Saltar al contenido
Categoría: Azure
2020-04-16

Azure Bastion: Conecta de forma segura (SSL) a tus Máquinas Virtuales

Hoy volvemos con una nueva entrada sobre un servicio muy interesante de Azure, vamos a hablar sobre Azure Bastion, un recurso PaaS que aportará mayor seguridad a nuestra arquitectura.

Con esta nueva herramienta podemos conectarnos a nuestras Maquinas Virtuales sin la necesidad de tener una IP Publica en nuestros servidores, desde el navegador accedemos a nuestro servidor por SSL/TLS, y así evitamos poner en riesgo nuestra arquitectura.

El uso de Azure Bastion aporta una seguridad adicional a nuestras máquinas virtuales, ya que no estamos exponiendo nuestros servidores a Internet mediante una IP Púbica y unos puertos de conexión (RDP y SSH), sin la necesidad de un cliente adicional, agente o software.

Cuando nos conectamos a nuestros servidores a través de Bastión no necesitamos una IP Pública, ya que a través de este servicio accedemos a ellos mediante el navegador web como veremos en el Step by Step que os voy a enseñar continuación, pero primero vamos a ver qué Beneficios nos puede aportar este servicio.

Beneficios sobre Azure Bastion

  • RDP y SSH directamente en el portal de Azure: podemos acceder directamente a nuestra sesión de RDP y SSH en el portal de Azure con un solo clic.
  • Sesión remota sobre TLS y recorrido de firewall para RDP / SSH: Azure Bastion utiliza un cliente web basado en HTML5, que transmite nuestra conexión a nuestro servidor, de este modo obtenemos una sesión RDP/SSH sobre TLS en el puerto 443.
  • No se requiere IP pública en la máquina virtual de Azure: La conexión a nuestro servidor será mediante IP Privada, no necesitamos un IP Publica para conectarnos.
  • Sin problemas de administración de NSG: Al ser un servicio PaaS está totalmente administrado por Azure, no necesitamos aplicar ningún NSG (Network Security Group) en la subred de Azure Bastion.
  • Protección contra el escaneo de puertos: Ya que no tenemos que exponer nuestros servidores a internet mediante un IP Publica, nuestras máquinas se encuentran protegidas contra el escaneo de puertos.

Creación del Servicio Bastión en Azure

En primer lugar, desde el portal de Azure, nos dirigimos a “Create a resource” y buscamos “Bastion”:

En el primer punto debemos elegir nuestra Suscripción, el Grupo de Recursos donde queremos crear este servicio, el nombre que queremos darle, la región, la Virtual Network (que conlleva una creación con unas características especiales) y una IP Publica:

Como comentaba anteriormente, nuestra Virtual Network debe tener una Subnet llamada “AzureBastionSubnet” y un rango de IP con prefijo/27:

Creación de Nuestro Servicio

Esperamos a que esté desplegado, ya que suele tardar uno 5-10 minutos en desplegar:

Una vez creado Bastion, estos son los recursos que se crean dentro de nuestro grupo de recursos:

Para probar esta funcionalidad vamos a alojar un servidor Windows y un servidor Linux dentro de la misma Virtual Network para realizar una prueba de conexión mediante el navegador web. En esta entrada que hice podéis ver como realizar la creación de una Máquina Virtual en Azure , la única peculiaridad de esta creación es que en la parte Networking no vamos a realizar la creación de una Public IP:

Una vez tenemos nuestro servidor, entramos en el recurso de Virtual Machine, y en la parte superior pulsamos sobre “Connect” y en el desplegable que aparece pulsamos sobre “Bastion”:

Nos aparecerá una nueva ventana donde debemos introducir el Username y Password:

Y automáticamente nos abrirá una nueva ventana en el navegador Web donde veremos el escritorio de nuestro Windows Server:

Comprobación

Visto esto, vamos a realizar la prueba de conectarnos a un servidor Linux, siguiendo los mismos pasos anteriores, introducimos nuestras credenciales de acceso al servidor Ubuntu que tenemos creado sin IP Publica (Podemos acceder también mediante SSH Private Key):

Y como podemos ver, se ha vuelto a abrir una nueva pestaña en el navegador donde podemos administrar nuestro servidor Ubuntu:

En definitiva, este servicio nos ofrece la posibilidad de securizar toda nuestra plataforma sin tener ningún punto vulnerable, y sin la necesidad de tener IP’s públicas o montar una VPN Site-to-Site o Point-to-Site para conectarnos a nuestra arquitectura.

Si tienes problemas de rendimiento en Managed Instance o en SQL Server, o si estás planeando migrar a Azure, nosotros contamos con la experiencia para ayudarte y asesorarte, contacta con nosotros en info@aleson-itc.com o llámanos al +34 962 681 242