Als Bastion Host, oder Jumphost, bezeichnet man einen Server, der seine Services im Internet anbietet und besonders geschützt werden muss. Diese Bastion Hosts werden beispielsweise oft dafür verwendet administrative Tätigkeiten an anderen Servern durchzuführen. Meist handelt es sich um speziell gehärtete Systeme, die in einer demilitarisierten Zone (DMZ) bereitgestellt werden. Das bedeutet auch, dass hier ein erhöhter Aufwand betrieben werden muss um diese Jumphosts anbieten zu können. Genau hier kommt Azure ins Spiel und bietet seinen Bastion Host as a Service an.
Was ist Azure Bastion?
Zur Administration von virtuellen Windows und Linux Servern benötigt man gehärtete Jumphosts, oder Bastion Server. Oftmals sind diese aus dem Internet erreichbar und stellen so nicht nur für die Administratoren ein Eingangstor bereit. Mit Azure Bastion muss man sich um die Härtung und die Aktualisierung des Betriebssystems nicht mehr länger kümmern. Darum kümmern sich die Azure Experten. Zudem müssen keine Agents installiert, oder öffentliche IP Adressen exponiert werden. Die RDP, oder SSH Verbindung kann auf die Server einfach über den Browser hergestellt werden.
Wie nutze ich den Azure Bastion Service?
Der Platform Service (PaaS) Azure Bastion befindet sich aktuell noch in der Preview. Deshalb muss man aktuell noch den Preview Link nutzen um einen Bastion Host zu erstellen.
Achtung, während der Preview gibt es keine SLA auf dem Service. Erst wenn der Service generell verfügbar (GA = generally available) ist, wird es auch eine vertraglich zugesicherte Verfügbarkeit geben.
Azure Bastion Host erstellen
Bevor wir mit der Erstellung des Bastion Hosts beginnen können, legen wir zunächst ein Subnetz für den Host an. Das ist eine Grundvoraussetzung die erfüllt werden muss. Das Subnetz muss den Namen AzureBastionSubnet haben und mindestens einen Prefix von /27 haben.
Im Preview Portal klicken wir auf Create a resource und tragen in die Suche “Bastion” ein und wählen wir “Bastion (preview)” aus.
Wichtig ist, dass der Bastion Host mit dem zuvor angelegten Subnetz verknüpft wird. Dazu muss sich der Bastion Host in der gleichen Region befinden, in der auch das VNET ist.
RDP auf einen Windows Server
Um sich auf einen Windows Server zu verbinden muss man jetzt nur noch den Server auswählen, Connect klicken und in der Auswahl erscheint als zusätzliche Option Bastion. Nachdem die Credentials eingetragen wurden, wird man auf den Server weitergeleitet.
SSH auf eine Linux VM
Genau wie biem Windows Server funktioniert das auch für einen Linux Server. Zunächst den Server auswählen, Connect klicken und Bastion auswählen.
Fazit
Der Jumphost-as-a-Service ist eine super Ergänzung um einerseits die Sicherheit der Systeme hoch zu halten und andererseits die Aufwände gering zu halten. Ich hoffe der Service wird bald allgemein verfügbar, sodass er in der Breite eingesetzt werden kann.
Möchten Sie in einem PoC den Service auch für sich nutzen? Dann schreiben Sie uns.