Acceso seguro mediante RDP / SSH a tus máquinas virtuales en Azure.
Azure Bastion
¿Qué es Azure Bastion?
Cuando creamos una máquina virtual en la nube, necesitamos acceder a ella para administrarla. Habitualmente se habilita RDP en el caso de una máquina Windows o el servicio de SSH en el caso de un equipo con Linux.
Aquí se produce un dilema:
- Si habilitamos este servicio de cara al exterior (Internet) estaremos poninedo en riesgo la seguridad de nuestra infraestructura. A partir de ese momento, cualquiera puede realizar ataques de fuerza bruta probando listas de contraseñas u otros ataques más sofisticados. Aunque se pueden implementar medidas de seguridad adicionales, como limitar las IPs de origen, esto también repercute en la administración de las máquinas. Si no accedemos desde esas IPs, tampoco nosotros podremos administrar las máquinas.
- En cambio, si no habilitamos la administración remota será complicado gestionar el servicio y realizar cualquier configuración que necesitemos en los equipos virtuales.
Azure Bastion es un servicio de Microsoft que permite acceder a las máquinas virtuales a través de RDP o SSH sin que estas, estén expuestas a Internet.
Las máquinas protegidas por Azure Bastion, no necesitan de una IP pública. Cuando queremos adminsitrar las máquinas, nos conectamos al Bastion. Este, a su vez, se conecta a la máquina en cuestión.
¿Y cómo accedemos a ese Bastión? A través del Portal de Azure. Por seguridad utiliza una conexión cifrada TLS o directamente por RDP o SSH. Los equipos de destino no necesitan de ningún software o configuración especial.
Índice de contenido
- 1 ¿Qué es Azure Bastion?
- 2 Escenario de ejemplo
- 3 Arquitectura de Azure Bastion
- 4 Ventajas de Azure Bastion
- 5 Requisitos de uso
- 6 Versiones de Azure Bastion, ¿básico o estándar?
- 7 Escalado de host
- 8 Presupuesto Azure Bastión
- 9 La opinión de nuestros clientes
- 10 Preguntas frecuentes de Azure Bastion
- 10.1 ¿Qué exploradores se admiten?
- 10.2 ¿Cómo funcionan los precios?
- 10.3 ¿Se admite IPv6?
- 10.4 ¿Dónde se almacenan los datos de los clientes en Azure Bastion?
- 10.5 ¿Es compatible Azure Bastion con Virtual WAN?
- 10.6 ¿Puedo usar Azure Bastion con zonas de DNS privado de Azure?
- 10.7 ¿Azure Bastion admite Private Link?
- 10.8 ¿Puedo tener una subred de Azure Bastion de tamaño /27 o menor (/28, /29, etc.)?
- 10.9 ¿Puedo implementar varios recursos de Azure en mi subred de Azure Bastion?
- 10.10 ¿Se admite el enrutamiento definido por el usuario (UDR) en las subredes de Azure Bastion?
- 10.11 ¿Puedo actualizar de una SKU básica a una estándar?
- 10.12 ¿Puedo cambiar de una SKU estándar a una SKU básica?
- 10.13 ¿Bastion admite la conectividad a Azure Virtual Desktop?
- 10.14 ¿Por qué obtengo el error "Su sesión ha expirado" antes de iniciar la sesión de Bastion?
- 10.15 ¿Cómo controlo los errores de implementación?
- 10.16 ¿Cómo puedo incorporar Azure Bastion en mi plan de recuperación ante desastres?
- 10.17 ¿Admite Bastion redundancias de zona?
- 10.18 ¿Admite Bastion cuentas de invitado de Azure AD?
- 10.19 ¿Se necesitan roles para acceder a una máquina virtual?
- 10.20 ¿Necesito una dirección IP pública en mi máquina virtual para conectarme mediante Azure Bastion?
- 10.21 ¿Necesito un cliente RDP o SSH?
- 10.22 ¿Puedo conectarme a mi máquina virtual mediante un cliente nativo?
- 10.23 ¿Es necesario que un agente se ejecute en la máquina virtual de Azure?
- 10.24 ¿Qué características se admiten para las sesiones de máquina virtual?
- 10.25 ¿Hay audio remoto disponible para máquinas virtuales?
- 10.26 ¿Azure Bastion admite la transferencia de archivos?
- 10.27 ¿Funciona la protección de Bastion con las máquinas virtuales unidas mediante extensión a una máquina virtual AADJ?
- 10.28 ¿Requiere Azure Bastion una CAL de RDS con fines administrativos en máquinas virtuales hospedadas en Azure?
- 10.29 ¿Cuál es la resolución de pantalla máxima admitida a través de Bastion?
- 10.30 ¿Admite Azure Bastion la configuración o redireccionamiento de zona horaria para las máquinas virtuales de destino?
- 10.31 ¿Puedo seguir implementando varios hosts bastión en redes virtuales emparejadas?
- 11 Productos Azure
- 12 Únete a las miles de empresas que ya utilizan Azure
- 13 Servicios relacionados con Azure
Escenario de ejemplo
Publicamos en Azure una máquina virtual Windows y otra Linux.
- La máquina virtual de Windows tiene el protocolo RDP habilitado y la de Linux el SSH.
- Les asociamos una IP pública para acceder a estos recursos y administrarlos.
En lugar de exponer las máquinas a Internet, una mejor solución consiste en implementar Azure Bastion.
Una vez configurado, nos conectamos desde Azure Portal a Bastion. Éste, a su vez, se conecta a nuestras máquinas virtuales, usando esos mismos protocolos: RDP y SSH.
Es por esto que a menudo se conoce a este tipo de servicios como «servidores de salto«.
Ahora, ya no es necesario que dispongamos de una IP pública para acceder a los recursos.
Estamos utilizando un equipo que hace de puente en nuestras conexiones.
Las máquinas de destino están disponibles directamente mediante RDP o SSH. También, mediante el Portal de Azure.
El servicio de Azure Bastion forma parte de PaaS o Plataforma como servicio. Únicamente tendremos que preocuparnos de implementar el servicio en nuestra infraestructura existente para comenzar a utilizarlo. De forma predeterminada, ya está configurado para permitir conexiones seguras. También, para ser resistente a amenazas y ataques externos. Nuestras conexiones serán ahora mucho más seguras.
Arquitectura de Azure Bastion
Azure Bastion se implementa dentro de una red virtual en Azure. Permite conectar a los equipos que se encuentren dentro de esa misma red virtual. Al configurarlo, administra la conectividad RDP/SSH con máquinas virtuales creadas en las redes virtuales locales o emparejadas.
Actualmente, de forma predeterminada, las nuevas implementaciones de Bastion no admiten redundancias de zona.
En el diagrama siguiente se muestra la arquitectura de una implementación típica de Azure Bastion. Se describe el proceso de conexión extremo a extremo.
- Azure Bastion está implementado en una red virtual que contiene varias máquinas virtuales de Azure.
- Los NSG protegen las subredes de la red virtual.
- El NSG que protege la subred de máquina virtual permite el tráfico RDP y SSH desde la subred de Azure Bastion.
- Azure Bastion solo admite comunicaciones mediante el puerto TCP 443 desde Azure Portal.

En esta implementación típica de Azure Bastión podemos ver:
- Bastión está implementado en la red virtual y esta a su vez, contiene la subred AzureBastionSubnet.
- El usuario se conecta a Azure Portal con cualquier explorador HTML5.
- Los usuario conectan a Azure Portal y este, establece la comunicación cifrada TLS con Azure Bastion
- Las máquinas detrás de Bastión (identificadas como Azure VM) no tienen los servicios expuestos al exterior.
El proceso de conexión típico.
- El administrador de la red se conecta al Portal de Azure con cualquier navegador moderno (que soporte HTML5). La conexión está protegida y cifrada mediante TLS.
- A continuación selecciona la máquina de destino a la que quiere acceder para adminsitrarla mediante RDP o SSH.
- El portal se conecta mediante una conexión segura con Azure Bastion por medio de un NSG (Network Security Group) que protege la red virtual que hospeda la máquina virtual de destino.
- Azure Bastion inicia una conexión a la máquina virtual de destino.
- La sesión de RDP o SSH se abre en el explorador en la consola de administrador. Azure Bastion transmite la información de la sesión a través de paquetes personalizados. Estos paquetes están protegidos con TLS.
Así, mediante el uso de Azure Bastion, se omite la necesidad de exponer directamente RDP/SSH a Internet en una dirección IP pública. En su lugar, se conecta a Azure Bastion de forma segura. Utiliza para ello el protocolo Capa de sockets seguros (SSL), que se conecta a las máquinas virtuales de destino mediante una dirección IP privada.
Adicionalmente, es posible guardar las claves privadas SSH en Azure Key Vault para almacenarlas de forma centralizada.
Ventajas de Azure Bastion
La implementación de Azure Bastion es sencilla. Además, al ser parte de los servicios de Platadorma como servicio (PaaS) los admisnitradores no deben destinar recursos a su funcionamiento interno. Es suficiente con implementarlo y comenzar a utilizarlo.
Algunas de las ventajas que proporcionan son:
- Especialmente diseñado y configurado para resistir los ataques.
- El cliente lo implementa en su entorno pero es Microsoft quien lo mantiene actualizado y funcionando.
- Permite el acceso mediante RDP y SSH a los equipos detrás de bastión.
- Acceso sencillo desde el Portal de Azure a los recursos. Con un soloo clic puedes conectar mediante RDP o SSH.
- Utiliza un cliente web basado en HTML5 por lo que puede atravesar de forma segura los firewalls perimetrales sin requerir configuración adicional. La sesión RDP o SSH se enruta mediante el puerto 443 a través del protocolo TLS.
- Bastión se comunica con la máquina de destino mediante la IP interna de la red virtual. Por tanto, no precisa de una IP pública que esté expuesta al exterior.
- Elimina la necesidad de administrar los Network Security Group (NSG) en la subred de Azure Bastion. Los equipos de destino se pueden configrar para que únicamente acepten conexiones desde el equipo de BAstión. De este modo se evita tener que administrar los NSG cada vez que necesite conectarse de forma segura a las máquinas virtuales.
- No requiere administrar un host bastión independiente en una máquina virtual. Azure Bastion es un servicio PaaS de Azure de plataforma totalmente administrada.
- Protección frente al escaneado de puertos. Dado que las máquinas finales no precisan de estar expuestas a Internet, evitamos que usuarios no autorizados y malintencionados, puedan realizar escaneados de puertos y otros análisis de vulnerabilidades.
- No es necesario preocuparse por proteger cada una de las máquinas virtuales de la red virtual.
- Protección frente a vulnerabilidades de seguridad de día cero La plataforma de Azure protege contra ataques de día cero manteniendo automáticamente el servicio Azure Bastion protegido y siempre actualizado.
Requisitos de uso
Si queremos acceder a las máquinas de destino, protegidas por Azure Bastión, es necesario que nuestro usuario cuente con los permisos de lectura para:
- La máquina virtual de destino: La interfaz de red con la dirección IP privada en la máquina virtual de destino.
- El recurso de Azure Bastion: Al implementar Azure Bastion, se implementa en su propia subred dentro de una red virtual o una red virtual emparejada.
Además, como requisito:
- La subred debe denominarse AzureBastionSubnet.
Dado que Azure Bastion está protegido mediante el Network Security Group de la red virtual, el NSG debe admitir el flujo de tráfico siguiente:
Entrada:
- Conexiones RDP y SSH desde la subred de Azure Bastion a la subred de la máquina virtual de destino.
- Acceso al puerto TCP 443 desde Internet a la dirección IP pública de Azure Bastion.
- Acceso TCP desde el administrador de puertas de enlace de Azure en los puertos 443 o 4443
Salida:
- Acceso TCP desde la plataforma de Azure en el puerto 443 para admitir el registro de diagnóstico.
Nota: El administrador de puertas de enlace de Azure administra las conexiones del portal al servicio Azure Bastion.
Versiones de Azure Bastion, ¿básico o estándar?
Azure Bastion tiene dos SKU disponibles, básica y estándar.
Escalado de host
Azure Bastion admite el escalado de host manual. Puede configurar el número de instancias de host (unidades de escalado) para administrar el número de conexiones RDP/SSH simultáneas que Azure Bastion pueden admitir.
- Aumentar el número de instancias de host permite a Azure Bastion administrar más sesiones simultáneas.
- Al reducir el número de instancias, se reduce el número de sesiones admitidas simultáneas.
Azure Bastion admite hasta 50 instancias de host. Esta característica solo está disponible para la SKU estándar de Azure Bastion.
Presupuesto Azure Bastión
¿Quieres implementar Azure Bastión en tu red?
Contacta con nosotros
La opinión de nuestros clientes
Preguntas frecuentes de Azure Bastion
Estas son algunas de las consultas que nos plantean nuesros clientes, de forma más frecuente.
Si aun así, tienes dudas, contacta con nosotros y estaremos encantados de asesorarte en lo que necesites.
¿Qué exploradores se admiten?
¿Cómo funcionan los precios?
Los precios de Azure Bastion son una combinación de precios por hora en función de la SKU, las instancias (unidades de escalado) y las tasas de transferencia de datos. Los precios por hora comienzan desde el momento en que se implementa Bastion, independientemente del uso de datos salientes. Para obtener la información de precios más reciente, consulte la página de Precios de Azure Bastion.
¿Se admite IPv6?
¿Dónde se almacenan los datos de los clientes en Azure Bastion?
¿Es compatible Azure Bastion con Virtual WAN?
¿Puedo usar Azure Bastion con zonas de DNS privado de Azure?
management.azure.com
blob.core.windows.net
core.windows.net
vaultcore.windows.net
vault.azure.com
azure.com
Puede utilizar una zona DNS privada que termine con uno de los nombres mencionados anteriormente (por ejemplo: privatelink.blob.core.windows.net).
El uso de Azure Bastion no se admite en Azure DNS Private Zones en nubes nacionales.
¿Azure Bastion admite Private Link?
¿Puedo tener una subred de Azure Bastion de tamaño /27 o menor (/28, /29, etc.)?
¿Puedo implementar varios recursos de Azure en mi subred de Azure Bastion?
¿Se admite el enrutamiento definido por el usuario (UDR) en las subredes de Azure Bastion?
No. No se admiten UDR en una subred de Azure Bastion.
¿Puedo actualizar de una SKU básica a una estándar?
Sí. Para ver los pasos, consulte Actualización de una SKU. Para más información sobre SKU, consulte el artículo Parámetros de configuración.
¿Puedo cambiar de una SKU estándar a una SKU básica?
No. No se admite cambiar de una SKU Estándar a una SKU Básica. Para más información sobre SKU, consulte el artículo Parámetros de configuración
¿Bastion admite la conectividad a Azure Virtual Desktop?
No, no se admite la conectividad de Bastion con Azure Virtual Desktop.
¿Por qué obtengo el error "Su sesión ha expirado" antes de iniciar la sesión de Bastion?
Las sesiones deben iniciarse solo en Azure Portal. Inicie sesión en Azure Portal y vuelva a iniciar una sesión. Si va a la dirección URL directamente desde otra sesión del explorador o pestaña, este error es previsible. Ayuda a garantizar que la sesión sea más segura y que se solo se pueda acceder a la sesión desde Azure Portal.
¿Cómo controlo los errores de implementación?
Examine los mensajes de error y cree una solicitud de soporte técnico en Azure Portal si fuera necesario. Los errores de implementación pueden estar motivados por límites, cuotas y restricciones de la suscripción de Azure. Más concretamente, los clientes pueden encontrar un límite en cuanto al número de direcciones IP públicas que se permiten por suscripción y que provoca un error en la implementación de Azure Bastion.
¿Cómo puedo incorporar Azure Bastion en mi plan de recuperación ante desastres?
Azure Bastion se implementa en redes virtuales o redes virtuales emparejadas y está asociado a una región de Azure. Es responsable de implementar Azure Bastion en una red virtual del sitio de recuperación ante desastres (DR). En caso de que se produzca un error en la región de Azure, realice una operación de conmutación por error de las máquinas virtuales a la región de DR. A continuación, use el host de Azure Bastion implementado en la región de DR para conectarse a las máquinas virtuales que ahora están implementadas en ella.
¿Admite Bastion redundancias de zona?
Actualmente, de forma predeterminada, las nuevas implementaciones de Bastion no admiten redundancias de zona. Los hosts bastión implementados anteriormente pueden tener redundancia de zona, o no. Las excepciones son las implementaciones de Bastion de las zonas Centro de Corea del Sur y Sudeste de Asia, que admiten redundancias de zona.
¿Admite Bastion cuentas de invitado de Azure AD?
Sí, a las cuentas de invitado de Azure AD se les puede conceder acceso a Bastion y se pueden conectar a máquinas virtuales.
¿Se necesitan roles para acceder a una máquina virtual?
Para crear una conexión, se requieren los siguientes roles:
Rol Lector en la máquina virtual.
Rol de lector en la tarjeta de interfaz de red con la dirección IP privada de la máquina virtual.
Rol Lector en el recurso de Azure Bastion.
Rol Lector en la red virtual de la máquina virtual de destino (si la implementación de Bastion está en una red virtual emparejada).
¿Necesito una dirección IP pública en mi máquina virtual para conectarme mediante Azure Bastion?
No. Si va a conectarse a una máquina virtual mediante Azure Bastion, no necesita una dirección IP pública en la máquina virtual de Azure a la que se va a conectar. El servicio Bastion abrirá la sesión o conexión RDP/SSH a la máquina virtual a través de la dirección IP privada de su máquina virtual dentro de su red virtual.
¿Necesito un cliente RDP o SSH?
No. Puede acceder a la máquina virtual desde Azure Portal mediante el explorador. Para conocer las conexiones y los métodos disponibles, consulte Acerca de las conexiones y características de la máquina virtual.
¿Puedo conectarme a mi máquina virtual mediante un cliente nativo?
Sí. Puede conectarse a una máquina virtual desde el equipo local mediante un cliente nativo. Consulte Conexión a una máquina virtual mediante un cliente nativo.
¿Es necesario que un agente se ejecute en la máquina virtual de Azure?
No. No es preciso instalar un agente ni ningún otro software en el explorador ni en la máquina virtual de Azure. El servicio Bastion no utiliza agentes y no requiere software adicional para RDP y SSH.
¿Qué características se admiten para las sesiones de máquina virtual?
Consulte Acerca de las conexiones y características de máquina virtual para conocer las características admitidas.
¿Hay audio remoto disponible para máquinas virtuales?
Sí. Consulte Características y conexiones de las máquinas virtuales.
¿Azure Bastion admite la transferencia de archivos?
Azure Bastion admite la transferencia de archivos entre la máquina virtual de destino y el equipo local mediante Bastion y un cliente RDP o SSH nativo. En este momento, no puede cargar ni descargar archivos mediante PowerShell ni mediante Azure Portal. Para más información, vea Carga y descarga de archivos mediante el cliente nativo.
¿Funciona la protección de Bastion con las máquinas virtuales unidas mediante extensión a una máquina virtual AADJ?
Esta característica no funciona con las máquinas unidas mediante extensión que utilizan usuarios de Azure AD. Para más información, consulte Inicio de sesión en una máquina virtual Windows en Azure mediante Azure AD.
¿Requiere Azure Bastion una CAL de RDS con fines administrativos en máquinas virtuales hospedadas en Azure?
No, el acceso a máquinas virtuales con Windows Server mediante Azure Bastion no requiere una CAL de RDS cuando se utiliza únicamente con fines administrativos.
¿Cuál es la resolución de pantalla máxima admitida a través de Bastion?
Actualmente, 1920×1080 (1080p) es la resolución máxima admitida.
¿Admite Azure Bastion la configuración o redireccionamiento de zona horaria para las máquinas virtuales de destino?
Actualmente, Azure Bastion no admite el redireccionamiento de zona horaria y la zona horaria no se puede configurar.
¿Puedo seguir implementando varios hosts bastión en redes virtuales emparejadas?
Sí. De forma predeterminada, un usuario ve el host bastión que se implementa en la misma red virtual en la que reside la máquina virtual. Sin embargo, en el menú Conectar, el usuario puede ver varios hosts bastión detectados en redes emparejadas. Pueden seleccionar el host bastión que prefieren usar para conectarse a la máquina virtual implementada en la red virtual.
Productos Azure
Únete a las miles de empresas que ya utilizan Azure
Servicios relacionados con Azure





