Was ist Azure Bastion?
Es ist äußerst wichtig, remote gehostete virtuelle Computer sicher verwalten zu können. Definieren Sie zunächst, was eine sichere Remoteverwaltung ist, und überprüfen Sie dann die Features von Azure Bastion. Diese Übersicht hilft Ihnen bei der Entscheidung, ob Azure Bastion für Ihre Anforderungen geeignet ist.
Was ist eine sichere Remoteverwaltung?
Unter einer sicheren Remoteverwaltung versteht man die Möglichkeit, eine Verbindung zu einer Remoteressource herzustellen, ohne diese Ressource Sicherheitsrisiken auszusetzen. Dieser Verbindungstyp kann mitunter eine Herausforderung darstellen, insbesondere dann, wenn der Zugriff auf die Ressource über das Internet erfolgt.
Wenn Administratoren eine Verbindung zu virtuellen Remotecomputern herstellen, verwenden sie in der Regel entweder RDP oder SSH, um Ihre administrativen Ziele zu erreichen. Das Problem bei der Verbindung zu einem gehosteten virtuellen Computer besteht darin, dass Sie eine Verbindung zur öffentlichen IP-Adresse herstellen müssen. Das Verfügbarmachen der von RDP und SSH für das Internet verwendeten Ports (3389 und 22) ist jedoch äußerst unerwünscht, da es erhebliche Sicherheitsrisiken birgt.
Definition von Azure Bastion
Azure Bastion ist eine vollständig verwaltete PaaS-Lösung (Platform as a Service), die mithilfe von RDP und SSH den sicheren und nahtlosen Zugriff auf Ihre virtuellen Azure-Computer direkt über das Azure-Portal ermöglicht.
Azure Bastion:
- Hält aufgrund seiner Konzeption und Konfiguration Angriffen stand.
- Stellt hinter dem Bollwerk (engl. „Bastion“) RDP- und SSH-Konnektivität für Ihre Azure-Workloads bereit.
In der folgenden Tabelle werden die Features beschrieben, die nach der Bereitstellung von Azure Bastion verfügbar sind.
| Vorteil | BESCHREIBUNG |
|---|---|
| RDP und SSH über das Azure-Portal | Sie können RDP- und SSH-Sitzungen nahtlos mit nur einem Klick über das Azure-Portal aufrufen. |
| Remotesitzung über TLS und Firewallüberquerung für RDP/SSH | Azure Bastion verwendet einen auf HTML5 basierenden Webclient, der automatisch zu Ihrem lokalen Gerät gestreamt wird. Ihre RDP-/SSH-Sitzung erfolgt über TLS an Port 443. Dadurch kann der Datenverkehr Firewalls sicherer passieren. Bastion unterstützt TLS 1.2 und höher. Ältere TLS-Versionen werden nicht unterstützt. |
| Für den virtuellen Azure-Computer ist keine öffentliche IP-Adresse erforderlich. | Azure Bastion öffnet die RDP/SSH-Verbindung zu Ihrem virtuellen Azure-Computer über die private IP-Adresse auf dem virtuellen Computer. Sie benötigen keine öffentliche IP-Adresse für den virtuellen Computer. |
| Keine mühsame Verwaltung von Netzwerksicherheitsgruppen (NSGs) | Sie müssen im Azure Bastion-Subnetz keine NSGs anwenden. Da mit Azure Bastion Verbindungen mit Ihren virtuellen Computern über private IP-Adressen hergestellt werden, können Sie die Netzwerksicherheitsgruppen so konfigurieren, dass RDP/SSH nur über Azure Bastion zulässig ist. Dadurch entfällt der Aufwand für die Verwaltung von Netzwerksicherheitsgruppen, wenn Sie eine sichere Verbindung mit den virtuellen Computern herstellen. |
| Es ist nicht erforderlich, einen separaten Bastionhost auf einem virtuellen Computer zu verwalten. | Azure Bastion ist ein vollständig verwalteter PaaS-Dienst von Azure, der intern gehärtet ist, um sichere RDP- und SSH-Verbindungen zu bieten. |
| Schutz vor Portscans | Ihre virtuellen Computer sind vor Portscans durch skrupellose und böswillige Hacker geschützt, da Sie die VMs nicht für das Internet verfügbar machen müssen. |
| Härtung an nur einem Ort | Da sich Azure Bastion im Umkreis Ihres virtuellen Netzwerks befindet, brauchen Sie sich über eine Härtung der einzelnen virtuellen Computer in Ihrem virtuellen Netzwerk keine Gedanken zu machen. |
| Schutz vor Zero-Day-Exploits | Dank konsequenter Härtung und Aktualisierung von Azure Bastion bietet die Azure-Plattform Schutz vor Zero-Day-Exploits. |
Vermeiden des Verfügbarmachens von Remoteverwaltungsports
Durch die Implementierung von Azure Bastion können Sie virtuelle Azure-Computer in einem konfigurierten virtuellen Azure-Netzwerk mithilfe von RDP oder SSH verwalten, ohne die Verwaltungsports für das öffentliche Internet verfügbar machen zu müssen. Azure Bastion bietet Ihnen Folgendes:
- Einfache Verbindung zu Ihren virtuellen Azure-Computern Direkte Verbindung zu RDP- und SSH-Sitzungen im Azure-Portal
- Keine für das Internet verfügbar zu machenden Verwaltungsports Anmeldung bei virtuellen Azure-Computern nur mithilfe von SSH und RDP und privaten IP-Adressen ohne Verfügbarmachen für das öffentliche Internet
- Keine umfassende Neukonfiguration der vorhandenen Netzwerkinfrastruktur erforderlich Integrieren und Passieren vorhandener Firewalls und Sicherheitsperimeter durch den Einsatz eines modernen HTML5-basierten Webclients über TLS an Port 443.
- Vereinfachte Anmeldung. Verwenden Sie Ihre SSH-Schlüssel für die Authentifizierung, wenn Sie sich bei ihren virtuellen Azure-Computern anmelden.
Tipp
Zur Unterstützung eines zentralen Schlüsselspeichers können Sie alle privaten SSH-Schlüssel in Azure Key Vault speichern.