Azure Bastion ist Microsofts Ansatz, mit einem Managed PaaS Service per RDP oder SSH auf die virtuellen Systeme zuzugreifen. Während der Preview funktioniert der Zugriff nur vom Azure Portal aus über SSL (Port 443). Die Vorteile liegen aber klar auf der Hand:

  • Es wird keine public IP für das virtuelle System benötigt
  • Eine einzige Regel in der Network Security Group (NSG), die den Zugriff per RDP und SSH von Azure Bastion erlaubt
  • Erhöhter Schutz gegen Portscanning, da Azure Bastion nur Port 443 veröffentlicht
  • Hardening von Azure Bastion wird zentral und kontinuierlich durch Microsoft vollzogen
  • Keine eigenen Jump-Stations oder -Hosts mehr nötig –> deutlich geringerer Verwaltungsaufwand

Und die Roadmap ist klar: Dieser Service wird stark ausgebaut und verbessert werden. AAD-Integration für SSO mit 2FA, Anbinden weiterer Workloads wie SQLaaS, PIM for JIT, u.v.m.

Hier gehts zum Announcement: https://azure.microsoft.com/en-us/blog/announcing-the-preview-of-microsoft-azure-bastion/

Hier gehts zur Doku: https://docs.microsoft.com/en-us/azure/bastion/bastion-create-host-portal