Maksim Kabakou - stock.adobe.com

Schutz der öffentlichen IP-Adressen in Azure-Umgebungen

Eine Jumpbox schützt die in Azure untergebrachten virtuellen Maschinen vor unerwünschten Zugriffen aus dem öffentlichen Internet. Dazu leitet sie eingehende Verbindungen um.

Eine Jumpbox ist ein nützliches Werkzeug, um die Sicherheit in einer auf Azure basierenden IT-Umgebung zu erhöhen. Dazu leitet sie alle Anfragen an die öffentlichen IP-Adressen der virtuellen Maschinen (VM) in Azure auf sich selbst um.

Es gibt viele Möglichkeiten, um auf Microsoft Azure zuzugreifen. Einerseits kann ein Unternehmen dafür ein VPN (Virtual Private Network) nutzen, Terminal Services oder aber auch das Remote Desktop Protocol (RDP). Gleichgültig, für welche Methode eine IT-Abteilung sich entscheidet, sollte dabei das Thema Sicherheit ganz oben stehen.

Ein Weg, der eine sichere Verbindung zwischen den lokalen Ressourcen und der Cloud bietet, ist die Nutzung einer Jumpbox. Dabei handelt es sich um einen Windows-Server, den Sie vor Ihre anderen Server schalten können. So richten Sie eine zusätzliche Sicherheitsebene zwischen den VMs in Azure und öffentlichen Netzen ein.

Jumpboxen und öffentliche IP-Adressen

Bei der Nutzung von Azure erhält ein Endpoint standardmäßig sowohl eine öffentliche als auch eine private IP-Adresse. Die öffentliche IP-Adresse ist genau das, was der Name nahelegt: Sie macht die Ressource frei verfügbar und damit für jeden im Internet zugänglich – auch für Cyberangreifer.

Jeder in Azure untergebrachte Server mit einer öffentlichen IP-Adresse sieht sich deswegen sofort einem Sicherheitsrisiko ausgesetzt. Streng genommen sollte diese öffentliche IP-Adresse also wieder durch Ihre Administratoren entfernt werden. Der Server ist dann aber nicht mehr erreichbar und kann seine Aufgaben meist nicht mehr erfüllen. Das ist der Punkt, an dem sich der Einsatz einer Jumpbox anbietet.

Sie entfernt die öffentlich zugängliche IP-Adresse für den Azure-Server. Nach der Einrichtung und Konfiguration hat dann nur noch die Jumpbox einen direkten Zugang zu den dahinter platzierten virtuellen Maschinen. Alle Verbindungen zu und von Ihren Azure-VMs laufen dann nur noch über die Jumpbox.

Der Einsatz von Jumpboxen in der echten Welt

Nehmen wir folgendes Beispiel: Ein Unternehmen nutzt Microsoft Office 365 für seine Mitarbeiter. Dazu ist das lokale Active Directory (AD) mit Hilfe von Azure AD Connect mit dem Azure Active Directory verbunden. Alle Verbindungen zwischen dem On-Premises-Netzwerk sowie der Cloud und den dort genutzten Azure-Servern sind solide konfiguriert und können von den Entwicklern und den Produkt-Teams für ihre Tätigkeiten genutzt werden. Die gesamte Umgebung wird zudem durch ein VPN und Firewalls geschützt, so dass keine öffentlichen IPs Zugriff auf virtuelle Maschinen haben. Dies alles funktioniert wie geplant.

Ein neues Projekt erfordert nun aber einen Test von Microsoft SharePoint. Dabei soll die produktive Nutzung so authentisch wie möglich nachgebildet werden. Dazu wird ein AD-Server mit eingerichteten Accounts benötigt, die auf Azure Active Directory sowie Azure AD Connect basieren. Die für beide Dienste benötigte Infrastruktur ist Teil der Teststellung von Azure.

In diesem Szenario sollten die Dienste aber nicht mit der lokalen IT-Umgebung des Unternehmens verbunden werden. Nur so lässt sich eine Isolierung des Active Directorys erreichen. Da es sich hierbei nur um einen Test handelt, der jederzeit abgebrochen werden kann, ist es nicht nötig, die Verbindungen so einzurichten, dass eine direkte Kommunikation mit dem lokalen Netzwerk erfolgen kann.

Wenn bei den Tests aber festgestellt wird, dass alle Anforderungen des Unternehmens erfüllt wurden und das System in den produktiven Einsatz übergehen kann, dann ist eine Jumpbox die beste Möglichkeit, um den sicheren Zugriff auf die virtuellen Maschinen in der Cloud zu gewähren. Dazu muss dann nur noch der Zugang zum Active Directory Server und Azure AD Connect eingerichtet werden.

Folgen Sie SearchDataCenter.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Gratis-eBook: Azure sicher einsetzen und schützen

Gratis-eBook: Azure-Praxis - Migration und Betrieb

Azure AD: Schutz vor Password Spraying

Erfahren Sie mehr über Data-Center-Betrieb