Was ist Azure Bastion?

Azure Bastion ist ein Dienst, den Sie bereitstellen, mit dem Sie eine Verbindung zu einer VM mittels Browser und dem Azure-Portal oder über den systemeigenen SSH- oder RDP-Client herstellen können, der bereits auf Ihrem lokalen Computer installiert ist. Bei Azure Bastion handelt es sich um einen vollständig verwalteten PaaS-Dienst, den Sie in Ihrem virtuellen Netzwerk bereitstellen können. Dieser Dienst ermöglicht sichere und nahtlose RDP- und SSH-Verbindungen mit Ihren virtuellen Computern über TLS direkt im Azure-Portal. Beim Herstellen einer Verbindung über Azure Bastion benötigen Ihre VMs keine öffentliche IP-Adresse, keinen Agent und keine spezielle Clientsoftware.

Bastion bietet sichere RDP- und SSH-Verbindungen mit allen virtuellen Computern in dem virtuellen Netzwerk, in dem der Dienst bereitgestellt wird. Durch die Verwendung von Azure Bastion wird verhindert, dass Ihre virtuellen Computer RDP- und SSH-Ports öffentlich verfügbar machen. Gleichzeitig wir weiterhin der sichere Zugriff per RDP/SSH ermöglicht.

Diagramm der Azure Bastion-Architektur

Hauptvorteile

Vorteil BESCHREIBUNG
RDP und SSH über das Azure-Portal Sie können RDP- und SSH-Sitzungen nahtlos mit nur einem Klick über das Azure-Portal aufrufen.
Remotesitzung über TLS und Firewallüberquerung für RDP/SSH Azure Bastion verwendet einen auf HTML5 basierenden Webclient, der automatisch zu Ihrem lokalen Gerät gestreamt wird. Ihre RDP-/SSH-Sitzung erfolgt über TLS an Port 443. Dadurch kann der Datenverkehr Firewalls sicherer passieren.
Für den virtuellen Azure-Computer ist keine öffentliche IP-Adresse erforderlich. Azure Bastion öffnet die RDP/SSH-Verbindung zu Ihrem virtuellen Azure-Computer über die private IP-Adresse auf dem virtuellen Computer. Sie benötigen keine öffentliche IP-Adresse für den virtuellen Computer.
Keine mühsame Verwaltung von Netzwerksicherheitsgruppen (NSGs) Sie müssen im Azure Bastion-Subnetz keine NSGs anwenden. Da mit Azure Bastion Verbindungen mit Ihren virtuellen Computern über private IP-Adressen hergestellt werden, können Sie die Netzwerksicherheitsgruppen so konfigurieren, dass RDP/SSH nur über Azure Bastion zulässig ist. Dadurch entfällt der Aufwand für die Verwaltung von Netzwerksicherheitsgruppen, wenn Sie eine sichere Verbindung mit den virtuellen Computern herstellen. Weitere Informationen zu Netzwerksicherheitsgruppen finden Sie unter Netzwerksicherheitsgruppen.
Es ist nicht erforderlich, einen separaten Bastionhost auf einem virtuellen Computer zu verwalten. Azure Bastion ist ein vollständig verwalteter PaaS-Dienst von Azure, der intern gehärtet ist, um sichere RDP- und SSH-Verbindungen zu bieten.
Schutz vor Portscans Ihre virtuellen Computer sind vor Portscans durch skrupellose und böswillige Hacker geschützt, da Sie die VMs nicht für das Internet verfügbar machen müssen.
Härtung an nur einem Ort Da sich Azure Bastion im Umkreis Ihres virtuellen Netzwerks befindet, brauchen Sie sich über eine Härtung der einzelnen virtuellen Computer in Ihrem virtuellen Netzwerk keine Gedanken zu machen.
Schutz vor Zero-Day-Exploits Dank konsequenter Härtung und Aktualisierung von Azure Bastion bietet die Azure-Plattform Schutz vor Zero-Day-Exploits.

SKUs

Für Azure Bastion sind zwei SKUs verfügbar: Basic und Standard. Weitere Informationen, auch zum Upgraden einer SKU, finden Sie im Artikel Konfigurationseinstellungen.

Die folgende Tabelle enthält die Features der entsprechenden SKUs.

Funktion Basic-SKU Standard-SKU
Herstellen einer Verbindung mit virtuellen Zielcomputern in virtuellen Netzwerken mit Peering Ja Ja
Das Zugreifen auf private Schlüssel für virtuelle Linux-Computer in Azure Key Vault (AKV) Ja Ja
Herstellen einer Verbindung mit einer Linux-VM über SSH Ja Ja
Herstellen einer Verbindung mit einer Windows-VM über RDP Ja Ja
VM-Audioausgabe Ja Ja
Hostskalierung Nicht verfügbar Ja
Angeben eines benutzerdefinierten eingehenden Ports Nicht verfügbar Ja
Herstellen einer Verbindung mit einer Linux-VM über RDP Nicht verfügbar Ja
Herstellen einer Verbindung mit einer Windows-VM über SSH Nicht verfügbar Ja
Hochladen oder Herunterladen von Dateien Nicht verfügbar Ja
Deaktivieren von Kopieren/Einfügen (webbasierte Clients) Nicht verfügbar Ja

Aufbau

Azure Bastion wird in einem virtuellen Netzwerk bereitgestellt und unterstützt das Peering virtueller Netzwerke. Insbesondere verwaltet Azure Bastion RDP-/SSH-Verbindungen mit VMs, die in den lokalen oder mit Peering verbundenen virtuellen Netzwerken erstellt wurden.

RDP und SSH sind grundlegende Protokolle, über die Sie eine Verbindung mit Ihren in Azure ausgeführten Workloads herstellen können. Das Verfügbarmachen von RDP- oder SSH-Ports über das Internet ist nicht erwünscht und wird als erhebliche Angriffsfläche angesehen. Dies ist häufig auf Protokollschwachstellen zurückzuführen. Um diese Angriffsfläche einzudämmen, können Sie Bastion-Hosts (auch Jumpserver genannt) auf der öffentlichen Seite Ihres Umkreisnetzwerks bereitstellen. Bastion-Hostserver sind so konzipiert und konfiguriert, dass sie Angriffen standhalten. Bastion-Server bieten außerdem RDP- und SSH-Verbindungen mit den Workloads, die sich hinter dem Bastion-Server und weiter innen im Netzwerk befinden.

Diagramm der Azure Bastion-Architektur

In dieser Abbildung ist die Architektur einer Azure Bastion-Bereitstellung wie folgt In diesem Diagramm:

  • Der Bastionhost wird in dem virtuellen Netzwerk bereitgestellt, in dem das Subnetz „AzureBastionSubnet“ (mindestens Präfix „/26“) enthalten ist.
  • Der Benutzer stellt in einem HTML5-Browser eine Verbindung mit dem Azure-Portal her.
  • Der Benutzer wählt den virtuellen Computer für die Verbindung aus.
  • Mit nur einem Klick wird die RDP- oder SSH-Sitzung im Browser geöffnet.
  • Für den virtuellen Azure-Computer ist keine öffentliche IP-Adresse erforderlich.

Hostskalierung

Azure Bastion unterstützt die manuelle Hostskalierung. Sie können die Anzahl der Hostinstanzen (Skalierungseinheiten) konfigurieren, um zu verwalten, wie viele gleichzeitige RDP-/SSH-Verbindungen Azure Bastion unterstützen kann. Wenn Sie die Anzahl der Hostinstanzen erhöhen, kann Azure Bastion mehr gleichzeitige Sitzungen verwalten. Bei einer Verringerung der Anzahl von Instanzen wird die Anzahl unterstützter gleichzeitiger Sitzungen reduziert. Azure Bastion unterstützt bis zu 50 Hostinstanzen. Dieses Feature ist nur für die Standard-SKU von Azure Bastion verfügbar.

Weitere Informationen finden Sie im Artikel zu den Konfigurationseinstellungen.

Preise

Die Preise für Azure Bastion setzen sich aus einer Kombination der Stundenpreise basierend auf der SKU, den Skalierungseinheiten und den Datenübertragungsraten zusammen. Informationen zu den Preisen finden Sie auf der Seite Preise .

Neuigkeiten

Abonnieren Sie den RSS-Feed, und zeigen Sie die neuesten Azure Bastion-Featureupdates auf der Seite Azure-Updates an.

Häufig gestellte Fragen zu Bastion

Häufig gestellte Fragen finden Sie unter Häufig gestellte Fragen zu Azure Bastion.

Nächste Schritte