Microsoft Azure Bastion: Sicherer VM-Zugriff für Berliner KMUs
Microsoft Azure Bastion stellt vollständig verwalteten, browserbasierten RDP- und SSH-Zugriff auf Azure Virtual Machines bereit, ohne diese dem öffentlichen Internet auszusetzen. Anstatt VMs öffentliche IP-Adressen zuzuweisen und Firewall-Ports zu öffnen, fungiert Bastion als sicherer Jump-Server, der in Ihrem Azure Virtual Network gehostet wird und ausschließlich über das Azure-Portal mit Entra-ID-Anmeldeinformationen zugänglich ist. Für Berliner KMUs, die Workloads auf Azure-VMs betreiben, eliminiert Bastion einen der häufigsten Angriffsvektoren: öffentlich zugängliche Management-Ports.
Wie Azure Bastion öffentliche Management-Exposition eliminiert
Die herkömmliche VM-Administration erfordert entweder die Zuweisung einer öffentlichen IP an die VM, die Verwendung eines VPN oder die manuelle Bereitstellung eines Bastion-Hosts. Jeder Ansatz erhöht die Betriebskomplexität und schafft Angriffsfläche. Azure Bastion wird in einem dedizierten Subnetz (AzureBastionSubnet) in Ihrem VNet bereitgestellt und bietet HTML5-basierte RDP/SSH-Sitzungen über TLS 443, die Standard-Unternehmensfirewalls ohne besondere Konfiguration passieren. VMs benötigen keine öffentliche IP, keine NSG-Regel zum Öffnen von Port 3389 oder 22 und keinen installierten Agenten auf dem Gast-Betriebssystem.
Bastion-Sitzungen werden über das Azure-Portal authentifiziert, was bedeutet, dass Entra ID Conditional-Access-Richtlinien gelten: Sie können MFA, konforme Geräte und bestimmte IP-Bereiche verlangen, bevor VM-Konsolenzugriff gewährt wird. Alle Sitzungsaktivitäten werden in Azure Monitor protokolliert und bieten einen Prüfpfad für Compliance-Zwecke.
Bastion-SKUs und Funktionen
Azure Bastion ist in drei SKUs verfügbar. Basic bietet browserbasierten RDP/SSH-Zugriff ohne Agenten-Anforderung. Standard fügt nativen Client-Support hinzu (vollständige RDP/SSH-Client-Anwendungen, nicht nur Browser), Dateiübertragung, Audio und Multi-Monitor-Unterstützung. Premium ergänzt Sitzungsaufzeichnung für Compliance-Szenarien. Für die meisten Berliner KMUs ist Basic oder Standard ausreichend, je nachdem ob Teams native Client-Erfahrung oder Dateiübertragungsfähigkeiten benötigen.
Integration mit Defender for Cloud und Azure Arc
Microsoft Defender for Cloud markiert VMs mit öffentlich zugänglichen Management-Ports (3389, 22) als Empfehlungen mit hohem Schweregrad. Die Bereitstellung von Bastion und das Entfernen dieser öffentlichen Port-Expositionen verbessert Ihren Secure Score direkt und erfüllt eine häufige Compliance-Empfehlung. Für Arc-verwaltete On-Premises- oder Multi-Cloud-VMs kann Bastion den Management-Zugriff auf diese Maschinen über das Azure-Portal erweitern und konsistenten sicheren Zugriff unabhängig vom physischen Standort der VM bieten.
Bereitstellungsüberlegungen für kleine Teams
Bastion wird pro VNet bereitgestellt, wobei eine einzelne Bastion-Instanz alle VMs innerhalb dieses VNets und aller gepeerter VNets erreichen kann (mit der Standard-SKU). Für kleine Unternehmen mit einer einzelnen VNet-Architektur deckt eine Bastion-Bereitstellung alle VM-Zugriffsanforderungen ab. Die Kosten basieren auf ausgehendem Datentransfer und stündlicher Bereitstellung, was im Vergleich zum operationellen Risiko durch exponierte Management-Ports kosteneffizient ist.
Möchten Sie öffentliche RDP- und SSH-Exposition von Ihren Azure-VMs entfernen? IT Experts Berlin bewertet Ihre aktuelle VM-Netzwerkkonfiguration und stellt Azure Bastion als Teil eines umfassenderen Netzwerksicherheitshärtungs-Engagements bereit.
Weiterführende Artikel
- Microsoft Defender for Cloud: Defender for Cloud markiert VMs mit öffentlich zugänglichen Management-Ports als Empfehlungen mit hohem Schweregrad — die Bereitstellung von Bastion und das Entfernen der Port-3389/22-Expositionen verbessert Ihren Secure Score direkt
- Microsoft Sentinel: Bastion-Sitzungsaktivitätsprotokolle können zur Überwachung privilegierten Zugriffs an Sentinel weitergeleitet werden — die Korrelation von wer auf welche VM wann und von wo zugegriffen hat bietet Prüfpfadsichtbarkeit für Compliance und Insider-Bedrohungserkennung
- Microsoft Azure Arc: Azure Bastion kann sicheren Management-Zugriff auf Arc-fähige On-Premises- und Multi-Cloud-VMs erweitern — konsistenter sicherer Konsolenzugriff unabhängig vom physischen Standort der VM
- Microsoft Azure Key Vault: Key Vault kann VM-Administratoranmeldeinformationen und Zertifikate speichern, auf die über Bastion-Sitzungen zugegriffen wird — die Kombination von Bastion für sicheren Zugriff mit Key Vault für Anmeldeinformationsspeicherung eliminiert sowohl exponierte Management-Ports als auch hartcodierte Passwörter
Auch zu diesem Thema
- Azure Network Security Groups: Die Bereitstellung von Azure Bastion sollte mit NSG-Regeln kombiniert werden, die direktes eingehendes RDP (TCP 3389) und SSH (TCP 22) vom Internet auf jedem VM-Subnetz blockieren — Bastion stellt den verwalteten Zugriffspfad bereit, während NSGs sicherstellen, dass kein alternativer direkter Verbindungspfad verfügbar bleibt
- Azure Private Endpoints: Bastion und Private Endpoints adressieren unterschiedliche Angriffsoberflächen — Bastion eliminiert internetexponierte VM-Verwaltungsports, während Private Endpoints internetexponierte PaaS-Endpunkte eliminieren. Zusammen entfernen sie die kritischsten internetexponierten Kategorien in Azure-KMU-Bereitstellungen