Anuncio de la versión preliminar de Microsoft Azure Bastion

Publicado el 18 junio, 2019

Corporate Vice President, Azure Networking

A muchos clientes de todo el mundo les resulta muy complejo conectarse de forma segura desde el exterior a las cargas de trabajo y las máquinas virtuales de redes privadas. La exposición de máquinas virtuales a la Internet pública para habilitar la conectividad a través del Protocolo de escritorio remoto (RDP) y Secure Shell (SSH) aumenta el perímetro, lo que deja sus redes críticas y las máquinas virtuales asociadas más expuestas y más difíciles de administrar.

Los protocolos RDP y SSH son un modo fundamental con el que los clientes se conectan a sus cargas de trabajo de Azure. Para conectarse a sus máquinas virtuales, la mayoría de los clientes exponen las máquinas a la Internet pública o implementan un host bastión, como un servidor jump o un jump-box.

Por eso hoy estoy encantado de anunciar la versión preliminar de Azure Bastion.

Azure Bastion es un nuevo servicio PaaS administrado que le proporciona conectividad RDP y SSH sin problemas con sus máquinas virtuales a través de la Capa de sockets seguros (SSL). Esta conectividad tiene lugar sin exposición alguna de las IP públicas de sus máquinas virtuales. Azure Bastion se aprovisiona directamente en su red de Azure Virtual Network y le proporciona un host bastión o servidor jump como servicio, además de conectividad integrada con todas las máquinas virtuales de su red virtual usando RDP/SSH directamente desde y a través de su explorador y Azure Portal. Este proceso se puede ejecutar con solo dos clics y sin necesidad de preocuparse por administrar directivas de seguridad de red.

Antes de lanzar la versión preliminar, hemos trabajado con cientos de clientes de un gran número de sectores. El interés por participar en la versión preliminar ha sido enorme y, al igual que con otros servicios únicos de Azure, como Azure Firewall, los comentarios han sido muy coherentes: Necesitamos una forma sencilla e integrada de implementar, ejecutar y escalar servidores jump o hosts bastión en nuestra infraestructura de Azure.

Por ejemplo, lo que nos comentó directamente el director del equipo de la plataforma en la nube de un conocido fabricante de automóviles alemán es que les preocupaba exponer máquinas virtuales en la nube con puertos RDP/SSH directamente a Internet debido a la posibilidad de experimentar un gran número de problemas de seguridad y conectividad. Durante la versión preliminar de Azure Bastion, pudieron usar RDP/SSH a través de SSL para conectarse a nuestras máquinas virtuales, lo que les permitió atravesar los firewalls corporativos con facilidad y, al mismo tiempo, restringir las instancias de Azure Virtual Machines solo a direcciones IP privadas.

La implementación de un servidor jump independiente dedicado a menudo supone implementar y administrar manualmente cargas de trabajo y soluciones especializadas basadas en IaaS, como una puerta de enlace de Servicios de Escritorio remoto (RDS), configurar y administrar la autenticación, directivas de seguridad y listas de control de acceso (ACL), así como administrar la disponibilidad, la redundancia y la escalabilidad de la solución. Además, la supervisión y la auditoría, junto con la necesidad constante de mantener el cumplimiento de las directivas corporativas, pueden hacer rápidamente que la configuración y la administración de servidores jump sea una tarea costosa y poco deseable.

Azure Bastion se implementa en su red virtual y proporciona acceso RDP/SSH para todas las máquinas virtuales autorizadas conectadas a la red virtual.

Arquitectura de nivel superior de Azure Bastion

Las siguientes son algunas de las principales características que incluye la versión preliminar:

  • Conectividad RDP y SSH desde Azure Portal. Inicie sesiones RDP y SSH directamente en Azure Portal con un solo clic y sin problemas.
  • Sesión remota a través de SSL y firewall para RDP/SSH. Los clientes web basados en HTML5 se transmiten automáticamente al dispositivo local y proporcionan la sesión RDP/SSH a través de SSL en el puerto 443. Esto permite atravesar los firewalls corporativos de forma sencilla y segura.
  • No se requiere una IP pública en las instancias de Azure Virtual Machines. Azure Bastion abre la conexión RDP/SSH con la instancia de Azure Virtual Machines usando una dirección IP privada. De este modo, limita la exposición de la infraestructura a la Internet pública.
  • Administración de reglas seguras simplificada. Configuración sencilla de una sola vez de los grupos de seguridad de red (NSG) para permitir la conexión RDP/SSH desde Azure Bastion únicamente.
  • Mayor protección frente al examen de puertos. La exposición limitada de las máquinas virtuales a la Internet pública aumenta la protección frente a amenazas, como el examen de puertos externo.
  • Seguridad reforzada en un único lugar para evitar ataques de día cero. Azure Bastion es un servicio administrado de cuyo mantenimiento se ocupa Microsoft. Su seguridad se refuerza constantemente con la aplicación automática de revisiones y actualizaciones de protección frente a vulnerabilidades conocidas.

Azure Bastion: de ahora en adelante

Al igual que con los demás servicios de red de Azure, estamos deseando ampliar Azure Bastion y agregar más funcionalidad extraordinaria a medida que nos aproximamos a la disponibilidad general del servicio.

El futuro traerá la integración con Azure Active Directory, de modo que se agregará funcionalidad de inicio de sesión único con las identidades de Azure Active Directory y Azure Multi-Factor Authentication, y se ampliará la autenticación en dos fases a las conexiones RDP/SSH. También tenemos previsto agregar compatibilidad con clientes RDP/SSH nativos, de modo que pueda usar las aplicaciones cliente que prefiera para conectarse con seguridad a sus instancias de Azure Virtual Machines usando Azure Bastion, al tiempo que mejora la experiencia de auditorías para sesiones RDP con grabación de vídeo de sesión completa.

Le animamos a que pruebe Azure Bastion. Estamos deseando conocer e incorporar sus comentarios.