Microsoft Azure VMs und Azure Bastion

Microsoft Azure VMs und Azure Bastion

Azure-Cloud, die Cloud-Service-Methoden und Azure Bastion

Die Azure-Cloud sind entfernte Rechensysteme, welche über das Internet zugänglich gemacht werden. Die Nutzung dieser Cloud erfolgt dabei ausschließlich über Webbrowsertechnologie und deren Schnittstellen und Protokolle (HTTP-RESTful, REST-API). Die Basis dieser entfernten IT-Infrastruktur bilden die drei Standard-Ressource-Endpunkte Network, Storage und Compute.

Für den Betrieb einer solchen Struktur definierte im Jahre 2011 das National Institute of Standards and Technology (NIST) drei Methoden. Über die Cloud-Services-Methoden werden die Applikationen einzeln oder zusammen bereitgestellt. Diese drei Methoden definieren sich durch die jeweilige Zuständigkeit:

  • IaaS –   Infrastructure as a Service
    Bereitstellung von einzelnen Ressourcen (VMs und virtuelle Systeme) über die drei Standard-Ressource-Endpunkte (Network / Storage / Compute).
  • PaaS –  Platform as a Service
    Zusammenführung der einzelnen Ressourcen aus IaaS in vollständig verwaltete, automatisch skalierbare und gehärtete Entwicklungs- und Bereitstellungsumgebungen.
  • SaaS –  Software as a Service
    Aus IaaS und PaaS werden fertiggestellte Apps und Applikationen, welche einfach und zentral administrierbar sind.

In der nachfolgenden Abbildung werden die jeweiligen Zuständigkeiten deutlich.

Abbildung 1 – Cloud-Service-Methoden und die jeweilige Zuständigkeit

Bei „Azure Bastion“ handelt es sich um einen Cloud-Service in Azure mit der Methode „Platform as a Service – PaaS“. Dieser Dienst ist ein vollständig verwalteter, automatisch skalierbarer und gehärteter Dienst für eine sichere RDP- oder SSH-Verbindung zu den virtuellen Maschinen in Azure (Azure VMs). Manuell zu erstellende, extra zu schützende „Jump-VMs“ für einen internen Zugriff werden somit nicht benötigt.

Übrigens beschreibt der Teilbegriff „Bastion“ ein vorgelagertes Bollwerk. Das Wort ist aus dem italienischen Wort „bastione“ hergeleitet und hat dort die Bedeutung Stab, Pfosten oder auch vorspringender Pfeiler.

Azure Bastion und der gesicherte Zugriff auf Azure virtuelle Maschinen

Der vollständig verwaltete, automatisch skalierbare und gehärtete Dienst (PaaS) „Azure Bastion“ ermöglicht den Zugriff auf Azure VMs (virtuelle Maschinen) über einen modernen HTML5-basierten Webclient. Der Rechnerzugriff wird gestreamt über einen modernen Browser auf dem Socket Secure Layer (SSL 443), über den vollständig verwalteten Dienst „Azure Bastion“ hin zu den im Netzwerk bereitgestellten Maschinen. „Azure Bastion“ verwendet dabei im internen Netzwerk die privaten Adressen und die Protokolle RDP (3389) und SSH (22) für die Verbindung. Die nachfolgende Abbildung zeigt den beschriebenen Weg.

Abbildung 2 – Schematische Darstellung des Zugriffs auf Azure VMs über „Azure Bastion“

Dieser Dienst ermöglicht einen besseren Schutz der Netzwerk-Infrastruktur in Azure, indem er folgende Schwerpunkte durchsetzt:

  • Keine Verwendung von öffentlichen IPs für den Zugriff zu den Azure VMs notwendig
  • Remote-Sitzung über SSL und Firewall-Travesal für RDP/SSH
  • Eigenes Subnetz im virtuellen Netzwerk mit einer einfachen Konfiguration von Network Security Groups (NSGs) für den Zugriff über RDP/SSH
  • Erhöhter Schutz vor Port-Scans
  • Härtung an einem Ort zum Schutz vor Zero-Day-Angriffen

Einrichtung und Nutzung von Azure Bastion

Die Erstellung der Ressource „Azure Bastion“ erfolgt im gleichen Netzwerk der virtuellen Computer unter Verwendung eines eigenen Subnetzes mit dem Namen „AzureBastionSubnet“. Der Umfang des Subnetzes sollte mindestens „/27“ oder größer sein. Bei diesem Teil des Netzes darf keine Delegierung, Routentabellen und Netzwerksicherheitsgruppen (NSG) eingesetzt werden.

Verfügbar ist dieser Service in folgenden Azure-Regionen (Stand 09.12.2019):

  • USA, Westen
  • USA, Osten
  • Europa, Westen
  • USA, Süden-Mitte
  • Australien, Osten
  • Japan, Osten

Mit dem neuen Jahr 2021 hat Microsoft den Bereitstellungsdienst „Azure Bastion“ in der Einrichtung und Verfügbarkeit in den Regionen verbessert. Verfügbar ist der Dienst jetzt in 20 weiteren Regionen (Stand 19. Februar 2020);

  • Australien, Mitte 2
  • Australien, Südosten
  • Brasilien, Süden
  • Kanada, Mitte
  • USA, Mitte
  • Asien, Osten
  • Frankreich, Mitte
  • Japan, Westen
  • Südkorea, Mitte
  • Südkorea, Süden
  • USA, Norden-Mitte
  • Europa, Norden
  • Norwegen, Osten
  • Südafrika, Norden
  • Asien, Südosten
  • VAE, Mitte
  • Vereinigtes Königreich, Süden
  • Vereinigtes Königreich, Westen
  • USA, Westen-Mitte
  • Indien, Westen

Bei der Einrichtung im Azure Portal verfolgt Microsoft jetzt einen besseren, strukturierteren Weg. In 3 unterteilten Abschnitten mit verbundenen Prüfungen erfolgt die Erstellung („three steps“).

  1. Step: Sicherstellung eines ausreichenden Adress-Bereiches innerhalb des genutzten Netzwerkes.
  2. Step: Erstellen eines Subnetzes mit dem Namen „AzureBastionSubnet“ mit ausreichendem Adress-Bereich für den bereitzustellenden Dienst „Azure Bastion“ innerhalb des zu verwendeten Netzwerkes (siehe Step 1).
  3. Step: Erstellen des Dienstes mit einem Service Namen und einer dazugehörigen Public-IP-Adresse.

Wichtige Information!
Bei der Einrichtung sollte auf Einschränkungen und Kontingente im Abonnement und auf eigene Begrenzungen („Policy“ usw.) geachtet werden. Auch können geöffnete „RDP“-oder „SSH“-Sessions die Erstellung eines Dienstes wie „Azure Bastion“ behindern. Bei der Erstellung des PaaS (Platform as a Service) werden eigene Einstellungen mitgebracht. Dieser Dienst benötigt neben seinen Namen auch eine öffentliche IP-Adresse (Public-IP) für den SSL-Zugriff (Port 443).
Die nachfolgenden Abbildungen zeigen die Konfiguration über das Azure Portal.

  1. Schritt 00:
    Im Azure Portal zum virtuellen Computer navigieren und unter dem Punkt „Overview“ auf „Connect“ klicken, dann auf „Bastion“ und den Button „Use Bastion“ verwenden.
Abbildung 3: Beginn der Einrichtung des Dienstes „Azure Bastion“
  1. Schritt 01:
    Sicherstellung eines ausreichenden Adress-Bereiches innerhalb des genutzten Netzwerkes und
    Schritt 02:
    Erstellen eines Subnetzes mit dem Namen „AzureBastionSubnet“ mit ausreichendem Adress-Bereich für den bereitzustellenden Dienst „Azure Bastion“ innerhalb des zu verwendeten Netzwerkes.
Abbildung 4: Schritt 01 – Prüfung und Einrichtung des ausreichenden Adress-Bereichs im Netzwerk
Schritt 02 – Einrichtung des Subnetzes „AzureBastionSubnet“ im Netzwerk
  1. Schritt 03:
    Erstellen des Dienstes mit einem Service Namen und einer dazugehörigen Public-IP-Adresse
Abbildung 5: Schritt 03 – Einrichtung der Azure Bastion mit einem Namen und Public-IP

Nach der Fertigstellung (ca. 5 min) ist der Ablauf für den Zugriff auf eine VM wie folgt.

  • Schritt 01:
    Eingabe des lokalen Benutzernamens der VM und des dazugehörigen Kennworts
Abbildung 6: Schritt 01 – Nach der Fertigstellung des Dienstes „Azure Bastion“ die Verbindung herstellen

Wichtige Information!
Bei der Betätigung des Buttons „Connect“ kann es zu einer Fehlermeldung kommen. Der Popup-Blocker des gewählten Browsers kann den Aufruf durch den HTML5-basierten Webclient verhindern.
Für den erfolgreichen Zugriff muss der Zugriff erlaubt werden.

  • Schritt 02:
    Nach der Betätigung des Buttons „Connect“ erfolgt ein direkter Web-Client-Stream mit SSL (443) auf die gewählte VM (RDP- oder SSH-Verbindung – siehe Bild)
    im Bild unter A – „Clipboard“ kann ein Datenaustausch mit Text stattfinden
    im Bild unter B – Popup erlauben für den Datenaustausch
Abbildung 7: Schritt 02 – SSL-Stream der VM
Schritt 02 A – über „Clipboard“ kann Text ausgetauscht werden
Schritt 02 B – für das „Clipboard“ muss der Austausch gestattet werden „Allow“

Innerhalb des verwendeten Netzwerkes kann der Dienst „Azure Bastion“ für mehrere gleichzeitige Verbindungen verwendet werden. Bei der normalen, täglichen Nutzung dieses Dienstes ergeben sich nachfolgende Richtwerte bei gleichzeitigen Verbindungen.
(Achtung! Beide Verbindungmöglichkeiten können sich beeinflussen und daher können die Werte variieren.)

RessourceBegrenzung
gleichzeitige RDP-Verbindungen25
gleichzeitige SSH-Verbindungen50

Quellenverzeichnis

„Bastion“
https://de.wikipedia.org/wiki/Bastion

Was ist Azure Bastion? – Einführung zum Bereitstellungsdienst „Azure Bastion“ in Ihrem Netzwerk
Azure Bastion | Microsoft Docs

Erstellen eines Azure Bastion-Hosts
https://docs.microsoft.com/de-de/azure/bastion/bastion-create-host-portal

Azure Updates zum Dienst Azure Bastion
Azure-Updates | Microsoft Azure

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.