Was ist Azure Bastion?
Azure Bastion ist ein vollstaendig verwalteter PaaS-Dienst fuer sichere RDP- und SSH-Konnektivitaet zu virtuellen Maschinen direkt ueber das Azure-Portal — ohne oeffentliche IP-Adressen. Durch Eliminierung von Jump Boxes und VPN-Gateways reduziert Bastion die Angriffsflaeche erheblich und bietet browserbasierte Zugriff ueber TLS auf Port 443.
Funktionsweise und SKU-Stufen
Bastion wird in einem dedizierten Subnet (AzureBastionSubnet, mindestens /26) bereitgestellt. Basic SKU fuer 25 gleichzeitige Sitzungen, Standard SKU mit Skalierung bis 50 Instanzen und nativem Client-Support, Premium SKU mit Sitzungsaufzeichnung und Private-only-Bereitstellung.
Sicherheitsvorteile
Keine oeffentliche IP-Exposition, Schutz vor Port-Scanning, Azure AD-Integration, Conditional Access und vollstaendige Audit-Protokollierung in Azure Monitor. VMs bleiben vollstaendig privat ohne eingehenden Internetzugang.
Best Practices und Preise
Verwenden Sie ein dediziertes /26-Subnet, Standard SKU fuer Produktion, NSG-Konfiguration und Azure Monitor fuer Verbindungsprotokolle. Abrechnung pro Stunde der Bereitstellung plus Datentransfer.
Erweiterte Azure Bastion Konfigurationen
Azure Bastion Standard und Premium SKUs bieten leistungsstarke Enterprise-Szenarien über den browserbasierte Zugriff hinaus. Native Client ermöglicht mstsc.exe für RDP, PuTTY für SSH und Azure CLI-Tunnel für beliebige TCP-Port-Weiterleitung. Shareable Links bieten zeitbegrenzte URLs für VM-Zugriff ohne Azure-Portal — ideal für Anbieter-Support und temporären Auftragnehmer-Zugang mit Ablaufzeiten von 1 Stunde bis 7 Tagen.
Session Recording und Compliance
Premium SKU erfasst jede RDP- und SSH-Sitzung in einem Azure Storage-Konto für SOC 2, HIPAA und FedRAMP. Aufnahmen können über das Portal überprüft oder mit SIEM-Lösungen für automatisierte Analyse integriert werden.
Netzwerkarchitektur-Muster
Im Hub-Spoke-Design wird Bastion einmal im Hub-VNet bereitgestellt und erreicht VMs in allen Spoke-VNets über VNet-Peering — 60-80% Kostenreduktion gegenüber Bereitstellung in jedem Spoke. Premium SKU unterstützt Private-Only-Bereitstellung ohne öffentliche IP über ExpressRoute oder VPN Gateway.
Kostenoptimierung und Skalierung
Für Entwicklungsumgebungen: Automatisierte Bereitstellung per Azure Automation nur während der Geschäftszeiten spart ~58% Kosten. Standard SKU unterstützt 2-50 Scale Units mit je ~20 gleichzeitigen RDP-Sitzungen. Überwachen Sie Verbindungsmetriken über Azure Monitor zur richtigen Dimensionierung.
Sicherheitshärtung
- Dediziertes /26-Subnet namens AzureBastionSubnet
- Azure DDoS Protection aktivieren
- Diagnoseeinstellungen an Log Analytics und Sentinel senden
- Azure AD MFA über Conditional Access erzwingen
- NSG-Regeln: Eingehend 443 von Internet, Ausgehend zu VirtualNetwork für 3389/22
Wichtige Funktionen und Fähigkeiten
Die folgenden Kernfähigkeiten machen diese Technologie für moderne Cloud-Infrastrukturen unverzichtbar:
Browser-Based Access
Full RDP and SSH sessions directly in Azure portal with HTML5 — no public IPs, no client software, no NSG rule changes required on target VMs
Native Client Support
Standard SKU enables CLI tunnels (az network bastion tunnel) for mstsc.exe, PuTTY, database tools, and file transfer through arbitrary TCP ports
Shareable Links
Time-limited URLs granting VM access without Azure portal or Azure AD accounts — configurable expiration from 1 hour to 7 days for vendor support
Session Recording
Premium SKU captures complete RDP/SSH sessions to Azure Storage for SOC 2, HIPAA, and FedRAMP compliance audit trails
Private-Only Deployment
Premium removes the Bastion public IP entirely — access flows through ExpressRoute or VPN Gateway for zero-public-IP architectures
Praxisbeispiele und Anwendungsfälle
Organisationen verschiedener Branchen setzen diese Technologie in Produktionsumgebungen ein:
Hub-Spoke Networks
Deploy Bastion once in hub VNet, reach VMs in all spoke VNets through peering — 60-80% cost reduction compared to per-spoke deployment
Regulated Industries
A bank uses Premium session recording for all production server access, satisfying PCI-DSS requirement 10.2 for audit trails of privileged access
DevOps Workflows
Development teams use native client tunnels for VS Code Remote SSH, database management with SSMS, and log streaming through custom TCP ports
Vendor Management
IT teams generate 4-hour shareable links for external support engineers, eliminating the need for VPN credentials or temporary Azure AD accounts
Best Practices und Empfehlungen
Basierend auf Enterprise-Bereitstellungen und Produktionserfahrung helfen diese Empfehlungen, den Mehrwert zu maximieren:
- Always use a dedicated /26 or larger subnet named exactly AzureBastionSubnet — this naming convention is mandatory
- Enable Azure DDoS Protection Standard on the Bastion VNet to protect the public endpoint from volumetric attacks
- Configure Diagnostic Settings to send BastionAuditLogs to Log Analytics for integration with Microsoft Sentinel SIEM
- Enforce Azure AD MFA through Conditional Access policies — Bastion supports MFA prompt before establishing sessions
- Use scale units appropriately: each unit handles ~20 RDP or ~40 SSH concurrent sessions. Monitor and auto-scale during incidents
- For dev/test environments, automate Bastion deploy/delete on business hours schedule to save ~58% of compute costs
Häufig gestellte Fragen
How much does Azure Bastion cost?
Basic SKU starts at ~$0.19/hour (~$140/month). Standard adds native client, shareable links, and scaling at ~$0.29/hour base plus ~$0.088/hour per additional scale unit. Premium adds session recording at ~$0.42/hour. Dev/test automation can reduce costs significantly.
Can I use Azure Bastion across subscriptions?
Yes, through VNet peering. Deploy Bastion in a hub VNet in one subscription and peer with spoke VNets in other subscriptions. Ensure peering allows gateway transit and NSGs permit traffic between subnets on ports 443, 3389, and 22.
What is the difference between Bastion and a jump box?
Bastion is fully managed with no OS patching, built-in DDoS protection, and session recording. Jump boxes require VM management, security hardening, and manual audit logging. Bastion costs more but eliminates operational overhead and reduces attack surface.
