Microsoft Azure VMs und Azure Bastion

Microsoft Azure VMs und Azure Bastion

Azure-Cloud, die Cloud-Service-Methoden und Azure Bastion

Die Azure-Cloud sind entfernte Rechensysteme, welche über das Internet zugänglich gemacht werden. Die Nutzung dieser Cloud erfolgt dabei ausschließlich über Webbrowsertechnologie und deren Schnittstellen und Protokolle (HTTP-RESTful, REST-API). Die Basis dieser entfernten IT-Infrastruktur bilden die drei Standard-Ressource-Endpunkte Network, Storage und Compute.

Für den Betrieb einer solchen Struktur definierte im Jahre 2011 das National Institute of Standards and Technology (NIST) drei Methoden. Über die Cloud-Services-Methoden werden die Applikationen einzeln oder zusammen bereitgestellt. Diese drei Methoden definieren sich durch die jeweilige Zuständigkeit:

  • IaaS –   Infrastructure as a Service
    Bereitstellung von einzelnen Ressourcen (VMs und virtuelle Systeme) über die drei Standard-Ressource-Endpunkte (Network / Storage / Compute).
  • PaaS –  Platform as a Service
    Zusammenführung der einzelnen Ressourcen aus IaaS in vollständig verwaltete, automatisch skalierbare und gehärtete Entwicklungs- und Bereitstellungsumgebungen.
  • SaaS –  Software as a Service
    Aus IaaS und PaaS werden fertiggestellte Apps und Applikationen, welche einfach und zentral administrierbar sind.

In der nachfolgenden Abbildung werden die jeweiligen Zuständigkeiten deutlich.

Abbildung 1 – Cloud-Service-Methoden und die jeweilige Zuständigkeit

Bei „Azure Bastion“ handelt es sich um einen Cloud-Service in Azure mit der Methode „Platform as a Service – PaaS“. Dieser Dienst ist ein vollständig verwalteter, automatisch skalierbarer und gehärteter Dienst für eine sichere RDP- oder SSH-Verbindung zu den virtuellen Maschinen in Azure (Azure VMs). Manuell zu erstellende, extra zu schützende „Jump-VMs“ für einen internen Zugriff werden somit nicht benötigt.

Übrigens beschreibt der Teilbegriff „Bastion“ ein vorgelagertes Bollwerk. Das Wort ist aus dem italienischen Wort „bastione“ hergeleitet und hat dort die Bedeutung Stab, Pfosten oder auch vorspringender Pfeiler.

Azure Bastion und der gesicherte Zugriff auf Azure virtuelle Maschinen

Der vollständig verwaltete, automatisch skalierbare und gehärtete Dienst (PaaS) „Azure Bastion“ ermöglicht den Zugriff auf Azure VMs (virtuelle Maschinen) über einen modernen HTML5-basierten Webclient. Der Rechnerzugriff wird gestreamt über einen modernen Browser auf dem Socket Secure Layer (SSL 443), über den vollständig verwalteten Dienst „Azure Bastion“ hin zu den im Netzwerk bereitgestellten Maschinen. „Azure Bastion“ verwendet dabei im internen Netzwerk die privaten Adressen und die Protokolle RDP (3389) und SSH (22) für die Verbindung. Die nachfolgende Abbildung zeigt den beschriebenen Weg.

Abbildung 2 – Schematische Darstellung des Zugriffs auf Azure VMs über „Azure Bastion“

Dieser Dienst ermöglicht einen besseren Schutz der Netzwerk-Infrastruktur in Azure, indem er folgende Schwerpunkte durchsetzt:

  • Keine Verwendung von öffentlichen IPs für den Zugriff zu den Azure VMs notwendig
  • Remote-Sitzung über SSL und Firewall-Travesal für RDP/SSH
  • Eigenes Subnetz im virtuellen Netzwerk mit einer einfachen Konfiguration von Network Security Groups (NSGs) für den Zugriff über RDP/SSH
  • Erhöhter Schutz vor Port-Scans
  • Härtung an einem Ort zum Schutz vor Zero-Day-Angriffen

Einrichtung und Nutzung von Azure Bastion

Die Erstellung der Ressource „Azure Bastion“ erfolgt im gleichen Netzwerk der virtuellen Computer unter Verwendung eines eigenen Subnetzes mit dem Namen „AzureBastionSubnet“.

Der Umfang des Subnetzes sollte mindestens „/27“ oder größer sein. Bei diesem Teil des Netzes dürfen keine Delegierung, Routentabellen und Netzwerksicherheitsgruppen (NSG) eingesetzt werden.

Es ist ein PaaS (Platform as a Service), der seine eigenen Einstellungen mitbringt. Dieser Dienst benötigt darüber hinaus auch eine öffentliche IP-Adresse (Public IP) für den SSL-Zugriff (Port 443).

Die nachfolgende Abbildung zeigt die Konfiguration über das Azure Portal.
Die wichtigsten Positionen sind hervorgehoben.

Abbildung 3 – Einrichtung des PaaS „Azure Bastion“ im Azure Portal

Verfügbar ist dieser Service in folgenden Azure-Regionen (Stand 09.12.2019):

  • USA (Westen)
  • USA (Ost)
  • Europa, Westen
  • USA Süd Mitte
  • Australien (Osten)
  • Japan, Osten

Nach der Fertigstellung (ca. 5 Min) ist der Ablauf für den Zugriff auf eine VM wie folgt:

  1. Im Azure Portal zum virtuellen Computer navigieren und unter dem Punkt „Overview“ auf „Connect“ klicken, unter Bastion die Zugangsdaten zur VM eingeben.
Abbildung 4: Zugriff auf eine VM – 1

2. Das Ergebnis ist der Zugriff zur VM im Browser.

Abbildung 5: Zugriff auf eine VM – 2

Über den Browser lassen sich Texte hinein und auch rauskopieren (Clipboard).

Auch lassen sich die Tastenkombinationen Strg & C und Strg & V für diese Vorgänge einsetzen.

Quellenverzeichnis

„Bastion“
https://de.wikipedia.org/wiki/Bastion

Erstellen eines Azure Bastion-Hosts
https://docs.microsoft.com/de-de/azure/bastion/bastion-create-host-portal

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.