South Europe, Spain
listas@juanquijano.es

Azure Bastión, nueva forma de conectarme a mis VM con más seguridad

Sitio dedicado a Microsoft Azure y otras tecnologías Cloud

Bastion

Desde que nació Azure, uno de sus pilares es el servicio de máquinas virtuales en las que despliego todo tipo de recursos en formato IaaS.

La manera estandar de conectarme a estas VM es vía RDP o SSH, pero en muchos casos está limitado o prohibido el acceso a estos puertos desde redes internas o de invitados, por temas de seguridad

Ahora llega una forma que solo necesita acceso por el puerto 443 para realizar la conexión a una sesión remota de forma sencilla y transparente desde un navegador Web que soporte HTML5.

Primero registrarse a la preview

Lo primero que tengo que hacer es darme de alta en la preview privada de Bastión, para lo cual lanzo el siguiente Powershell en la consola de Azure.

Esperando una respuesta tal que:

A continuación lanzo el siguiente cmdlet.

Y espero la siguiente respuesta:

Por último compruebo si ya estoy registrado luego de unos pocos minutitos de espera.

Esperando esta respuesta final que me indica el registro completado.

Dando de alta un Bastión para mi VM

Portal azure de previews

Lo primer es acceder a la versión preview del portal. Cuidado, no vale con entrar a preview.portal.azure.com porqué aquí – en el momento de escribir este artículo – no me aparece el recurso de Bastión.

En el portal de preview creo un grupo de recursos en West Europe, y dentro una máquina virtual con su red, subred, nic, pero sin IP publica. Y «de perdido al rio» configuro no tener NSG ni tener abierto el puerto RDP.

Luego busco el recurso de Bastión, y empiezo a rellenar los datos de configuración hasta encontrar el primer inconveniente: tengo que tener una subred llamada ‘AzureBastionSubnet’ y que sea, como poco, un /27.

Por lo cual borro todos los recursos de la VM para eliminar la subred default y dar de alta la que me pide el Bastión.

A continuación veo que me obliga a crear una IP estática, y me lo apunto como un pequeño coste extra. Y, mientras estoy creando de nuevo la VM, me encuentro con que necesito de todos modos otra subred para la máquina virtual porque no puedo utilizar la que he configurado para Bastión.

Bueno, ya tengo la infraestructura montada: Una red virtual, dos subredes, en una Bastión y en la otra una VM con su NIC.

Usando Bastión para conectarme a mi VM

Ahora me voy a mi VM, al icono de conectar, y observo que hay una pestaña más además de la de RDP y SSH; y es la de Bastión.

 

 

 

 

 

 

 

 

Por alguna razón, el primer despliegue ha fallado y, al pulsar en el botón «Use Bastion», me he encontrado con que el recurso había fallado y lo tuve que re desplegar una segunda vez.

Y ahora sí que me ha pedido las credenciales del usuario de Administración para poderme conectar.

 

 

 

 

 

 

 

 

 

 

Ups, un problema no esperado. Me avisa que el Popup Blocker de Chrome no deja abrir la ventana de conexión a la máquina virtual.

Permito que se abra una nueva pestaña, y veo como me conecto de forma remota a mi flamante servidor en una pestaña del navegador.

Quisiera poder mostrar una captura de pantalla… pero está deshabilitada cada vez que pongo la pestaña con el servidor… curioso.

Lo mejor de este servicio, desde el punto de vista de formación, es que me puedo saltar los inconvenientes que tengo en tantos y tantos clientes que tiene configuradas restricciones en el uso de los puertos RDP desde sus Wifi o redes de invitados.

Por otro lado, fíjate que mi VM ya no tiene IPpública, ni necesita un NSG que cierre o abra puertos. Es decir mi máquina virtual está mucho más segura con una superficie de ataque muchísimo menor.

Si te apetece conocer más de este nuevo recurso, puedes mirar en la propia documentación de Microsoft.

Espero que sea de utilidad.

 

Tags: ,

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

A %d blogueros les gusta esto: