Azure Bastion

tecnozero / Azure / Bastion

¿Qué es Azure Bastion?

Cuando creamos una máquina virtual en la nube, necesitamos acceder a ella para administrarla. Habitualmente se habilita RDP en el caso de una máquina Windows o el servicio de SSH en el caso de un equipo con Linux.

Aquí se produce un dilema:

• Si habilitamos este servicio de cara al exterior (Internet) estaremos poninedo en riesgo la seguridad de nuestra infraestructura. A partir de ese momento, cualquiera puede realizar ataques de fuerza bruta probando listas de contraseñas u otros ataques más sofisticados. Aunque se pueden implementar medidas de seguridad adicionales, como limitar las IPs de origen, esto también repercute en la administración de las máquinas. Si no accedemos desde esas IPs, tampoco nosotros podremos administrar las máquinas.
• Si no habilitamos la administración remota será complicado gestionar el servicio y realizar cualquier configuración que necesitemos en los equipos virtuales.

Azure Bastion es un servicio de Microsoft que permite acceder a las máquinas virtuales a través de RDP o SSH sin que estas, estén expuestas a Internet.

Las máquinas protegidas por Azure Bastion, no necesitan de una IP pública. Cuando queremos adminsitrar las máquinas, nos conectamos al Bastion. Este a su vez se conecta a la máquina en cuestión.

¿Y cómo accedemos a ese Bastión? A través del Portal de Azure mediante conexión cifrada TLS o directamente por RDP o SSH. Los equipos de destino no necesitan de ningún software o configuración especial.

Escenario de ejemplo

Publicamos en Azure una máquina virtual Wwindows y otra Linux. La máquina virtual de Windows tiene el protocolo RDP habilitado y la de Linux el SSH. Les asociamos una IP pública para acceder a estos recursos y administrarlos.

En lugar de exponer las máquinas a Internet, una mejor solución consiste en implementar Azure Bastion.

Una vez configurado, nos conectamos desde Azure Portal a Bastion y este, a su vez, se conecta a nuestras máquinas virtuales, usando esos mismos protocolos: RDP y SSH.

Es por esto que a menudo se conoce  aeste tipo de servicios como «servidores de salto».

Ahora, ya no es necesario que dispongamos de una IP pública para acceder a los recursos. Estamos utilizando un equipo que hace de puente en nuestras conexiones. Las máquinas de destino están disponibles directamente mediante RDP o SSH o a través del Portal de Azure.

El servicio de Azure Bastion forma parte de PaaS o Plataforma como servicio. Únicamente tendremos que preocuparnos de implementar el servicio en nuestra infraestructura existente para comenzar a utilizarlo. De forma predeterminada, ya está configurado para permitir conexiones seguras y ser resistente a amenazas y ataques externos. Nuestras conexiones serán ahora mucho más seguras.

Arquitectura de Azure Bastion

Azure Bastion se implementa dentro de una red virtual en Azure. Permite conectar a los equipos que se encuentren dentro de esa misma red virtual. Al configurarlo, administra la conectividad RDP/SSH con máquinas virtuales creadas en las redes virtuales locales o emparejadas.

Actualmente, de forma predeterminada, las nuevas implementaciones de Bastion no admiten redundancias de zona.

En el diagrama siguiente se muestra la arquitectura de una implementación típica de Azure Bastion y se describe el proceso de conexión extremo a extremo.

Azure Bastion está implementado en una red virtual que contiene varias máquinas virtuales de Azure.
Los NSG protegen las subredes de la red virtual.
El NSG que protege la subred de máquina virtual permite el tráfico RDP y SSH desde la subred de Azure Bastion.
Azure Bastion solo admite comunicaciones mediante el puerto TCP 443 desde Azure Portal.

• Bastión está implementado en la red virtual y esta a su vez, contiene la subred AzureBastionSubnet.
• El usuario se conecta a Azure Portal con cualquier explorador HTML5.
• Los usuario conectan a Azure Portal y este, establece la comunicación cifrada TLS con Azure Bastion
• Las máquinas detrás de Bastión (identificadas como Azure VM) no tienen los servicios expuestos al exterior.

El proceso de conexión típico.

1. El administrador de la red se conecta al Portal de Azure con cualquier navegador moderno (que soporte HTML5). La conexión está protegida y cifrada mediante TLS.
2. A continuación selecciona la máquina de destino a la que quiere acceder para adminsitrarla mediante RDP o SSH.
3. El portal se conecta mediante una conexión segura con Azure Bastion por medio de un NSG (Network Security Group) que protege la red virtual que hospeda la máquina virtual de destino.
4. Azure Bastion inicia una conexión a la máquina virtual de destino.
5. La sesión de RDP o SSH se abre en el explorador en la consola de administrador. Azure Bastion transmite la información de la sesión a través de paquetes personalizados. Estos paquetes están protegidos con TLS.

Así, mediante el uso de Azure Bastion, se omite la necesidad de exponer directamente RDP/SSH a Internet en una dirección IP pública. En su lugar, se conecta a Azure Bastion de forma segura. Utiliza para ello el protocolo Capa de sockets seguros (SSL), que se conecta a las máquinas virtuales de destino mediante una dirección IP privada.

Adicionalmente, es posible guardar las claves privadas SSH en Azure Key Vault para almacenarlas de forma centralizada.

Ventajas de Azure Bastion

La implementación de Azure Bastion es sencilla y al ser parte de los servicios de Platadorma como servicio (PaaS) los admisnitradores no deben destinar recursos a su funcionamiento interno. Es suficiente con implementarlo y comenzar a utilizarlo.

Algunas de las ventajas que proporcionan son:

• Especialmente diseñado y configurado para resistir los ataques.
• El cliente lo implementa en su entorno pero es Microsoft quien lo mantiene actualizado y funcionando.
• Permite el acceso mediante RDP y SSH a los equipos detrás de bastión.
• Acceso sencillo desde el Portal de Azure a los recursos. Con un soloo clic puedes conectar mediante RDP o SSH.
• Utiliza un cliente web basado en HTML5 por lo que puede atravesar de forma segura los firewalls perimetrales sin requerir configuración adicional. La sesión RDP o SSH se enruta mediante el puerto 443 a través del protocolo TLS.
• Bastión se comunica con la máquina de destino mediante la IP interna de la red virtual. Por tanto, no precisa de una IP pública que esté expuesta al exterior.
• Elimina la necesidad de administrar los Network Security Group (NSG) en la subred de Azure Bastion. Los equipos de destino se pueden configrar para que únicamente acepten conexiones desde el equipo de BAstión. De este modo se evita tener que administrar los NSG cada vez que necesite conectarse de forma segura a las máquinas virtuales.
• No requiere administrar un host bastión independiente en una máquina virtual. Azure Bastion es un servicio PaaS de Azure de plataforma totalmente administrada.
• Protección frente al escaneado de puertos. Dado que las máquinas finales no precisan de estar expuestas a Internet, evitamos que usuarios no autorizados y malintencionados, puedan realizar escaneados de puertos y otros análisis de vulnerabilidades.
• No es necesario preocuparse por proteger cada una de las máquinas virtuales de la red virtual.
• Protección frente a vulnerabilidades de seguridad de día cero La plataforma de Azure protege contra ataques de día cero manteniendo automáticamente el servicio Azure Bastion protegido y siempre actualizado.

Requisitos de uso

Si queremos acceder a las máquinas de destino, protegidas por Azure BAstión, es necesario que nuestro usuario cuente con los permisos de lectura para:

• La máquina virtual de destino: La interfaz de red con la dirección IP privada en la máquina virtual de destino.
• El recurso de Azure Bastion: Al implementar Azure Bastion, se implementa en su propia subred dentro de una red virtual o una red virtual emparejada.

Además, como requisito:

• La subred debe denominarse AzureBastionSubnet.

Dado que Azure Bastion está protegido mediante el Network Security Group de la red virtual, el NSG debe admitir el flujo de tráfico siguiente:

Entrada:

• Conexiones RDP y SSH desde la subred de Azure Bastion a la subred de la máquina virtual de destino.
• Acceso al puerto TCP 443 desde Internet a la dirección IP pública de Azure Bastion.
• Acceso TCP desde el administrador de puertas de enlace de Azure en los puertos 443 o 4443

Salida:

• Acceso TCP desde la plataforma de Azure en el puerto 443 para admitir el registro de diagnóstico.

Nota: El administrador de puertas de enlace de Azure administra las conexiones del portal al servicio Azure Bastion.

Azure Bastion, ¿básico o estándar?

Azure Bastion tiene dos SKU disponibles, básica y estándar. Para obtener más información, incluyendo cómo actualizar una SKU, consulte el artículo Parámetros de configuración.

En la tabla siguiente se muestran las características y las SKU correspondientes.

Escalado de host

Azure Bastion admite el escalado de host manual. Puede configurar el número de instancias de host (unidades de escalado) para administrar el número de conexiones RDP/SSH simultáneas que Azure Bastion pueden admitir. Aumentar el número de instancias de host permite a Azure Bastion administrar más sesiones simultáneas. Al reducir el número de instancias, se reduce el número de sesiones admitidas simultáneas. Azure Bastion admite hasta 50 instancias de host. Esta característica solo está disponible para la SKU estándar de Azure Bastion.

Para más información, consulte el artículo Parámetros de configuración.

Preguntas frecuentes sobre Azure Bastion