Azure Bastion: de beste manier om je VM’s te beveiligen?

Waarom gebruiken we Azure Bastion?

De meest voorkomende manier om verbinding te maken met een VM in Azure is via RDP (Windows) of SSH (Linux). Het werkt, maar het is allesbehalve modern en belangrijker; veilig.

Om dit te doen, moet je een public IP address aan de VM koppelen en RDP- of SSH-poorten openzetten naar het internet; dit zijn bekende en frequente ingangen voor aanvallers die scannen naar exposed servers. Het is in feite een open uitnodiging voor pogingen tot forceer-aanvallen en exploitatie.  

Je kunt je voorstellen waarom de meeste organisaties liever geen servers op het “open” internet zetten. Als het niet om security gaat, dan om kosten. Zodra een VM een public IP address heeft, kan hij outbound traffic gaan routeren en andere controls omzeilen, zoals firewalls en content filtering.

Je zou toegang kunnen beperken met een Network Security Group (NSG) tot specifieke IP-adressen, maar dat wordt al snel onwerkbaar in grotere omgevingen met veel gebruikers of VM’s.

Azure Bastion haalt dat risico weg. 

Je kunt er veilig mee verbinden met je VM’s via de Azure Portal of je lokale client, zonder ze bloot te stellen aan het openbare internet en zonder inbound poorten te openen.

Voordelen van Azure Bastion 

Er zijn voordelen als je Azure Bastion gebruikt in je setup, zoals:

• Veilige remote access naar Azure VM’s: je hoeft geen RDP-poort (3389) of SSH-poort (22) open te zetten naar het internet of Network Security Groups (NSGs) te configureren voor remote access.
• Moderne authenticatie en toegang: het integreert met Microsoft Entra ID en kan zero-trust authenticatie afdwingen, zoals RBAC, MFA en conditional access.
• Gecentraliseerde logging en monitoring: je houdt volledig zicht op wie wanneer verbindt.
• Kleiner aanvalsoppervlak: Bastion werkt als een schild en houdt je VM’s van het openbare internet af.
• Directe toegang via de Azure Portal: je verbindt direct vanuit de portal met je VM, zonder extra tools of speciale configuratie.
• Eenvoudiger beheer: een beheerde PaaS-service die automatisch schaalt en met minimale setup in de meeste omgevingen past.

Kortom: de beheer- en security-functies maken het voor de meeste omgevingen een goede optie.

Hoe werkt Azure Bastion?

Achter de schermen wordt Bastion uitgerold in een dedicated subnet met de naam AzureBastionSubnet met een public IP. In de Basic SKU handelen twee load-balanced instances alle verbindingen af, maar die beheer je niet zelf.

Wanneer je verbinding maakt met een VM:

• Je client (browser of RDP/SSH client) verbindt via HTTPS met de Bastion public IP.
• Bastion verbindt vervolgens vanuit zijn subnet met de doel-VM via de poort en het protocol die jij opgeeft.
• Je kunt elke poort gebruiken die je nodig hebt; je zit niet vast aan standaard RDP (3389) of SSH (22).
• Network Security Groups (NSGs) op de VM moeten verkeer toestaan vanaf het Bastion subnet op de juiste poorten.
• Bastion heeft directe netwerktoegang tot de VM nodig om je verbinding door te sturen.

Dat gezegd hebbende: er zijn meerdere SKUs waaruit je kunt kiezen.

Verschillende SKUs 

Er zijn drie SKUs beschikbaar: Basic, Standard en Premium.

• Basic: voldoende voor kleinere omgevingen die alleen remote access naar VM’s nodig hebben.
• Standard: voegt features toe zoals custom inbound ports, Azure CLI connectivity, host scaling (meer dan één instance), file upload/download, shareable links en de optie om copy/paste uit te schakelen.
• Premium: bevat alles van Standard, plus session recording en de optie voor een private-only deployment.

Er is ook een Free Developer edition, die gedeeld is en volledig gratis, maar beperkt in functionaliteit.

Azure Bastion ondersteunt host scaling om meerdere verbindingen af te handelen. Een scale unit heet een host instance:

• Basic: 1 instance
• Standard & Premium: starten met 2 instances, schaalbaar tot 50

Je kunt verbinden met VM’s in dezelfde VNet of via peered VNets, zowel binnen dezelfde regio als wereldwijd, en zelfs across subscriptions binnen dezelfde tenant. Verbindingen werken echter niet across verschillende tenants.

Dit betekent dat één Bastion deployment meerdere VNets kan bedienen, wat het makkelijker maakt om remote access te beheren in complexe Azure-omgevingen.

Wat zijn de beperkingen van Azure Bastion? 

Zoals de meeste cloud services heeft Azure Bastion ook een paar beperkingen om rekening mee te houden:

• Ondersteunt alleen IPv4: zowel de public IP als de doel-VM’s moeten IPv4 gebruiken.
• Geen naming convention: het Bastion subnet moet AzureBastionSubnet heten; er mogen geen andere resources in staan.
• User-defined routes (UDRs) worden niet ondersteund: traffic kan niet door firewalls of NVAs worden geforceerd.
• Niet flexibel: zodra een SKU is gekozen, kun je upgraden maar niet downgraden zonder opnieuw te deployen.

Conclusie

Wanneer je VM’s beheert, wil je dat de juiste mensen toegang hebben—zonder onnodige risico’s. Azure Bastion pakt dit aan door veilige RDP- en SSH-toegang te bieden, VM’s te beschermen tegen zero-day exploits en het aanvalsoppervlak te verkleinen.

Het gaat niet alleen om security; Bastion maakt beheer ook eenvoudiger, helpt compliance af te dwingen en verlaagt operationeel risico. Zelfs met Bastion blijven goede VM hardening en network configuration belangrijk, maar het maakt opschalen over meerdere VNets en het beheren van access policies veel makkelijker.

Het draait om veiligere, beter gecontroleerde toegang zonder je servers onnodig bloot te stellen. Alternatieven zoals Azure Virtual Desktop (AVD) kunnen ook externe toegang bieden, maar Bastion blijft een lichte, gecentraliseerde oplossing die voor de meeste omgevingen geschikt is.