Azure Bastion architecture from MS docs
Allgemein, Azure, Azure Bastion, Azure Network, Azure Security, Cloud, Microsoft, Remotedesktop, Windows Server

Azure Bastion – Sicherer Azure VM Zugriff via SSH/RDP ohne Public IP

Leave a comment

Update 2 on 01/12/2021

Microsoft has changed the #AzureBastion minimum subnet size from /27 to /26. Installed #Azure Bastion are unaffected, but new deployments require the new subnet size. Please remember this.

Update 1

11/10/2021 Artikel überarbeitet und weitere Links angefügt. Follow the link to a refreshed article in english

Azure Bastion ist ein ganz neuer Service im Azure Universum, der den Remote Zugriff auf eure Azure VMs via RDP/SSH deutlich vereinfacht und absichert.

Azure Bastion Architecture by Microsoft Docs

Bisher gab es zwei Möglichkeiten, um sich zu Azure VMs via RDP oder SSH zu verbinden.

  1. Es besteht Zugriff auf das VNET, in dem die Azure VM liegt. Dazu war eine VPN Verbindung zum VNET notwendig oder ein Jump Host der in Azure ausgerollt wurde.
  2. Oder die Azure VM erhielt eine öffentliche IP-Adresse, um RDP oder SSH nach außen zu veröffentlichen. Damit einhergehend öffneten sich eine Menge Sicherheitslücken.

Mit Azure Bastion gibt es nun eine 3. Möglichkeit.

Azure Bastion wird als Platform-as-a-Service bereitgestellt und ermöglicht eine nahtlose Verbindung über das Azure Portal zur entsprechenden Azure VM. Durch diese Funktion sind beide oben genannten Möglichkeiten obsolet und ein direkter Zugriff auf Azure VMs, ohne Public IP, ist immer möglich. Azure Bastion stellt auf seine Art einen entsprechenden Jump Host im jeweiligen VNET bereit und benötigt seinerseits eine Public IP für die entsprechende Funktionalität.

Contents

Azure Bastion Voraussetzungen

Azure Bastion - Enable Service
Azure Bastion – Enable Service

Azure Bastion ist derzeit nur in folgenden Regionen erhältlich:

Azure Bastion Region availability
Azure Bastion Region availability
  • West & East US
  • West Europe
  • South Central US
  • Australia East
  • Japan East

Um Zugriff auf Azure Bastion zu erhalten und den Service auszurollen, müsst ihr den folgendem Preview Link folgen: https://aka.ms/BastionHost

Azure Bastion Vorbereitung

Azure Bastion Sub preperation
Azure Bastion Sub preperation

Bevor ihr beginnt den Service einzurichten, muss der Tenant und die entsprechende Subscription erst für die Preview freigeschaltet werden. Dazu sind folgende Schritte notwendig.

Ruft die Powershell direkt im Portal auf und führt folgende Befehle aus.

Register-AzureRmProviderFeature -FeatureName AllowBastionHost -ProviderNamespace Microsoft.Network
Register-AzureRmResourceProvider -ProviderNamespace Microsoft.Network
Get-AzureRmProviderFeature -ProviderNamespace Microsoft.Network

Es kann ein wenig dauern, bis die Änderungen abgeschlossen sind.

Azure Bastion Einrichtung

Azure Bastion - Add Subnet to VNET
Azure Bastion – Add Subnet to VNET

Azure Bastion benötigt ein eigenes Subnet innerhalb des VNETs, um den Zugriff auf VMs zu ermöglichen. Dazu muss ein entsprechendes VNET mit dem Namen AzureBastionSubnet angelegt werden, der Block muss min. 64 Adressen umfassen (/26).

Azure Bastion - Add subnet to VNET prefix
Azure Bastion – Add subnet to VNET prefix

Nachdem das Subnetz erstellt wurde, könnt ihr den Azure Bastion Service im entsprechenden VNET ausrollen. Dazu gebt im Azure Suchfeld “Bastion” ein und ihr gelangt direkt zum Bastion Blade.

Azure Bastion Create Bastion
Azure Bastion Create Bastion

Dort erstellt ihr einen neuen Azure Bastion Service und wählt die gewünschte Region aus. Vergebt noch ein paar Tags und rollt den Service aus, in dem ihr das entsprechende VNET, in dem das AzureBastionSubnet angelegt wurde., auswählt. Der Vorgang kann ein paar Minuten dauern.

Anschließend erhaltet ihr beim Konsolenzugriff auf VMs die in einem VNET liegen, in dem auch der Azure Bastion Service vorhanden ist, folgendes Fenster:

Azure Bastion

Azure Bastion Kosten und SLA

Azure Bastion ist derzeit in einer Public Preview verfügbar und daher ohne SLA Level. Solltet ihr allerdings Fehler finden, so wendet euch gern an die Product Group, die sehr an Feedback interessiert ist.

Azure Bastion Kosten pro Service

  • 0,081€ pro Stunde
  • 59,13€ pro Monat = 0,081€ * 730h
  • + Ein- und Ausgehenden Traffic in Azure

Azure Bastion Roadmap

Im Blog Eintrag von Yousef Khalidi CVP für Azure Networking sind folgende Punkte auf der Roadmap:

  • Azure AD integration
  • Seamless Single-sign-On Funktionalitäten
  • MFA

Azure Bastion Vor- und Nachteile

Vorteile

  • RDP and SSH Zugriff über das Portal
  • Remote session über SSL tunnel für RDP/SSH
  • Keine Public IP notwendig
  • Einfache Security Regel Verwaltung

Nachteile

  • Derzeit Azure Bastion pro VNET notwendig
  • Kein übergreifender Zugriff via VNET Peering
  • Unterwandert daher das Hub and Spoke Modell
  • Zusätzlicher Kostenfaktor (nach Preview noch teurer)

Azure Bastion Links

Leave a Reply

Your email address will not be published. Required fields are marked *