¿Qué es Azure Bastion?

Azure Bastion es un servicio PaaS completamente administrado que proporciona conectividad RDP y SSH segura a máquinas virtuales directamente a través del portal de Azure — sin exponer direcciones IP públicas. Al eliminar jump boxes y gateways VPN, Bastion reduce significativamente la superficie de ataque con acceso nativo por navegador sobre TLS en el puerto 443.

Funcionamiento y Niveles SKU

Bastion se despliega en una subred dedicada (AzureBastionSubnet, mínimo /26). Basic SKU para 25 sesiones simultáneas, Standard SKU con escalado y soporte de cliente nativo, Premium SKU con grabación de sesiones y despliegue privado.

Beneficios de Seguridad

Sin exposición de IP pública, protección contra escaneo de puertos, integración Azure AD, acceso condicional y registro de auditoría completo en Azure Monitor. Las VMs permanecen completamente privadas.

Mejores Prácticas y Precios

Use una subred dedicada /26, Standard SKU para producción, configure NSG y monitoree via Azure Monitor. Facturación por hora de despliegue más transferencia de datos.

Configuraciones Avanzadas de Azure Bastion

Los SKU Standard y Premium desbloquean escenarios empresariales potentes más allá del acceso por navegador. El cliente nativo permite mstsc.exe para RDP, PuTTY para SSH y túneles Azure CLI para reenvío de puertos TCP. Los enlaces compartibles ofrecen URLs temporales para acceso a VM sin portal Azure — ideales para soporte de proveedores y acceso temporal de contratistas con expiración de 1 hora a 7 días.

Grabación de Sesiones y Cumplimiento

El SKU Premium captura cada sesión RDP y SSH en una cuenta Azure Storage para SOC 2, HIPAA y FedRAMP. Las grabaciones pueden revisarse a través del portal o integrarse con soluciones SIEM para análisis automatizado.

Patrones de Arquitectura de Red

En diseño hub-spoke, despliegue Bastion una vez en el VNet hub y alcance VMs en todos los VNets spoke mediante peering — reducción de costos del 60-80%. El SKU Premium soporta despliegue solo privado sin IP pública mediante ExpressRoute o VPN Gateway.

Optimización de Costos y Escalado

Para entornos de desarrollo: automatización del despliegue solo en horario laboral ahorra ~58%. El SKU Standard soporta 2-50 unidades de escalado con ~20 sesiones RDP simultáneas cada una.

Lista de Verificación de Seguridad

• Subred dedicada /26 llamada AzureBastionSubnet
• Azure DDoS Protection habilitado
• Configuración de diagnóstico a Log Analytics y Sentinel
• Azure AD MFA mediante Conditional Access
• Reglas NSG: Entrante 443 desde Internet, Saliente a VirtualNetwork 3389/22

Características y Capacidades Clave

Las siguientes capacidades fundamentales hacen que esta tecnología sea esencial para la infraestructura cloud moderna:

Browser-Based Access

Full RDP and SSH sessions directly in Azure portal with HTML5 — no public IPs, no client software, no NSG rule changes required on target VMs

Native Client Support

Standard SKU enables CLI tunnels (az network bastion tunnel) for mstsc.exe, PuTTY, database tools, and file transfer through arbitrary TCP ports

Shareable Links

Time-limited URLs granting VM access without Azure portal or Azure AD accounts — configurable expiration from 1 hour to 7 days for vendor support

Session Recording

Premium SKU captures complete RDP/SSH sessions to Azure Storage for SOC 2, HIPAA, and FedRAMP compliance audit trails

Private-Only Deployment

Premium removes the Bastion public IP entirely — access flows through ExpressRoute or VPN Gateway for zero-public-IP architectures

Casos de Uso del Mundo Real

Organizaciones de diversas industrias aprovechan esta tecnología en entornos de producción:

Hub-Spoke Networks

Deploy Bastion once in hub VNet, reach VMs in all spoke VNets through peering — 60-80% cost reduction compared to per-spoke deployment

Regulated Industries

A bank uses Premium session recording for all production server access, satisfying PCI-DSS requirement 10.2 for audit trails of privileged access

DevOps Workflows

Development teams use native client tunnels for VS Code Remote SSH, database management with SSMS, and log streaming through custom TCP ports

Vendor Management

IT teams generate 4-hour shareable links for external support engineers, eliminating the need for VPN credentials or temporary Azure AD accounts

Mejores Prácticas y Recomendaciones

Basadas en despliegues empresariales y experiencia en producción, estas recomendaciones le ayudarán a maximizar el valor:

• Always use a dedicated /26 or larger subnet named exactly AzureBastionSubnet — this naming convention is mandatory
• Enable Azure DDoS Protection Standard on the Bastion VNet to protect the public endpoint from volumetric attacks
• Configure Diagnostic Settings to send BastionAuditLogs to Log Analytics for integration with Microsoft Sentinel SIEM
• Enforce Azure AD MFA through Conditional Access policies — Bastion supports MFA prompt before establishing sessions
• Use scale units appropriately: each unit handles ~20 RDP or ~40 SSH concurrent sessions. Monitor and auto-scale during incidents
• For dev/test environments, automate Bastion deploy/delete on business hours schedule to save ~58% of compute costs

Preguntas Frecuentes

How much does Azure Bastion cost?

Basic SKU starts at ~$0.19/hour (~$140/month). Standard adds native client, shareable links, and scaling at ~$0.29/hour base plus ~$0.088/hour per additional scale unit. Premium adds session recording at ~$0.42/hour. Dev/test automation can reduce costs significantly.

Can I use Azure Bastion across subscriptions?

Yes, through VNet peering. Deploy Bastion in a hub VNet in one subscription and peer with spoke VNets in other subscriptions. Ensure peering allows gateway transit and NSGs permit traffic between subnets on ports 443, 3389, and 22.

What is the difference between Bastion and a jump box?

Bastion is fully managed with no OS patching, built-in DDoS protection, and session recording. Jump boxes require VM management, security hardening, and manual audit logging. Bastion costs more but eliminates operational overhead and reduces attack surface.