Laboratório Técnico: Implement Azure Bastion
Questões
Questão 1 — Múltipla Escolha
Uma equipe de operações precisa acessar máquinas virtuais Windows e Linux no Azure sem expor portas RDP ou SSH à internet. O ambiente possui uma VNet com sub-redes distintas para cada camada da aplicação. Qual é o requisito de rede obrigatório para implantar o Azure Bastion nesse cenário?
A. Criar uma sub-rede de nome livre com prefixo mínimo de /27 e associar um Network Security Group com regras de entrada para as portas 3389 e 22.
B. Criar uma sub-rede obrigatoriamente chamada AzureBastionSubnet com prefixo mínimo de /26, sem exigência de NSG específico para funcionamento básico.
C. Criar uma sub-rede obrigatoriamente chamada AzureBastionSubnet com prefixo mínimo de /27, e o NSG deve permitir entrada na porta 443 a partir de qualquer origem.
D. Criar uma sub-rede de nome livre com prefixo mínimo de /26 e garantir que nenhum NSG esteja associado a ela.
Questão 2 — Cenário Técnico
Um administrador implantou o Azure Bastion no SKU Basic em uma VNet chamada vnet-prod. Agora ele precisa conectar-se via Bastion a uma VM que está em uma VNet diferente chamada vnet-dev, com peering configurado entre as duas VNets. Ao tentar a conexão pelo portal do Azure, ela falha.
Qual é a causa mais provável da falha?
A. O peering entre VNets não é suportado pelo Azure Bastion em nenhuma circunstância; é necessário mover a VM para a mesma VNet.
B. O SKU Basic não suporta conectividade com VMs em VNets pareadas; esse recurso exige o SKU Standard ou superior.
C. O peering está configurado incorretamente porque a opção Use remote gateways não foi habilitada no lado da vnet-dev.
D. O Bastion só consegue alcançar VMs em VNets pareadas se ambas as VNets estiverem na mesma região do Azure.
Questão 3 — Verdadeiro ou Falso
O Azure Bastion, mesmo no SKU Basic, permite que o administrador faça upload e download de arquivos durante uma sessão RDP iniciada pelo portal do Azure.
Verdadeiro ou Falso?
Questão 4 — Cenário Técnico
Um engenheiro precisa conectar-se a uma VM Linux sem usar o portal do Azure, preferindo o cliente SSH nativo da sua máquina local. O Azure Bastion já está implantado no SKU Standard. Ele executa o comando abaixo, mas recebe um erro de conexão recusada:
ssh -i ~/.ssh/id_rsa azureuser@10.0.1.5
Qual ajuste é necessário para que a conexão via cliente SSH nativo funcione corretamente com o Azure Bastion?
A. Instalar o agente do Azure Bastion na VM de destino e liberar a porta 22 no NSG da sub-rede da VM.
B. Usar o comando az network bastion ssh ou tunelar a conexão via az network bastion tunnel, pois o acesso por cliente nativo exige a CLI do Azure como intermediário.
C. Alterar o SKU do Bastion para Premium, pois o SKU Standard não suporta acesso por clientes SSH nativos.
D. Expor o IP privado da VM diretamente na internet e conectar via SSH convencional, já que o Bastion não suporta clientes nativos em nenhum cenário.
Questão 5 — Múltipla Escolha
Ao comparar o Azure Bastion com o uso de um jumpserver (bastion host gerenciado pelo cliente) implantado em uma VM, qual afirmação descreve corretamente uma vantagem operacional do Azure Bastion?
A. O Azure Bastion elimina a necessidade de qualquer Network Security Group na VNet, simplificando toda a configuração de rede.
B. O Azure Bastion dispensa o gerenciamento de patches, atualizações de sistema operacional e disponibilidade da infraestrutura do host de acesso, pois é um serviço gerenciado pela Microsoft.
C. O Azure Bastion garante menor latência de sessão em comparação a um jumpserver, pois processa as sessões localmente no hipervisor da VM de destino.
D. O Azure Bastion substitui completamente o Microsoft Entra Conditional Access, aplicando suas próprias políticas de acesso condicional de forma nativa.
Gabarito e Explicações
Gabarito — Questão 1
Resposta: B
O Azure Bastion exige uma sub-rede com nome exato AzureBastionSubnet — qualquer outro nome impede a implantação. O prefixo mínimo exigido é /26 (62 endereços utilizáveis), não /27. Embora seja possível associar um NSG à sub-rede do Bastion, isso não é obrigatório para o funcionamento básico; quando presente, o NSG deve seguir regras específicas documentadas pela Microsoft (permitir entrada na 443 do GatewayManager e do Internet, e saída para VirtualNetwork nas portas 3389/22).
A alternativa C está errada no prefixo (/27 é insuficiente). As alternativas A e D erram no nome obrigatório da sub-rede. Escolher /27 resultaria em falha na implantação com mensagem de erro explícita sobre tamanho insuficiente da sub-rede.
Gabarito — Questão 2
Resposta: B
O suporte a VNet peering no Azure Bastion é uma funcionalidade exclusiva do SKU Standard (e superiores). No SKU Basic, o Bastion só alcança VMs dentro da mesma VNet onde foi implantado. Portanto, mesmo com peering corretamente configurado, a conexão falha no SKU Basic.
A alternativa A é incorreta porque o peering é suportado, mas depende do SKU. A alternativa C descreve um problema de roteamento de gateway, que é irrelevante para sessões Bastion. A alternativa D é incorreta porque o Bastion suporta peering entre regiões no SKU Standard, sem restrição de região. O equívoco comum aqui é assumir que peering configurado é suficiente, ignorando a restrição de SKU.
Gabarito — Questão 3
Resposta: Falso
A transferência de arquivos durante sessões RDP via portal do Azure é uma funcionalidade do SKU Standard, não do SKU Basic. No SKU Basic, as sessões RDP e SSH são funcionais, porém com recursos limitados: não há suporte a upload/download de arquivos, tunneling nativo, nem suporte a cliente nativo. Essa distinção é relevante no exame AZ-104 porque o comportamento parece intuitivamente disponível em qualquer sessão RDP, mas é deliberadamente restrito por SKU no Azure Bastion.
Gabarito — Questão 4
Resposta: B
O acesso por cliente SSH ou RDP nativo no Azure Bastion SKU Standard não ocorre via conexão direta ao IP privado da VM. O fluxo correto exige o uso da CLI do Azure como intermediário: o comando az network bastion ssh estabelece a sessão diretamente, ou az network bastion tunnel cria um túnel local que o cliente nativo usa como destino.
A alternativa A é incorreta porque o Bastion não exige agente na VM nem abertura de porta 22 para a internet. A alternativa C é incorreta porque o SKU Standard já suporta esse recurso. A alternativa D contradiz o propósito do Bastion. O erro mais comum é tentar acessar o IP privado diretamente do cliente local, sem entender que o tráfego deve passar pelo plano de controle do Bastion.
Gabarito — Questão 5
Resposta: B
A principal vantagem operacional do Azure Bastion sobre um jumpserver gerenciado pelo cliente é a eliminação do overhead de gerenciamento de infraestrutura: sem patching de SO, sem monitoramento de disponibilidade da VM, sem gestão de licença de sistema operacional. A Microsoft é responsável pela disponibilidade e atualização do serviço.
A alternativa A é incorreta porque NSGs continuam sendo necessários e recomendados na arquitetura. A alternativa C é tecnicamente infundada; o Bastion não processa sessões no hipervisor da VM. A alternativa D é incorreta porque o Bastion não substitui nem incorpora o Microsoft Entra Conditional Access; ambos são camadas complementares e independentes de segurança.