Was ist Azure Bastion?

Abgeschlossen

Azure Bastion bietet über Transport Layer Security (TLS) eine sichere Remoteverbindung zwischen dem Azure-Portal und virtuellen Azure-Computern (VMs). Sie können Azure Bastion in demselben virtuellen Azure-Netzwerk wie Ihre VMs oder in einem virtuellen Netzwerk mit Peering bereitstellen und sich dann direkt über das Azure-Portal mit jeder VM in diesem virtuellen Netzwerk oder einem virtuellen Netzwerk mit Peering verbinden.

Bereitstellen sicherer RDP- und SSH-Konnektivität mit einer internen VM

Mit Azure Bastion können Sie im Azure-Portal ganz einfach eine RDP- oder SSH-Sitzung für eine VM öffnen, die nicht öffentlich verfügbar gemacht wird. Azure Bastion verbindet sich mit Ihren virtuellen Computern über die private IP-Adresse. Sie müssen keine RDP- oder SSH-Ports oder öffentliche IP-Adressen für Ihre internen VMs verfügbar machen.

Da Azure Bastion ein vollständig verwaltetes PaaS-Angebot (Platform as a Service) ist, müssen Sie dem Azure Bastion-Subnetz keine Netzwerksicherheitsgruppen zuweisen. Wenn Sie jedoch mehr Sicherheit wünschen, können Sie Ihre Netzwerksicherheitsgruppe (NSGs) so konfigurieren, dass sie RDP und SSH nur aus Azure Bastion zulassen.

Azure Bastion bietet RDP- und SSH-Konnektivität für alle VMs im selben virtuellen Netzwerk wie das Azure Bastion-Subnetz oder in einem virtuellen Netzwerk mit Peering. Sie müssen keinen zusätzlichen Client, Agent oder Software installieren, um Azure Bastion nutzen zu können.

Einfaches Herstellen einer Verbindung mit einer VM mithilfe von Azure Bastion

Wählen Sie nach der Bereitstellung von Azure Bastion auf der Seite der VM-Übersicht Verbinden>Bastion>Bastion verwendenaus. Geben Sie dann die Anmeldeinformationen für die VM ein, um eine Verbindung herzustellen.

Screenshot of the Azure Bastion page that prompts you to enter username and password for the VM.

Wichtige Sicherheitsfeatures

  • Der von Azure Bastion ausgehende Datenverkehr zu den virtuellen Computern verbleibt innerhalb des virtuellen Netzwerks oder zwischen virtuellen Netzwerken mit Peering.
  • Es ist nicht erforderlich, dem Azure Bastion-Subnetz Netzwerksicherheitsgruppen zuzuweisen, da es intern verstärkt geschützt ist. Für noch mehr Sicherheit können Sie Netzwerksicherheitsgruppen so konfigurieren, dass sie vom Azure Bastion-Host aus nur Remoteverbindungen mit den Ziel-VMs zulassen.
  • Azure Bastion hilft beim Schutz vor Port-Scan-Angriffen. RDP- und SSH-Ports sowie öffentliche IP-Adressen werden für Ihre VMs nicht öffentlich verfügbar gemacht.
  • Azure Bastion hilft beim Schutz vor Zero-Day-Exploits. Da sie sich im Umkreis Ihres virtuellen Netzwerks befindet, ist eine Härtung der einzelnen VMs im virtuellen Netzwerk nicht erforderlich. Die Azure-Plattform hält Azure Bastion stets auf dem neuesten Stand.
  • Der Dienst lässt sich in native Sicherheitsappliances für ein virtuelles Azure-Netzwerk, wie Azure Firewall, integrieren.
  • Sie können mit dem Dienst Remoteverbindungen überwachen und verwalten.

Unterstützung gleichzeitiger Sitzungen

Die folgende Tabelle zeigt, wie viele gleichzeitige RDP- und SSH-Sitzungen jede Azure Bastion-Ressource bei normaler täglicher Nutzung unterstützen kann. Wenn es noch andere laufende RDP- oder SSH-Sitzungen gibt, können diese Werte variieren.

Resource Begrenzung
Gleichzeitige RDP-Verbindungen 25
Gleichzeitige SSH-Verbindungen 50

Bei der Verbindung mit einer VM unterstützte Features

In der folgenden Tabelle sind einige der Features auf der Benutzeroberfläche aufgeführt, die Azure Bastion unterstützt:

Funktion Unterstützt
Browser – Windows: Microsoft Edge-Browser, Microsoft Edge Chromium oder Google Chrome
 –Apple Mac: Google Chrome-Browser oder Microsoft Edge Chromium
Tastaturlayout auf der VM - en-us-qwerty
- en-gb-qwerty
- de-ch-qwertz
- de-de-qwertz
- fr-be-azerty
- fr-fr-azerty
- fr-ch-qwertz
- hu-hu-qwertz
- it-it-qwerty
- ja-jp-qwerty
- pt-br-qwerty
- es-es-qwerty
- es-latam-qwerty
- sv-se-qwerty
- tr-tr-qwerty
Funktionen innerhalb der VM – Kopieren und Einfügen von Text
: Features wie das Kopieren von Dateien werden derzeit nicht unterstützt.

Für die Verwendung von Azure Bastion erforderliche Rollen

Wie bei anderen Azure-Ressourcen benötigen Sie Zugriff auf die Ressourcengruppe oder die Azure Bastion-Ressource selbst, um Azure Bastion bereitzustellen oder zu verwalten.

Damit Sie sich über Azure Bastion mit der VM-Ressource verbinden können, bieten die folgenden Rollen die geringsten Berechtigungen, die benötigt werden:

  • Rolle „Leser“ auf dem virtuellen Computer
  • Rolle „Leser“ auf dem Netzwerkadapter mit privater IP-Adresse des virtuellen Computers
  • Rolle „Leser“ für die Azure Bastion-Ressource