Bekanntgabe der Vorschauversion von Microsoft Azure Bastion

Veröffentlicht am 18 Juni, 2019

Corporate Vice President, Azure Networking

Für viele Kunden auf der ganzen Welt stellt das sichere Herstellen einer Verbindung von außen mit Workloads und virtuellen Computern in privaten Netzwerken eine Herausforderung dar. Beim Verfügbarmachen von virtuellen Computern im öffentlichen Internet zum Ermöglichen von Verbindungen über RDP (Remote Desktop Protocol) und SSH (Secure Shell) wird der Umkreis vergrößert. Ihre geschäftskritischen Netzwerke und angefügten virtuellen Computer werden dadurch stärker geöffnet und sind schwieriger zu verwalten.

Sowohl RDP als auch SSH stellen grundlegende Konzepte dar, über die Kunden Verbindungen mit ihren Azure-Workloads herstellen. Die meisten Kunden stellen Verbindung mit ihren virtuellen Computern her, indem sie diese im öffentlichen Internet verfügbar machen oder einen Bastionhost wie einen Jumpserver oder eine Jumpbox bereitstellen.

Ich freue mich daher, heute die Vorschauversion von Azure Bastion bekannt geben zu können.

Azure Bastion ist ein neuer verwalteter PaaS-Dienst, der nahtlose RDP- und SSH-Konnektivität mit Ihren virtuellen Computern über SSL (Secure Sockets Layer) bereitstellt. Dies wird erreicht, ohne die öffentlichen IP-Adressen Ihrer virtuellen Computer verfügbar zu machen. Azure Bastion führt die Bereitstellung direkt in Ihrem virtuellen Azure-Netzwerk aus und stellt einen Bastionhost bzw. Jumpserver als Dienst sowie integrierte Konnektivität mit allen virtuellen Computern in Ihrem virtuellen Netzwerk über RDP/SSH direkt über Ihren Browser und die Oberfläche des Azure-Portals zur Verfügung. Die kann mit nur zwei Klicks erreicht werden, ohne sich um die Verwaltung von Netzwerksicherheitsrichtlinien kümmern zu müssen.

Im Vorfeld der Vorschauversion haben wir mit Hunderten Kunden in einem breiten Bereich von Branchen zusammengearbeitet. Das Interesse an einer Teilnahme an der Vorschauversion war riesig, und ähnlich wie bei anderen besonderen Azure-Diensten wie Azure Firewall war das Feedback sehr einheitlich: Wir benötigen eine einfache und integrierte Möglichkeit, Jumpserver oder Bastionhosts in unserer Azure-Infrastruktur bereitzustellen, auszuführen und zu skalieren.

Beispielsweise haben wir direkt von einem Cloudfundament-Teammanager für einen großen deutschen Autohersteller gehört, dass er aufgrund mehrerer potenzieller Sicherheits- und Verbindungsprobleme Bedenken hatte, virtuelle Cloudcomputer mit RDP/SSH-Ports direkt im Internet verfügbar zu machen. Während der Vorschauversion von Azure Bastion konnte er RDP/SSH über SSL mit unseren virtuellen Computern verwenden und so die Firewalls des Unternehmens problemlos durchlaufen. Dabei blieben virtuelle Azure-Computer auf private IP-Adressen beschränkt.

Zur Bereitstellung eines eigenständigen dedizierten Jumpservers müssen häufig spezialisierte IaaS-Lösungen und -Workloads wie ein RDS-Gateway (Remote Desktop Services) bereitgestellt und verwaltet, Authentifizierungsmethoden, Sicherheitsrichtlinien und Zugriffssteuerungslisten konfiguriert und verwaltet und die Verfügbarkeit, Redundanz und Skalierbarkeit der Lösung verwaltet werden. Darüber hinaus können die Einrichtung und Verwaltung von Jumpservern durch Überwachung und Überprüfung sowie die fortlaufende Anforderung der Einhaltung von Unternehmensrichtlinien schnell zu einer arbeitsintensiven, kostenaufwendigen und nicht gerade wünschenswerten Aufgabe werden.

Azure Bastion wird in Ihrem virtuellen Netzwerk bereitgestellt und bietet RDP/SSH-Zugriff für alle autorisierten virtuellen Computer, die mit dem virtuellen Netzwerk verbunden sind.

Azure Bastion-Architektur oberster Ebene

Zu den in der Vorschauversion verfügbaren Hauptmerkmalen zählen:

  • RDP und SSH über das Azure-Portal: Initiieren Sie RDP- und SSH-Sitzungen nahtlos mit nur einem Klick direkt über das Azure-Portal.
  • Remotesitzung über SSL und Firewalldurchlauf für RDP/SSH: HTML5-basierte Webclients werden automatisch an das lokale Gerät gestreamt, wobei die RDP/SSH-Sitzung über SSL an Port 443 bereitgestellt wird. Dadurch können Unternehmensfirewalls einfach und sicher durchlaufen werden.
  • Keine öffentliche IP-Adresse erforderlich für virtuelle Azure-Computer: Azure Bastion öffnet die RDP/SSH-Verbindung mit Ihrem virtuellen Azure-Computer über eine private IP-Adresse, sodass die Offenlegung Ihrer Infrastruktur gegenüber dem öffentlichen Internet begrenzt ist.
  • Vereinfachte sichere Regelverwaltung: Einfache einmalige Konfiguration von Netzwerksicherheitsgruppen (NSGs) zum Erlauben von RDP/SSH nur über Azure Bastion.
  • Erhöhter Schutz vor Portscans: Die begrenzte Offenlegung von virtuellen Computern gegenüber dem öffentlichen Internet hilf beim Schutz vor Bedrohungen wie dem Scannen externer Ports.
  • Härtung an einem Ort zum Schutz vor Zero-Day-Exploits: Azure Bastion ist ein von Microsoft verwalteter Dienst. Er wird fortlaufend gehärtet, indem automatisch Patches gegen bekannte Risiken angewandt und auf dem neuesten Stand gehalten werden.

Azure Bastion – der Weg nach vorne

Wie bei allen anderen Azure-Netzwerkdiensten freuen wir uns darauf, Azure Bastion auszubauen und weitere großartige Funktionen hinzuzufügen, während wir auf die allgemeine Verfügbarkeit zusteuern.

In der Zukunft sind Integration in Azure Active Directory, nahtlose SSO-Funktionen mit Azure Active Directory-Identitäten und Azure Multi-Factor Authentication und eine effektive Erweiterung der zweistufigen Authentifizierung auf Ihre RDP/SSH-Verbindungen geplant. Wir freuen uns auch darauf, Support für native RDP/SSH-Clients hinzuzufügen, damit Sie Ihre bevorzugte Clientanwendung für sichere Verbindungen mit Ihren virtuellen Azure-Computern über Azure Bastion verwenden können. Gleichzeitig möchten wir die Überprüfung für RDP-Sitzungen mit vollständiger Videoaufzeichnung der Sitzungen verbessern.

Wir möchten Sie dazu ermuntern, Azure Bastion auszuprobieren, und freuen uns darauf, Ihr Feedback entgegenzunehmen und zu implementieren.