Microsoft Tech-Blog Deutschland

Microsoft Tech-Blog Deutschland

Azure Bastion – Public Preview

Donnerstag, 27. Juni 2019

Unseren Freunden von Wikipedia nach, ist eine Bastion eine Anlage, die aus der Linie eines Festungswalls vorspringt und deren Aufgabe es war, den Raum unmittelbar vor dem Wall, den die Verteidiger von der Brustwehr aus nicht unmittelbar einsehen können, seitlich erreichen zu können.

Eine coole Sache, aber was hat das jetzt mit Azure zu tun? Ich versuche den Satz aus Wikipedia mal Azure konform zu übersetzen:

„Bastion ist ein verwalteter PaaS-Dienst, der aus der Linie einer Firewall und/oder eines Proxys vorspringt und dessen Aufgabe es ist, RDP- und SSH- Konnektivität zu virtuellen Maschinen in Azure über den Secure Sockets Layer, erreichbar zu machen.“

Hartes Brett, wenn man es so liest. Nun aber mal etwas mehr dazu.
Azure Bastion ist ein neuer verwalteter PaaS-Dienst, der tatsächlich eine nahtlose RDP- und SSH-Konnektivität zu Ihren virtuellen Maschinen über den Secure Sockets Layer (SSL) bietet.
Dies geschieht ohne die Offenlegung der öffentlichen IPs auf Ihren virtuellen Maschinen. Azure Bastion integriert sich direkt in ihr Azure Virtual Netzwerk und stellt einen Host oder Jump Server als Service zur Verfügung.

Hier das Ganze mal als Architekturbild:

Azure Bastion – Public Preview: Architekturbild

Zu den wichtigsten Funktionen, die mit der Vorschau zur Verfügung stehen, gehören:

RDP und SSH aus dem Azure-Portal:
Starten Sie RDP- und SSH-Sitzungen direkt im Azure-Portal mit einem einzigen Klick.

Remote-Sitzung über SSL und Firewall-Traversal für RDP/SSH:
HTML5-basierte Webclients werden automatisch auf Ihr lokales Gerät gestreamt und stellen die RDP/SSH-Sitzung über SSL auf Port 443 bereit. Dies ermöglicht ein einfaches und sicheres Durchlaufen von Firewalls.

Keine öffentlichen IP erforderlich auf den Azure VMs:
Azure Bastion öffnet die RDP/SSH-Verbindung zu Ihrer virtuellen Azure-Maschine über eine private IP und unterbindet so die Verbreitung Ihrer Infrastruktur im öffentlichen Internet.

Vereinfachte Verwaltung von Regeln:
Einfache Konfiguration von Network Security Groups (NSGs), um RDP/SSH für Azure Bastion zu ermöglichen.

Erhöhter Schutz vor Port-Scans:
Die begrenzte Verbreitung virtueller Maschinen im öffentlichen Internet trägt zum Schutz vor Bedrohungen wie dem externen Port-Scanning bei.

Härtung an einem Ort zum Schutz vor Zero-Day-Angriffen:
Azure Bastion ist ein Managed Service, der von Microsoft verwaltet wird. Der Service wird kontinuierlich gehärtet,

Die derzeitige Preview ist im Moment limitiert und in folgenden Azure Regionen verfügbar.

  • West US
  • East US
  • West Europe
  • South Central US
  • Australia East
  • Japan East

Wollen wir uns kurz ansehen wie der Dienst in Azure implementiert wird.

Damit wir sicherstellen, dass das Erstellen von Azure Bastion auch funktioniert, sollten ein paar Vorbereitungen getroffen werden. Zuerst hab ich den Azure Bastion Provider registriert.

PowerShell Command:

Register-AzProviderFeature -FeatureName AllowBastionHost -ProviderNamespace Microsoft.Network
Azure Bastion – Public Preview: Abbildung 1

Anschliessend sollte auch der Network Provider nochmals registriert werden:

Register-AzResourceProvider -ProviderNamespace Microsoft.Network
Azure Bastion – Public Preview: Abbildung 1

Überprüfung, ob alles registriert ist:

Get-AzProviderFeature -ProviderNamespace Microsoft.Network
Azure Bastion – Public Preview: Abbildung 1

Im Anschluss daran, starten Sie das Azure Portal in der Preview Variante. Bitte stellen Sie sicher, dass diesen Link verwenden https://aka.ms/BastionHost , um auf das Vorschauportal zugreifen zu können.

Azure Bastion – Public Preview: Abbildung 1

Nun geben Sie im Suchfeld des Marcetplace den Begriff „Bastion“ ein und wählen Bastion (Vorschau) aus.

Azure Bastion – Public Preview: Abbildung 1

Hier öffnet sich die Einfabemaske, wo wir unseren Service erstellen können. Dazu gehen wir auf „Create bastion“ oder „add“

Azure Bastion – Public Preview: Abbildung 1

Im nächsten Schritt erstellen wir den Service. Dazu geben wir die relevanten Informationen in die entsprechenden Felder ein.

Hier kommt noch ein sehr wichtiger Punkt.
Sie müssen ein Subnetz mit dem Namen „AzureBastionSubnet“ anlegen.
Dies gibt Azure Auskunft darüber, in welchem Subnetz die Bastion-Ressourcen bereitgestellt werden sollen.
Wir empfehlen Ihnen, mindestens ein /27 oder ein größeres Subnetz (/27, /26, etc.) zu verwenden. Erstellen Sie das AzureBastionSubnetz ohne Netzwerksicherheitsgruppen, Routingtabellen oder Delegationen.

Azure Bastion – Public Preview: Abbildung 1

Wenn Sie mit Tags arbeiten, können Sie diese auf der nachfolgenden Seite konfigurieren und nach der Validierung können Sie den Service erstellen und wenn dieser fertig ist sollte das in etwa so aussehen

Azure Bastion – Public Preview: Abbildung 1

Nun wollen wir sehen, ob dieser Service auch zur Verfügung steht. Dazu im Vorschauportal https://aka.ms/BastionHost zum Host ihrer Wahl gehen und die Connection öffnen.

Ich teste das gerade mit einer Windows 2016 VM.

Azure Bastion – Public Preview: Abbildung 1

Nachdem ich die Anmeldedaten eingegeben habe, öffnet sich ein weiteres Browserfenster und siehe da, ich habe Zugriff auf meine VM.

Azure Bastion – Public Preview: Abbildung 1

Wer nun noch einen Blick in seine Ressource Gruppe wirft, wird feststellen, dass sich hier jetzt auch der Bastion Service befindet.

Azure Bastion – Public Preview: Abbildung 1

So, jetzt geht es darum zu testen und auszuprobieren – dafür ist die Preview da. Sicherlich werden noch weitere Feature wie bps.: Azure Active Directory Integration usw. folgen.

Hier noch weitere Informationsquellen zu dem Service:

https://docs.microsoft.com/en-us/azure/bastion/bastion-create-host-portal

https://azure.microsoft.com/en-us/blog/announcing-the-preview-of-microsoft-azure-bastion/

https://azure.microsoft.com/de-de/services/azure-bastion/

https://social.technet.microsoft.com/wiki/contents/articles/53057.azure-bastion-public-preview.aspx

https://docs.microsoft.com/en-us/azure/bastion/bastion-faq

Autor

Otto Gerlesberger
Otto Gerlesberger
Zum Tech-Blog