Einsatzgebiete von Azure Bastion
In dieser Lerneinheit untersuchen Sie die Verwendungsmöglichkeiten von Azure Bastion und ermitteln, ob es sich um eine geeignete Option für eine sichere Verbindung zu einem virtuellen Remotecomputer handelt. Sie evaluieren Azure Bastion anhand der folgenden Kriterien:
- Sicherheit
- Erleichterte Verwaltung
- Integration mit anderen Apps
Administratoren sind bei Verwaltung und Wartung der Azure-Ressourcen einer Organisation, die virtuelle Computer und auf diesen installierte Apps beinhalten, auf die Remoteverwaltung angewiesen. Dabei müssen sie überlegen, wie sie eine sichere Verbindung zu diesen Ressourcen und Apps herstellen, ohne sie für das Internet verfügbar zu machen. Mit Azure Bastion können sie eine Remoteverbindung zu gehosteten virtuellen Computern herstellen und diese verwalten, ohne die Verwaltungsports für das Internet verfügbar zu machen. Einige Administratoren haben diese Anforderung mit Jumpservern gelöst, die manchmal auch als Jumpboxes bezeichnet werden. In dieser Lerneinheit ermitteln Sie, ob Azure Bastion Jumpboxes als Methode für die Bereitstellung eines sicheren Zugriffs zur Remoteverwaltung ersetzen kann.
Hinweis
Eine Jumpbox ist ein virtueller Azure-Computer mit einer öffentlichen IP-Adresse, auf die über das Internet zugegriffen werden kann.
Ein typisches Jumpbox-Szenario sieht wie folgt aus:
- Die virtuellen Computer Ihrer Organisation werden nur mit privaten IP-Adressen konfiguriert und sind nicht direkt über das Internet zugänglich.
- Die Jumpbox wird im selben virtuellen Netzwerk bereitgestellt wie die virtuellen Computer, die Administratoren mithilfe von RDP und SSH remote verwalten möchten.
- Der Netzwerkdatenverkehrsfluss zwischen dem Internet, der Jumpbox und den virtuellen Zielcomputern wird von einer Netzwerksicherheitsgruppe (NSG) verwaltet.
- Administratoren stellen über die öffentliche IP-Adresse mit RDP eine Verbindung zur Jumpbox her.
Wichtig
Da sie mit RDP über eine öffentliche IP-Adresse eine Verbindung zur Jumpbox herstellen, kann die Sicherheit der Jumpbox gefährdet sein.
Die Jumpbox ist ein virtueller Computer, auf dem ein Serverbetriebssystem mit folgenden Anforderungen ausgeführt wird:
- Der virtuelle Computer muss mit Patches und anderen Updates auf dem neuesten Stand gehalten werden.
- Die entsprechenden NSGs müssen konfiguriert werden, um den Datenverkehrsfluss innerhalb des virtuellen Netzwerks zwischen der Jumpbox und den virtuellen Zielcomputern zu schützen.
Entscheidungskriterien
Um zu ermitteln, ob eine Jumpbox oder Azure Bastion die bessere Option für die Remoteverwaltung der Azure-Ressourcen Ihres Unternehmens ist, sollten Sie Kriterien wie Sicherheit, einfache Verwaltung und Integration in Ihre Überlegungen einbeziehen. Im Folgenden finden Sie eine Analyse dieser Kriterien.
| Kriterien | Analyse |
|---|---|
| Sicherheit | Azure Bastion macht RDP/SSH über die öffentliche IP-Adresse nicht verfügbar. Im Gegensatz zur Jumpbox unterstützt Azure Bastion nur TLS-geschützte Verbindungen vom Azure-Portal. Mit Azure Bastion brauchen Sie keine NSGs zu konfigurieren, um den Datenverkehrsfluss besser zu schützen. |
| Einfache Verwaltung | Azure Bastion ist ein vollständig verwalteter PaaS-Dienst. Es handelt sich nicht um einen virtuellen Computer wie eine Jumpbox, die regelmäßige Updates erfordert. Für Azure Bastion benötigen Sie weder Client noch Agent und müssen auch keine Patches und Updates anwenden. Sie brauchen auch keine andere Software auf Verwaltungskonsolen zu installieren oder zu warten. |
| Integration | Sie können Azure Bastion mit anderen nativen Sicherheitsdiensten in Azure (z. B. Azure Firewall) integrieren. Jumpserver verfügen nicht über diese Option. |
Hinweis
Azure Bastion wird pro virtuellem Netzwerk (oder pro virtuellem Peeringnetzwerk) und nicht pro Abonnement, Konto oder VM bereitgestellt.
Anwenden der Kriterien
Azure Bastion erfüllt das Hauptziel einer sicheren Remoteverwaltung gehosteter virtueller Computer. Azure Bastion ist ein verwalteter Dienst, den Sie nicht aktualisieren müssen. Außerdem müssen Sie weder NSGs noch entsprechende Einstellungen manuell zu konfigurieren. Azure Bastion stellt die beste Lösung für eine sichere Remoteverwaltung von in Azure gehosteten virtuellen Computern dar.
Ziehen Sie Azure Bastion in Erwägung, wenn Sie in Azure gehostete virtuelle Remotecomputer verwalten müssen und folgende Anforderungen haben:
- Sie müssen eine Verbindung zu den virtuellen Computern über RDP/SSH herstellen.
- Sie wünschen sich für die Verbindung zu diesen virtuellen Remotecomputern eine wartungsfreie Methode.
- Sie möchten keine NSG-Einstellungen konfigurieren, um die Remoteverwaltung zu ermöglichen.
- Sie möchten Jumpboxes vermeiden.
Beim Ermitteln der Anzahl der bereitzustellenden Azure Bastion-Hosts sollten Sie bedenken, dass Sie einen Host pro virtuellem Netzwerk (oder pro virtuellem Peeringnetzwerk) benötigen. Sie brauchen Azure Bastion nicht auf VM- oder Subnetzbasis bereitzustellen.