tutoriales.com

Protege tu Red con Azure Bastion: Acceso Seguro y Simplificado a VMs

Este tutorial te guiará paso a paso en la implementación y configuración de Azure Bastion, una solución de PaaS que proporciona conectividad RDP y SSH segura y fluida a tus máquinas virtuales directamente a través del portal de Azure. Descubrirás cómo eliminar la necesidad de exponer tus VMs a internet, mejorando significativamente la seguridad de tu infraestructura.

Intermedio20 min de lectura3 views
Reportar error

🎯 Introducción a Azure Bastion

En el mundo de la computación en la nube, la seguridad es una preocupación primordial. Las máquinas virtuales (VMs) son componentes esenciales de muchas infraestructuras, pero acceder a ellas de forma segura puede ser un desafío. Tradicionalmente, para conectar a una VM a través de RDP (Escritorio Remoto) o SSH, se solía abrir un puerto público en la red, lo que expone la VM a posibles ataques y vulnerabilidades. ¡Aquí es donde Azure Bastion entra en juego!

Azure Bastion es un servicio de plataforma completamente gestionado (PaaS) que proporciona conectividad RDP/SSH segura y fluida a tus máquinas virtuales directamente en el portal de Azure a través de SSL. Esto significa que ya no necesitas un cliente RDP/SSH instalado en tu máquina local ni exponer las IPs públicas de tus VMs.

¿Por qué elegir Azure Bastion? ✨

  • Seguridad Mejorada: Elimina la exposición directa de tus VMs a Internet. El tráfico RDP/SSH se realiza a través de un túnel TLS en el puerto 443, lo que reduce la superficie de ataque.
  • Conectividad Sin Agentes: No requiere la instalación de ningún agente en tus máquinas virtuales.
  • Experiencia Sencilla: Accede a tus VMs directamente desde el portal de Azure con solo unos pocos clics.
  • Gestión Simplificada: Azure gestiona el servicio, incluyendo el escalado y el mantenimiento.
  • Registro y Auditoría: Todas las conexiones son registradas, proporcionando una pista de auditoría completa.

💡 Consejo: Azure Bastion es ideal para entornos que requieren un alto nivel de seguridad y cumplimiento, ya que centraliza y protege el acceso a las VMs de manera eficaz.

📖 Conceptos Clave de Azure Bastion

Antes de sumergirnos en la implementación, es fundamental entender algunos conceptos clave:

  • VNet (Red Virtual): La red lógica aislada en Azure donde residen tus VMs.
  • Subred de Azure Bastion: Una subred dedicada dentro de tu VNet para el servicio Bastion. Debe nombrarse AzureBastionSubnet y tener un prefijo mínimo de /27 (por ejemplo, 10.0.2.0/27).
  • IP Pública de Azure Bastion: Una dirección IP pública que Azure Bastion utiliza para conectarse de forma segura a través de HTTPS (puerto 443) desde el portal de Azure. Esta IP es la única expuesta a Internet.
  • Conexión Interna: Una vez que la conexión se establece con Azure Bastion (a través de su IP pública), Bastion inicia una conexión interna privada a tus VMs utilizando sus IPs privadas dentro de la VNet.
Usuario (Navegador) Portal de Azure Azure Virtual Network (VNet) Azure Bastion IP Pública VM 1 VM 2 VM 3 RDP/SSH HTTPS (Puerto 443) RDP/SSH

🛠️ Requisitos Previos

Para seguir este tutorial, necesitarás lo siguiente:

  • Una suscripción activa de Azure.
  • Un grupo de recursos de Azure donde alojar tus recursos.
  • Una Red Virtual (VNet) existente con al menos una máquina virtual que quieras proteger. Si no tienes una, créala primero.
  • Un usuario con permisos suficientes para crear recursos en Azure (colaborador o superior).
  • Un explorador web moderno para acceder al portal de Azure.
🔥 Importante: La subred de Azure Bastion (AzureBastionSubnet) debe tener al menos un prefijo de /27 para garantizar suficientes direcciones IP para el servicio. Si tu VNet ya tiene otras subredes y no hay espacio para una /27, considera expandir el espacio de direcciones de tu VNet o crear una nueva VNet.

✅ Implementación de Azure Bastion: Paso a Paso

Vamos a desplegar Azure Bastion en tu infraestructura. Este proceso se divide en la creación de la subred dedicada y luego el despliegue del servicio Bastion.

Paso 1: Crear la Subred AzureBastionSubnet

  1. Navega a tu Red Virtual (VNet): En el portal de Azure, busca y selecciona la VNet donde residen tus máquinas virtuales.

  2. Abre la sección 'Subredes': En el menú de la izquierda, bajo 'Configuración', haz clic en Subredes.

  3. Añade una nueva subred: Haz clic en el botón + Subred en la parte superior.

  4. Configura la subred:

    • Nombre: AzureBastionSubnet (¡Este nombre es MANDATORIO!)
    • Intervalo de direcciones de subred: Asegúrate de que sea al menos /27 (por ejemplo, si tu VNet es 10.0.0.0/16, podrías usar 10.0.2.0/27). Asegúrate de que no se superponga con otras subredes existentes.
    • Deja el resto de las opciones por defecto.
    📌 Nota: No asocies ningún grupo de seguridad de red (NSG) a `AzureBastionSubnet` durante la creación. Azure Bastion gestiona sus propias reglas de NSG internamente.

  5. Crea la subred: Haz clic en Guardar.

    Subred Creada

Paso 2: Desplegar el Servicio Azure Bastion

  1. Busca 'Bastion': En la barra de búsqueda superior del portal de Azure, escribe Bastion y selecciona Bastion de los resultados.

  2. Crea una nueva instancia de Bastion: Haz clic en + Crear.

  3. Configura los Detalles Básicos:

    • Suscripción: Selecciona tu suscripción.
    • Grupo de recursos: Selecciona el grupo de recursos donde se encuentra tu VNet y tus VMs.
    • Nombre de la instancia: Dale un nombre descriptivo a tu instancia de Bastion (ej. mybastionhost).
    • Región: Selecciona la misma región que tu VNet.
    • Tier: Elige el Standard (recomendado para más características) o Basic. Para este tutorial, Standard es suficiente.

  4. Configura la Red Virtual:

    • Red Virtual: Selecciona la VNet donde creaste AzureBastionSubnet.
    • Subred: Selecciona AzureBastionSubnet de la lista desplegable. Si no aparece, verifica que la hayas creado con el nombre correcto y el prefijo adecuado.

  5. Configura la Dirección IP Pública:

    • Dirección IP pública: Haz clic en Crear nueva. Dale un nombre (ej. mybastionpublicip). Esta IP es la que usará tu navegador para conectar con Bastion.

  6. Revisa y Crea: Haz clic en Revisar y crear y luego en Crear para iniciar el despliegue. Este proceso puede tardar varios minutos (10-15 minutos).

    Bastion Desplegado

🚀 Conectando a una VM con Azure Bastion

Una vez que Azure Bastion esté desplegado y en funcionamiento, puedes comenzar a usarlo para conectar a tus máquinas virtuales.

Paso 1: Navegar a tu Máquina Virtual

  1. Busca tu VM: En el portal de Azure, navega a la máquina virtual a la que deseas conectarte.

  2. Haz clic en 'Conectar': En la página de visión general de la VM, busca el botón Conectar en la barra superior y haz clic en él.

  3. Selecciona 'Bastion': En el panel lateral que aparece, selecciona la opción Bastion.

Paso 2: Configurar la Conexión

  1. Selecciona tu Bastion Host: Si tienes múltiples hosts de Bastion, selecciona el que configuraste para esta VNet.

  2. Credenciales de Autenticación:

    • Nombre de usuario: Introduce el nombre de usuario de tu VM (ej. azureuser para Linux, administrador o Usuario para Windows).
    • Tipo de autenticación:
      • Contraseña: Introduce la contraseña de tu VM.
      • Clave privada SSH: Si tu VM Linux utiliza autenticación basada en clave SSH, puedes cargar tu archivo de clave privada .pem o .ppk.

  3. Configuración del Puerto (Opcional): Para RDP, el puerto suele ser 3389. Para SSH, el puerto suele ser 22. Puedes especificar un puerto personalizado si es necesario.

  4. Iniciar Conexión: Haz clic en Conectar.

    Una nueva pestaña del navegador se abrirá, y después de unos segundos, verás la sesión de RDP o SSH de tu VM directamente en tu navegador. ¡Felicidades! 🎉 Has establecido una conexión segura a tu VM sin exponerla a Internet.

    Conexión Exitosa

⚙️ Características Avanzadas de Azure Bastion (Tier Standard)

El Tier Standard de Azure Bastion ofrece funcionalidades adicionales que mejoran aún más la seguridad y la experiencia del usuario:

1. Compartir Enlaces (Shareable Link) 🔗

Permite a usuarios que no tienen acceso al portal de Azure conectarse a una VM específica a través de un enlace web. Puedes generar un enlace URL y compartirlo, sin que el usuario necesite credenciales de Azure, solo las de la VM. Es útil para proveedores externos o usuarios temporales.

2. Carga/Descarga de Archivos 📁

La posibilidad de cargar y descargar archivos a/desde tu VM directamente a través de la sesión del navegador. Esto elimina la necesidad de configurar SCP o FTP, simplificando la transferencia de datos.

3. Conexión a través de IP Privada (Private IP Connect) 🕵️

Si tu VM no tiene una IP pública asociada, el Tier Standard de Bastion permite conectarse a ella usando su IP privada. Esto es especialmente útil en entornos con un alto nivel de restricción de red.

4. Soporte para Más Sesiones Concurrentes 🚀

El Tier Standard soporta más sesiones concurrentes y más sesiones por usuario, haciéndolo ideal para equipos grandes o entornos de producción.

💡 Consejo: Considera el Tier Standard si necesitas funciones avanzadas o si tu equipo es grande y requiere acceso simultáneo a múltiples VMs.

⚠️ Consideraciones de Seguridad y Buenas Prácticas

Aunque Azure Bastion mejora enormemente la seguridad, es crucial seguir las mejores prácticas:

  • Control de Acceso (RBAC): Asegura que solo los usuarios autorizados tengan los permisos RBAC necesarios para acceder a Bastion y, por ende, a las VMs. Limita los permisos al rol de Lector en el grupo de recursos y luego otorga permisos específicos de Operador de la máquina virtual en las VMs que necesiten acceder.
  • Grupos de Seguridad de Red (NSG): Aunque no debes aplicar un NSG directamente a AzureBastionSubnet, sí puedes y debes aplicar NSGs a las subredes de tus VMs para controlar el tráfico interno, permitiendo solo el tráfico RDP/SSH desde la IP privada de Bastion.
  • Just-In-Time (JIT) VM Access: Combina Azure Bastion con JIT VM Access de Azure Security Center para elevar aún más la seguridad, abriendo puertos RDP/SSH solo cuando sea necesario y por un tiempo limitado.
  • Múltiples Bastion Hosts: En arquitecturas complejas con múltiples VNets (conectadas vía Peering), cada VNet donde necesites acceder a VMs requerirá su propia instancia de Bastion o una VNet hub-spoke con Bastion en el hub.
  • Auditoría: Revisa regularmente los registros de conexión de Azure Bastion en Azure Monitor para detectar actividades sospechosas.
⚠️ Advertencia: No elimines `AzureBastionSubnet` manualmente mientras el servicio Bastion esté en uso. Esto interrumpirá el servicio. Elimina primero la instancia de Bastion.

📊 Comparativa: Azure Bastion vs. Otros Métodos de Acceso

Es útil ver cómo Azure Bastion se compara con otras formas comunes de acceso a VMs.

CaracterísticaAzure BastionVPN / ExpressRouteJumpbox (VM con IP pública)Puertos RDP/SSH Abiertos Directamente
---------------
Exposición a InternetSolo IP pública de Bastion (puerto 443 HTTPS)No, solo a través del túnel VPN/ExpressRouteSí, IP pública de JumpboxSí, IP pública de VM (puertos 22/3389)
SeguridadMuy alta, servicio gestionado, sin agentesAlta, pero requiere configuración y gestión de VPNMedia, requiere endurecimiento del SO del JumpboxBaja, alta superficie de ataque
---------------
Facilidad de UsoMuy alta, acceso web desde portalMedia, requiere cliente VPN y configuraciónMedia, requiere conexión dobleAlta, pero insegura
GestiónPaaS (totalmente gestionado por Azure)IaaS/Red (gestión del cliente y servidor VPN)IaaS (gestión completa del OS y seguridad del Jumpbox)N/A
---------------
CostoBasado en uso y SKU, con costos fijos por horaCostos de VPN Gateway/ExpressRoute + tráficoCosto de VM IaaS adicionalN/A (costo inherente a la VM)
Agentes en VMNoNoNoNo

Conclusión: Azure Bastion ofrece un equilibrio excelente entre seguridad, facilidad de uso y gestión para el acceso a VMs.

💸 Costos de Azure Bastion

El costo de Azure Bastion se basa principalmente en dos componentes:

  1. Costo por hora del servicio Bastion: Varía según el Tier (Basic o Standard).
  2. Costo por transferencia de datos saliente: Aplicable al tráfico de red que sale de tu VNet, como en cualquier otro servicio de Azure.
Ejemplo de Precios (referencia, verifica siempre la calculadora de Azure)

A modo de ejemplo (precios pueden variar y no incluyen impuestos):

  • **Tier Standard:** Aproximadamente $0.19 por hora (unos $136 al mes).
  • **Tier Basic:** Ligeramente menos.
  • **Transferencia de datos:** Los primeros 5 GB al mes son gratis, luego se aplican tarifas por GB (ej. $0.087 por GB en la región Este de EE. UU.).

Siempre consulta la Calculadora de Precios de Azure Bastion para obtener la información más actualizada y precisa.

Conclusión ✨

Azure Bastion es una herramienta poderosa y esencial para cualquier organización que busque proteger sus máquinas virtuales en la nube. Al eliminar la necesidad de IPs públicas en las VMs y ofrecer una experiencia de conexión fluida y segura directamente desde el navegador, Bastion simplifica la gestión de accesos remotos mientras refuerza la postura de seguridad. Implementarlo es un paso clave para construir una infraestructura robusta y segura en Azure.

¡Esperamos que este tutorial te haya sido de gran ayuda para comprender y desplegar Azure Bastion con éxito!

Tutoriales relacionados

Comentarios (0)

Aún no hay comentarios. ¡Sé el primero!