Azure Bastion architecture from MS docs

Azure Bastion – Sicherer Azure VM Zugriff via SSH/RDP ohne Public IP

Azure Bastion ist ein ganz neuer Service im Azure Universum, der den RDP Zugriff auf Azure VMs deutlich vereinfacht und sicherer macht.

Azure Bastion Architecture by Microsoft Docs

Bisher gab es zwei Möglichkeiten, um sich zu Azure VMs via RDP oder SSH zu verbinden.

  1. Es besteht Zugriff auf das VNET, in dem die Azure VM liegt. Dazu war eine VPN Verbindung zum VNET notwendig oder ein Jump Host der in Azure liegt.
  2. Oder die Azure VM erhielt eine öffentliche IP-Adresse, um RDP oder SSH nach außen zu veröffentlichen. Damit einhergehend öffneten sich eine Menge Sicherheitslücken.

Mit Azure Bastion gibt es nun eine 3. Möglichkeit. Azure Bastion wird als Platform-as-a-Service bereitgestellt und ermöglicht eine nahtlose Verbindung über das Azure Portal zur entsprechenden Azure VM. Durch diese Funktion sind beide oben genannten Möglichkeiten obsolet und ein direkter Zugriff auf Azure VMs, ohne Public IP, ist immer möglich. Azure Bastion stellt auf seine Art einen entsprechenden Jump Host im jeweiligen VNET bereit und benötigt seinerseits eine Public IP für die entsprechende Funktionalität.

Azure Bastion Voraussetzungen

Azure Bastion - Enable Service
Azure Bastion – Enable Service

Azure Bastion ist derzeit nur in folgenden Regionen erhältlich:

Azure Bastion Region availability
Azure Bastion Region availability
  • West & East US
  • West Europe
  • South Central US
  • Australia East
  • Japan East

Um Zugriff auf Azure Bastion zu erhalten und den Service auszurollen, müsst ihr den folgendem Preview Link folgen: https://aka.ms/BastionHost

Azure Bastion Vorbereitung

Azure Bastion Sub preperation
Azure Bastion Sub preperation

Bevor ihr beginnt den Service einzurichten, muss der Tenant und die entsprechende Subscription erst für die Preview freigeschaltet werden. Dazu sind folgende Schritte notwendig.

Ruft die Powershell direkt im Portal auf und führt folgende Befehle aus.

Register-AzureRmProviderFeature -FeatureName AllowBastionHost -ProviderNamespace Microsoft.Network
Register-AzureRmResourceProvider -ProviderNamespace Microsoft.Network
Get-AzureRmProviderFeature -ProviderNamespace Microsoft.Network

Es kann ein wenig dauern, bis die Änderungen abgeschlossen sind.

Azure Bastion Einrichtung

Azure Bastion - Add Subnet to VNET
Azure Bastion – Add Subnet to VNET

Azure Bastion benötigt ein eigenes Subnet innerhalb des VNETs, um den Zugriff auf VMs zu ermöglichen. Dazu muss ein entsprechendes VNET mit dem Namen AzureBastionSubnet angelegt werden, der Block muss min. 32 Adressen umfassen (/27).

Azure Bastion - Add subnet to VNET prefix
Azure Bastion – Add subnet to VNET prefix

Nachdem das Subnetz erstellt wurde, könnt ihr den Azure Bastion Service im entsprechenden VNET ausrollen. Dazu gebt im Azure Suchfeld „Bastion“ ein und ihr gelangt direkt zum Bastion Blade.

Azure Bastion Create Bastion
Azure Bastion Create Bastion

Dort erstellt ihr einen neuen Azure Bastion Service und wählt die Region aus, in dem ihr den Service im entsprechenden VNET ausrollen möchtet und das AzureBastionSubnet angelegt habt. Vergebt noch ein paar Tags und rollt den Service aus, dass kann ein paar Minuten dauern.

Anschließend erhaltet ihr beim Konsolenzugriff auf VMs die in einem VNET mit Azure Bastion Service liegen, folgendes Fenster:

Azure Bastion

Azure Bastion Kosten und SLA

Azure Bastion ist derzeit in einer Public Preview verfügbar und daher ohne SLA Level. Solltet ihr allerdings Fehler finden, so wendet euch gern an die Product Group, die sehr an Feedback interessiert ist.

Azure Bastion Kosten pro Service

  • 0,081€ pro Stunde
  • 59,13€ pro Monat (0,081€ * 730h)
  • + ein- und ausgehenden Traffic in Azure

Azure Bastion Roadmap

Im Blog Eintrag von Yousef Khalidi CVP für Azure Networking sind folgende Punkte auf der Roadmap:

  • Azure AD integration
  • Seamless Single-sign-On Funktionalitäten
  • MFA

Azure Bastion Vor- und Nachteile

Vorteile

  • RDP and SSH Zugriff über das Portal
  • Remote session über SSL tunnel für RDP/SSH
  • Keine Public IP notwendig
  • Einfache Security Regel Verwaltung

Nachteile

  • Derzeit Azure Bastion pro VNET notwendig
  • Kein übergreifender Zugriff via VNET Peering
  • Unterwandert daher das Hub and Spoke Modell
  • Zusätzlicher Kostenfaktor (nach Preview noch teurer)

Azure Bastion Links

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.