Cerrar
MENU
mobile-logo
InicioAzureAcceso a tus máquinas virtuales: Azure Bastion o Windows Virtual Desktop
Azure WVD

Acceso a tus máquinas virtuales: Azure Bastion o Windows Virtual Desktop

0 Comentarios
3

Este artículo poco contenido directo técnico va a tener, lo que quiero es hacer una pequeña “reflexión” sobre que tecnología utilizar para conectarnos remotamente a nuestros servidores en Azure. Todos tendrán sus pros y contras, pero veamos cuales son las alternativas que tenemos sin conectarnos previamente a la VPN.

Seguro que muchos de vosotros conocéis Azure Bastion, que no es más que un servicio que nos permite conectarnos vía explorador web a nuestros equipos virtuales en Azure. Esto como mega resumen, si queréis ampliar más información sobre Azure Bastion aquí os dejo varios enlaces:

Esto nos permite conectarnos a los servidores virtuales de Azure directamente desde el portal de Azure, además, directamente a sus IPs privadas evitando así tener que abrir puertos a Internet (22, 3389, etc…). Pero desde la irrupción de Windows Virtual Desktop, creo que también podrías ser una excelente opción para conectarnos a nuestras máquinas virtuales de Azure.

Antes de nada, veamos la arquitectura de ambas soluciones en la siguiente infografía:

Empecemos con las características de Azure Bastion (info copiada de la web de MSFT: Azure Bastion | Microsoft Docs):

  • DP y SSH directamente en Azure Portal: Puede ir directamente a la sesión RDP y SSH en Azure Portal con un solo clic y sin problemas.
  • Sesión remota a través de TLS y firewall traversal para RDP/SSH: Azure Bastion usa un cliente web basado en HTML5 que automáticamente se transmite al dispositivo local, para que obtenga la sesión de RDP/SSH a través de SSL en el puerto 443, lo que le permite recorrer los firewalls corporativos de forma segura.
  • No se requiere ninguna dirección IP pública en la máquina virtual de Azure: Azure Bastion abre la conexión RDP/SSH a la máquina virtual de Azure con la dirección IP privada en la máquina virtual. No necesita una dirección IP pública en su máquina virtual.
  • No hay problemas de administración de los NSG: Azure Bastion es un servicio PaaS de Azure de plataforma totalmente administrada que se refuerza internamente para proporcionar una conexión RDP/SSH segura. No es necesario aplicar los NSG en la subred de Azure Bastion. Dado que Azure Bastion se conecta a las máquinas virtuales a través de la dirección IP privada, puede configurar los NSG para permitir RDP o SSH solo desde Azure Bastion. De este modo se evita tener que administrar los NSG cada vez que necesite conectarse de forma segura a las máquinas virtuales.
  • Protección frente al examen de puertos: Ya no es necesario exponer las máquinas virtuales a Internet pública, las máquinas virtuales están protegidas contra la exploración de puertos por parte de usuarios malintencionados o no autorizados que se encuentran fuera de la red virtual.
  • Protección frente a explotaciones de día cero. Protección en un solo lugar: Azure Bastion es un servicio PaaS totalmente administrado de plataforma. Dado que se encuentra en el perímetro de la red virtual, no es necesario preocuparse por proteger cada una de las máquinas virtuales de la red virtual. La plataforma de Azure protege contra ataques de día cero manteniendo automáticamente el servicio Azure Bastion protegido y siempre actualizado.

Es un servicio estupendo, pero… ¿qué ocurre si queremos ir saltando de equipo en equipo como muchos de nosotros estamos acostumbrados? ¿Podríamos utilizar WVD para esto? Pues yo creo que si, que podemos perfectísimamente un hosts de sesión de nuestros host pool para bastionarlo (securizarlo) y tener acceso desde ahí al resto de infraestructura pero siempre bajo unas estrictas medidas de seguridad. A continuación veamos algunas medidas de seguridad por capas:

  • Host Pool: crear un host pool específico para albergar nuestros hosts de sesión bastionados
  • Host de Sesión: ubicar los host de sesión en una vNet específica y con distintos filtrados de seguridad vía NSG
  • Firewall: definir reglas de firewall (a poder ser un firewall centralizado para gestionar todas las vNets) que permitan explícitamente ciertos tráficos de red desde los hosts de sesión bastionados. Además, podemos complementar estas configuraciones con configuraciones de Windows Firewall e IPSec.
  • AzureAD: aplicar acceso condicional para las sesiones de WVD aplicando diferentes controles:
    • Estado de salud del equipo desde el cual nos conectamos
    • Autenticación Doble Factor

La idea es desde el primer momento que alguien (esto es para el personal de IT) necesite conectarse a nuestras máquinas, lo podamos hacer de forma segura y controlando en todo momento a que tiene acceso el usuario. No solo en su sesión ya dentro de los equipos virtuales, sino también en el previo: la conexión remota.

Con WVD podemos sustituir directamente el implementar Azure Bastion, puesto que disponiendo de varios host de sesión con las diferente herramientas de administración (RSAT por ejemplo). Además, podemos centralizar el acceso directo a un host y de ahí ir realizando las diferentes tareas de soporte que necesite sin tener que ir equipo a equipo o hacerlo vía web, algo que, para mi personalmente no me resulta nada cómodo.

Creo que se puede sustituir perfectamente el Azure Bastion por un WVD, con las mismas garantías de seguridad y control. No voy a entrar en detalles técnicos de cada servicio a configurar, puesto que, sino el artículo sería ilegible. Pero, a continuación os dejo varios artículos que había ido publicando sobre dichas tecnologías:

Entre todos estos artículos está la configuración comentada, desde el Host Pool, un Azure Firewall y reglas de IPSec para securizar el tráfico entre equipos de un dominio. Pasando por toda la configuración de Acceso Condicional en diferentes configuraciones, lo cual nos permitirá ver varios ejemplos de configuraciones basándonos en IPs Públicas, Intune y MFA.

Como os había comentado el principio, este artículo tendría poco contenido técnico directamente pero si mucho indirecto. Pero bueno, básicamente la idea era “explicar brevemente” que podemos utilizar WVD para ofrecer acceso remoto al equipo de IT que necesite administrar nuestro entorno.

¡¡Espero que os sirva como idea para gestionar el acceso seguro a vuestras máquinas virtuales en Azure!!

ETIQUETAS:
COMPARTE EN:
Windows Virtual Desk
Infraestructura IT:

Sbuitrago@asirsl.com

ARTÍCULOS RELACIONADOS
  1. Microsoft Intune: Configurar Plantillas Corporativas para Office en Versiones No Enterprise
  2. Microsot Intune: Unir Equipo a AzureAD por el Usuario Final
  3. Microsoft Defender for Cloud Apps: autenticación con certificado en tu cliente VPN con autenticación via AzureAD SSO
  4. Microsoft Azure: Configurar Contexto de Autenticación para Controlar las Sesiones en Aplicaciones desde Microsoft Defender for Cloud App
  5. Microsoft Defender for Cloud Apps: Autenticación con Certificado de Usuario
  6. Microsoft AzureAD: Laps (Solución de contraseñas de Administrador local de Windows)
  7. Microsoft Defender for Cloud Apps: Políticas de Acceso Condicional
  8. Microsoft Defender for Cloud Apps: Acceso Condicional para Bloquear Descargas
  9. Acceso Condicional: Requerir Métodos de Autenticación para Usuarios en Riesgo Alto
  10. Microsoft Intune: Instalación de impresoras mediante el Portal de Empresa
NO HAY COMENTARIOS

DEJA UN COMENTARIO

Este sitio web utiliza cookies. Si continúas navegando, consideramos que aceptas su uso. Puedes obtener más información en nuestra política de cookies. ACEPTAR

Aviso de cookies
Share This