de puertos. Dado que las máquinas finales no precisan de estar expuestas a Internet, evitamos que usuarios no autorizados y malintencionados, puedan realizar escaneados de puertos y otros análisis de vulnerabilidades.
  • No es necesario preocuparse por proteger cada una de las máquinas virtuales de la red virtual.
  • Protección frente a vulnerabilidades de seguridad de día cero La plataforma de Azure protege contra ataques de día cero manteniendo automáticamente el servicio Azure Bastion protegido y siempre actualizado.

Requisitos de uso

Si queremos acceder a las máquinas de destino, protegidas por Azure BAstión, es necesario que nuestro usuario cuente con los permisos de lectura para:

  • La máquina virtual de destino: La interfaz de red con la dirección IP privada en la máquina virtual de destino
  • El recurso de Azure Bastion: Al implementar Azure Bastion, se implementa en su propia subred dentro de una red virtual o una red virtual emparejada.

Además, como requisito:

  • La subred debe denominarse AzureBastionSubnet.

Dado que Azure Bastion está protegido mediante el Network Security Group de la red virtual, el NSG debe admitir el flujo de tráfico siguiente:

Entrada:

  • Conexiones RDP y SSH desde la subred de Azure Bastion a la subred de la máquina virtual de destino.
  • Acceso al puerto TCP 443 desde Internet a la dirección IP pública de Azure Bastion.
  • Acceso TCP desde el administrador de puertas de enlace de Azure en los puertos 443 o 4443

Salida:

  • Acceso TCP desde la plataforma de Azure en el puerto 443 para admitir el registro de diagnóstico.

Nota: El administrador de puertas de enlace de Azure administra las conexiones del portal al servicio Azure Bastion.

Cuándo usar Azure Bastion

En esta unidad, explorará los usos de Azure Bastion y determinará si es una opción adecuada para conectarse de forma segura a una máquina virtual remota. Evaluará Azure Bastion en función de los siguientes criterios:

Seguridad
Administrabilidad
Integración con otras aplicaciones
Los administradores deben confiar en la administración remota para la administración y el mantenimiento de los recursos de Azure de una organización, entre los que se incluyen las máquinas virtuales y las aplicaciones instaladas en estas. Es importante tener en cuenta la capacidad de conectarse de forma segura a estos recursos y aplicaciones sin exponerlos a Internet. Puede usar Azure Bastion para conectarse de forma remota a las máquinas virtuales hospedadas y administrarlas sin exponer los puertos de administración a Internet. Algunos administradores han solucionado este requisito mediante el uso de servidores de salto, que a veces se denominan jumpboxes. En esta unidad, determinará si Azure Bastion puede reemplazar los jumpboxes como método para proporcionar acceso seguro a la administración remota.

Nota

Un jumpbox es una máquina virtual de Azure con una dirección IP pública, a la que se puede acceder desde Internet.

En un escenario típico de jumpbox:

Las máquinas virtuales de la organización se configuran solo con direcciones IP privadas y no se puede acceder directamente a ellas desde Internet.
El jumpbox se implementa en la misma red virtual que las máquinas virtuales que los administradores quieren administrar de forma remota mediante RDP y SSH.
El flujo de tráfico de red entre Internet, el jumpbox y las máquinas virtuales de destino se administra mediante un NSG.
Los administradores se conectan al jumpbox con RDP mediante la dirección IP pública.
Importante

Dado que se conecta al jumpbox con RDP en una dirección IP pública, la seguridad del jumpbox puede correr peligro.

El jumpbox es una máquina virtual que ejecuta un sistema operativo de servidor, por lo que deberá hacer lo siguiente:

Mantener la máquina virtual al día con revisiones y otras actualizaciones.
Configurar los NSG adecuados para ayudar a proteger el flujo de tráfico dentro de la red virtual entre el jumpbox y las máquinas virtuales de destino.
Criterios de decisión
Para determinar si la mejor opción para administrar de forma remota los recursos de Azure de la organización es un jumpbox o Azure Bastion, considere la posibilidad de usar criterios como la seguridad, la facilidad de administración y la integración. A continuación analizamos estos criterios.

Criterios Análisis
Seguridad Azure Bastion no expone RDP/SSH en la dirección IP pública. A diferencia de un jumpbox, Azure Bastion solo admite conexiones protegidas por TLS desde Azure Portal. Con Azure Bastion, no es necesario configurar NSG para ayudar a proteger el flujo del tráfico.
Facilidad de administración Azure Bastion es un servicio PaaS totalmente administrado. No es una máquina virtual como un jumpbox, que requiere actualizaciones periódicas. No se requiere un cliente o un agente para usar Azure Bastion, ni tampoco aplicarle revisiones o actualizaciones. Tampoco es necesario instalar ni mantener ningún otro software en las consolas de administración.
Integración Puede integrar Azure Bastion con otros servicios de seguridad nativos en Azure, como Azure Firewall. Esto no es una opción con los servidores de salto.
Nota

Azure Bastion se implementa por red virtual (o red virtual emparejada), en lugar de por suscripción, cuenta o máquina virtual.

Aplicación de los criterios
Azure Bastion da solución al objetivo principal de habilitar la administración remota segura de máquinas virtuales hospedadas. Como servicio administrado, no es necesario actualizar Azure Bastion ni configurar manualmente los NSG y sus valores relacionados. Azure Bastion representa la mejor solución para habilitar la administración remota segura de máquinas virtuales hospedadas en Azure.

Considere la posibilidad de usar Azure Bastion si tiene que administrar máquinas virtuales remotas hospedadas en Azure y:

Debe conectarse a dichas máquinas virtuales mediante RDP/SSH.
No quiere conservar el método mediante el cual se conecta a estas máquinas virtuales remotas.
No quiere configurar las opciones de NSG para habilitar la administración remota.
Quiere evitar el uso de jumpboxes.
A la hora de determinar el número de hosts de Azure Bastion que se van a implementar, tenga en cuenta que necesita uno por cada red virtual (o red virtual emparejada). No tiene que implementar Azure Bastion por máquina virtual o subred.

Azure Bastion, ¿básico o estándar?

Azure Bastion tiene dos SKU disponibles, básica y estándar. Para obtener más información, incluyendo cómo actualizar una SKU, consulte el artículo Parámetros de configuración.

En la tabla siguiente se muestran las características y las SKU correspondientes.

Conexión a máquinas virtuales de destino en redes virtuales emparejadas
Acceso a claves privadas de VM Linux en Azure Key Vault (AKV)
Conexión a una máquina virtual Linux mediante SSH
Conexión a una máquina virtual Windows mediante RDP
Autenticación de Kerberos
Salida de audio de la máquina virtual
Vínculo compartible
Conexión a máquinas virtuales mediante un cliente nativo
Conexión a máquinas virtuales a través de la dirección IP
Escalado de host
Especificación del puerto de entrada personalizado
Conexión a una máquina virtual Linux mediante RDP
Conexión mediante SSH a una máquina virtual Windows
Carga o descarga de archivos
Deshabilitar copiar y pegar (clientes basados en web)
Básico
Estándar

Escalado de host

Azure Bastion admite el escalado de host manual. Puede configurar el número de instancias de host (unidades de escalado) para administrar el número de conexiones RDP/SSH simultáneas que Azure Bastion pueden admitir. Aumentar el número de instancias de host permite a Azure Bastion administrar más sesiones simultáneas. Al reducir el número de instancias, se reduce el número de sesiones admitidas simultáneas. Azure Bastion admite hasta 50 instancias de host. Esta característica solo está disponible para la SKU estándar de Azure Bastion.

Para más información, consulte el artículo Parámetros de configuración.

Preguntas frecuentes sobre Azure Bastion

¿Qué exploradores se admiten?

El explorador debe admitir HTML 5. Utilice el explorador Microsoft Edge o Google Chrome en Windows. Para Apple Mac, use Google Chrome. Microsoft Edge Chromium también es compatible tanto con Windows como con Mac.

¿Cómo funcionan los precios?

Los precios de Azure Bastion son una combinación de precios por hora en función de la SKU, las instancias (unidades de escalado) y las tasas de transferencia de datos. Los precios por hora comienzan desde el momento en que se implementa Bastion, independientemente del uso de datos salientes. Para obtener la información de precios más reciente, consulte la página de Precios de Azure Bastion.

¿Se admite IPv6?

Actualmente, no se admite IPv6. Azure Bastion solo admite IPv4. Esto significa que solo puede asignar una dirección IP pública IPv4 al recurso de Bastion y que puede usar la instancia de Bastion para conectarse a las máquinas virtuales de destino IPv4. También puede usar su instancia de Bastion para conectarse a máquinas virtuales de destino de pila doble, pero solo podrá enviar y recibir tráfico IPv4 mediante Azure Bastion.

¿Dónde se almacenan los datos de los clientes en Azure Bastion?

Azure Bastion no mueve ni almacena los datos de los clientes fuera de la región en la que se ha implementado.

¿Es compatible Azure Bastion con Virtual WAN?

Sí, puede usar Azure Bastion para las implementaciones de Virtual WAN. Sin embargo, no se admite la implementación de Azure Bastion en un centro de Virtual WAN. Puede implementar Azure Bastion en una VNet de radio y usar la característica de conexión basada en IP para conectarse a máquinas virtuales implementadas en una VNet diferente a través del centro de Virtual WAN. Para obtener más información,consulte Establecimiento de la configuración de enrutamiento para una conexión de red virtual.

¿Puedo usar Azure Bastion con zonas de DNS privado de Azure?

Azure Bastion debe poder comunicarse con determinados puntos de conexión internos para conectarse correctamente a los recursos de destino. Por lo tanto, puede usar Azure Bastion con zonas DNS privadas de Azure siempre que el nombre de zona que seleccione no se superponga con la nomenclatura de estos puntos de conexión internos. Antes de implementar un recurso de Azure Bastion, asegúrese de que la red virtual del host no esté vinculada a una zona DNS privada con cualquiera de los siguientes nombres:

management.azure.com
blob.core.windows.net
core.windows.net
vaultcore.windows.net
vault.azure.com
azure.com
Puede utilizar una zona DNS privada que termine con uno de los nombres mencionados anteriormente (por ejemplo: privatelink.blob.core.windows.net).

El uso de Azure Bastion no se admite en Azure DNS Private Zones en nubes nacionales.

¿Azure Bastion admite Private Link?

No, actualmente Azure Bastion no admite el vínculo privado..

¿Puedo tener una subred de Azure Bastion de tamaño /27 o menor (/28, /29, etc.)?

Para los recursos de Azure Bastion implementados el 2 de noviembre de 2021 o más tarde, el tamaño mínimo de AzureBastionSubnet es /26 o mayor (/25, /24, etc.). Todos los recursos de Azure Bastion implementados en subredes de tamaño /27 antes de esta fecha no se ven afectados por este cambio y continuarán funcionando. Sin embargo, se recomienda aumentar el tamaño de cualquier subred de Azure Bastion existente a /26 en el caso de que elija aprovechar las ventajas del escalado de host en el futuro.

¿Puedo implementar varios recursos de Azure en mi subred de Azure Bastion?

No. La subred de Azure Bastion (AzureBastionSubnet) solo está reservada para la implementación del recurso de Azure Bastion.

¿Se admite el enrutamiento definido por el usuario (UDR) en las subredes de Azure Bastion?

No. No se admiten UDR en una subred de Azure Bastion.

¿Puedo actualizar de una SKU básica a una estándar?

Sí. Para ver los pasos, consulte Actualización de una SKU. Para más información sobre SKU, consulte el artículo Parámetros de configuración.

¿Puedo cambiar de una SKU estándar a una SKU básica?

No. No se admite cambiar de una SKU Estándar a una SKU Básica. Para más información sobre SKU, consulte el artículo Parámetros de configuración

¿Bastion admite la conectividad a Azure Virtual Desktop?

No, no se admite la conectividad de Bastion con Azure Virtual Desktop.

¿Por qué obtengo el error "Su sesión ha expirado" antes de iniciar la sesión de Bastion?

Las sesiones deben iniciarse solo en Azure Portal. Inicie sesión en Azure Portal y vuelva a iniciar una sesión. Si va a la dirección URL directamente desde otra sesión del explorador o pestaña, este error es previsible. Ayuda a garantizar que la sesión sea más segura y que se solo se pueda acceder a la sesión desde Azure Portal.

¿Cómo controlo los errores de implementación?

Examine los mensajes de error y cree una solicitud de soporte técnico en Azure Portal si fuera necesario. Los errores de implementación pueden estar motivados por límites, cuotas y restricciones de la suscripción de Azure. Más concretamente, los clientes pueden encontrar un límite en cuanto al número de direcciones IP públicas que se permiten por suscripción y que provoca un error en la implementación de Azure Bastion.

¿Cómo puedo incorporar Azure Bastion en mi plan de recuperación ante desastres?

Azure Bastion se implementa en redes virtuales o redes virtuales emparejadas y está asociado a una región de Azure. Es responsable de implementar Azure Bastion en una red virtual del sitio de recuperación ante desastres (DR). En caso de que se produzca un error en la región de Azure, realice una operación de conmutación por error de las máquinas virtuales a la región de DR. A continuación, use el host de Azure Bastion implementado en la región de DR para conectarse a las máquinas virtuales que ahora están implementadas en ella.

¿Admite Bastion redundancias de zona?

Actualmente, de forma predeterminada, las nuevas implementaciones de Bastion no admiten redundancias de zona. Los hosts bastión implementados anteriormente pueden tener redundancia de zona, o no. Las excepciones son las implementaciones de Bastion de las zonas Centro de Corea del Sur y Sudeste de Asia, que admiten redundancias de zona.

¿Admite Bastion cuentas de invitado de Azure AD?

Sí, a las cuentas de invitado de Azure AD se les puede conceder acceso a Bastion y se pueden conectar a máquinas virtuales.

¿Se necesitan roles para acceder a una máquina virtual?

Para crear una conexión, se requieren los siguientes roles:

Rol Lector en la máquina virtual.
Rol de lector en la tarjeta de interfaz de red con la dirección IP privada de la máquina virtual.
Rol Lector en el recurso de Azure Bastion.
Rol Lector en la red virtual de la máquina virtual de destino (si la implementación de Bastion está en una red virtual emparejada).

¿Necesito una dirección IP pública en mi máquina virtual para conectarme mediante Azure Bastion?

No. Si va a conectarse a una máquina virtual mediante Azure Bastion, no necesita una dirección IP pública en la máquina virtual de Azure a la que se va a conectar. El servicio Bastion abrirá la sesión o conexión RDP/SSH a la máquina virtual a través de la dirección IP privada de su máquina virtual dentro de su red virtual.

¿Necesito un cliente RDP o SSH?

No. Puede acceder a la máquina virtual desde Azure Portal mediante el explorador. Para conocer las conexiones y los métodos disponibles, consulte Acerca de las conexiones y características de la máquina virtual.

¿Puedo conectarme a mi máquina virtual mediante un cliente nativo?

Sí. Puede conectarse a una máquina virtual desde el equipo local mediante un cliente nativo. Consulte Conexión a una máquina virtual mediante un cliente nativo.

¿Es necesario que un agente se ejecute en la máquina virtual de Azure?

No. No es preciso instalar un agente ni ningún otro software en el explorador ni en la máquina virtual de Azure. El servicio Bastion no utiliza agentes y no requiere software adicional para RDP y SSH.

¿Qué características se admiten para las sesiones de máquina virtual?

Consulte Acerca de las conexiones y características de máquina virtual para conocer las características admitidas.

¿Hay audio remoto disponible para máquinas virtuales?

Sí. Consulte Características y conexiones de las máquinas virtuales.

¿Azure Bastion admite la transferencia de archivos?

Azure Bastion admite la transferencia de archivos entre la máquina virtual de destino y el equipo local mediante Bastion y un cliente RDP o SSH nativo. En este momento, no puede cargar ni descargar archivos mediante PowerShell ni mediante Azure Portal. Para más información, vea Carga y descarga de archivos mediante el cliente nativo.

¿Funciona la protección de Bastion con las máquinas virtuales unidas mediante extensión a una máquina virtual AADJ?

Esta característica no funciona con las máquinas unidas mediante extensión que utilizan usuarios de Azure AD. Para más información, consulte Inicio de sesión en una máquina virtual Windows en Azure mediante Azure AD.

¿Requiere Azure Bastion una CAL de RDS con fines administrativos en máquinas virtuales hospedadas en Azure?

No, el acceso a máquinas virtuales con Windows Server mediante Azure Bastion no requiere una CAL de RDS cuando se utiliza únicamente con fines administrativos.

¿Cuál es la resolución de pantalla máxima admitida a través de Bastion?

Actualmente, 1920×1080 (1080p) es la resolución máxima admitida.

¿Admite Azure Bastion la configuración o redireccionamiento de zona horaria para las máquinas virtuales de destino?

Actualmente, Azure Bastion no admite el redireccionamiento de zona horaria y la zona horaria no se puede configurar.

¿Puedo seguir implementando varios hosts bastión en redes virtuales emparejadas?

Sí. De forma predeterminada, un usuario ve el host bastión que se implementa en la misma red virtual en la que reside la máquina virtual. Sin embargo, en el menú Conectar, el usuario puede ver varios hosts bastión detectados en redes emparejadas. Pueden seleccionar el host bastión que prefieren usar para conectarse a la máquina virtual implementada en la red virtual.

Únete a las miles de empresas que ya utilizan Azure

Sube tu empresa a la nube de la mano de Microsoft Azure

o llámanos al (+34) 91 687 25 23

Servicios relacionados con Azure

DLP y control de usuarios

NAC y acceso seguro a la red