Azure Bastion: Sicherer RDP/SSH-Zugriff ohne öffentliche IPs für kleine Unternehmen in Berlin
Jede Azure-VM mit einer öffentlichen IP-Adresse und einem offenen RDP- oder SSH-Port ist ein Angriffsziel. Credential-Stuffing-Angriffe gegen exponierte RDP-Endpunkte (Port 3389) sind kontinuierlich — automatisierte Scanner identifizieren offene RDP-Endpunkte weltweit innerhalb von Minuten nach der Bereitstellung. Azure Bastion eliminiert diese Angriffsfläche vollständig, indem es die Notwendigkeit öffentlicher IPs auf Azure-VMs beseitigt. Anstatt sich direkt über das öffentliche Internet mit einer VM zu verbinden, verbinden sich Administratoren über das Azure-Portal oder einen nativen Client via HTTPS (Port 443), und Bastion leitet die RDP- oder SSH-Sitzung an die private IP-Adresse der VM innerhalb des virtuellen Netzwerks weiter. Die VM hat keine öffentliche IP, keinen offenen RDP- oder SSH-Port und ist vom Internet aus nicht erreichbar — nur aus dem virtuellen Netzwerk heraus, über Bastion.
Architektur: So funktioniert Azure Bastion
Azure Bastion ist ein vollständig verwalteter PaaS-Dienst, der in ein dediziertes Subnetz (AzureBastionSubnet) innerhalb Ihres virtuellen Netzwerks eingesetzt wird. Das Subnetz muss mindestens /26 gross sein (64 Adressen). Ein in einem virtuellen Netzwerk bereitgestellter Bastion-Host kann für VMs in ge-peerten virtuellen Netzwerken verwendet werden (Basic-SKU auf dasselbe VNet beschränkt; Standard-SKU unterstützt VNet-Peering). Die TLS-Verbindung vom Browser des Administrators wird am Bastion-Host beendet; Bastion stellt dann eine RDP- oder SSH-Verbindung zur Ziel-VM über die private IP her. Kein Agent auf der VM erforderlich. Keine zusätzliche Software auf der Administrator-Workstation — jeder moderne Browser genügt.
Azure Bastion SKU-Vergleich
| Funktion | Basic SKU | Standard SKU |
|---|---|---|
| RDP/SSH über Browser | ✓ | ✓ |
| Nativer Client (RDP-App / SSH-CLI) | ✕ | ✓ |
| VNet-Peering-Konnektivität | Nur gleiches VNet | Ge-peerte VNets (teilbarer Bastion) |
| Gleichzeitige Sitzungen | 2 | 2–50 (skalierbar) |
| Dateiübertragung (RDP) | ✕ | ✓ |
| Kopieren/Einfügen | ✓ | ✓ |
| Azure Private Link-Integration | ✕ | ✓ |
| IP-basierte Verbindung (ohne VM) | ✕ | ✓ |
| Ungefähre monatliche Kosten (EU) | ca. 125 €/Monat | ca. 250 €/Monat Basis |
Azure Bastion bereitstellen
- AzureBastionSubnet erstellen: Im Azure-Portal zu Ihrem Virtuellen Netzwerk → Subnetze → Subnetz hinzufügen navigieren. Exakt
AzureBastionSubnetbenennen (der Name ist obligatorisch). Adressbereich auf mindestens /26 setzen. Keine anderen Ressourcen in dieses Subnetz einsetzen. - Öffentliche IP für Bastion erstellen: Bastion selbst benötigt eine Standard-SKU-öffentliche IP (für die Administrator-zu-Bastion-TLS-Verbindung). Dies ist die einzige öffentliche IP in der Architektur — sie exponiert keine RDP- oder SSH-Ports, nur HTTPS/443. Standard-SKU-statische öffentliche IP in derselben Region wie Ihr VNet erstellen.
- Bastion-Host bereitstellen: Im Azure-Portal nach Bastion suchen → Erstellen. Abonnement, Ressourcengruppe, Region, VNet und AzureBastionSubnet auswählen. Öffentliche IP anfügen. SKU auswählen (Basic oder Standard je nach Anforderungen). Bereitstellung dauert 5–10 Minuten.
- Öffentliche IPs von VMs entfernen: Nach Bastion-Bereitstellung öffentliche IP-Adressen von allen VMs trennen, die nur Administratorzugriff benötigen. NSG-Regeln aktualisieren, um eingehende RDP (3389)- und SSH (22)-Regeln aus dem Internet zu entfernen. Sicherstellen, dass VMs über Bastion erreichbar bleiben, bevor die öffentlichen IPs gelöscht werden.
- Via Bastion mit einer VM verbinden: Im Azure-Portal zur VM → Verbinden → Bastion navigieren. Anmeldedaten eingeben (oder Azure AD-Login mit der AAD-Erweiterung verwenden). Die RDP- oder SSH-Sitzung öffnet sich in einem Browser-Tab. Kein VPN, kein Jump-Host, keine öffentliche IP erforderlich.
- Just-In-Time (JIT)-VM-Zugriff konfigurieren (optional, aber empfohlen): Für zusätzliche Zugriffssteuerung den Microsoft Defender for Cloud Just-In-Time-VM-Zugriff aktivieren. JIT blockiert standardmässig alle Verwaltungsports und öffnet sie nur, wenn eine autorisierte Anfrage für ein zeitlich begrenztes Fenster an eine bestimmte Quell-IP gestellt wird.
- RBAC für Bastion konfigurieren: Die Rolle "Virtual Machine Administrator Login" oder "Virtual Machine User Login" (für Azure AD-basiertes VM-Login) Administratoren zuweisen, die Bastion-Zugriff benötigen. Einschränken, wer Bastion-Sitzungen über Azure RBAC auf der Bastion-Ressource selbst initiieren kann.
NSG-Regeln für das AzureBastionSubnet
Bastion benötigt spezifische NSG-Regeln auf dem AzureBastionSubnet. Eingehend: HTTPS (443) vom Internet erlauben (Admin-Browser-Verbindungen) und GatewayManager (443) von der Azure-Steuerungsebene erlauben. Ausgehend: RDP (3389) und SSH (22) zum VirtualNetwork erlauben, AzureCloud (443) ausgehend für Bastion-Diagnosen erlauben. Den gesamten anderen eingehenden und ausgehenden Datenverkehr blockieren.
Bastion vs. VPN für den Remote-VM-Zugriff
Eine häufige Frage von Berliner Unternehmen mit Azure-VMs: Sollen wir Bastion oder ein VPN-Gateway für den Admin-Zugriff verwenden? Die Antwort hängt vom Anwendungsfall ab. Bastion ist speziell für interaktive RDP- und SSH-Sitzungen zu Azure-VMs konzipiert — ohne Client-Software und ohne VPN-Infrastruktur. Ein VPN-Gateway bietet umfassendere Netzwerkkonnektivität — nützlich, wenn Administratoren auch andere VNet-Ressourcen (Datenbanken, Dateifreigaben, interne APIs) jenseits von VM-Sitzungen erreichen müssen. Für den reinen VM-Admin-Zugriff ist Bastion einfacher, günstiger und hat eine kleinere Angriffsfläche.
Kosten und betriebliche Überlegungen
Azure Bastion Basic SKU kostet in europäischen Regionen ca. 125 €/Monat. Für ein Kleinunternehmen mit einigen wenigen Azure-VMs wird dies typischerweise durch die Eliminierung einer statischen öffentlichen IP pro VM (ca. 3–4 €/Monat) und die Betriebskosten für die Verwaltung öffentlich sichtbarer Angriffsflächen ausgeglichen. Der bedeutendere Kostenvorteil liegt in der Incident Response: Ein einzelnes Ransomware-Ereignis, das von einem exponierten RDP-Endpunkt ausgeht, kostet leicht mehr als ein Jahr Bastion-Abonnements. Bastion sollte als Infrastrukturversicherung bewertet werden, nicht als optionaler Zusatz.
Für Berliner Unternehmen mit Azure-Workloads setzt IT Experts Berlin Azure Bastion als Standardkomponente von Azure-Infrastrukturaufbauten ein — neben Key Vault, Azure Monitor und Defender for Cloud — um sicherzustellen, dass keine VM-Verwaltungsfläche dem öffentlichen Internet ausgesetzt ist. Kostenloses IT-Assessment anfordern, um Ihre aktuelle Azure-Netzwerksicherheit zu überprüfen.
Weiterfuehrende Artikel
- Microsoft Defender for Cloud: Just-In-Time-VM-Zugriff mit Azure Bastion kombinieren – keine öffentlichen RDP-Ports und zeitbasierte Zugangsbeschränkungen für maximale VM-Sicherheit
- Azure Key Vault: Azure Bastion und Key Vault zusammen als gehärtete Azure-Infrastrukturbasis einsetzen – kein öffentlicher VM-Zugang, keine Klartext-Geheimnisse
- Azure Monitor und Log Analytics: Bastion-Diagnosoprotokolle an den Log Analytics-Arbeitsbereich senden, um alle RDP- und SSH-Sitzungen zu Azure-VMs zu auditieren