Azure Virtual Machines:

Was ändert sich?

Microsoft deaktiviert ab Ende September 2025 den standardmäßigen Internetzugang für blocking Default Outbound Access azure Azure-VMs. Zukünftig muss der Internetzugang explizit konfiguriert werden.

Was ist der „Standardzugriff in ausgehender Richtung in Azure“?

VMs können auch ohne dediziert konfigurierten Internetzugang ausgehende Verbindungen herstellen. Dieser Standardzugriff wird ohne zusätzlichen Konfigurationsbedarf durch Azure bereitgestellt und nutzt öffentliche IP-Adressen aus einem von Microsoft verwalteten Pool. Dieser Pool wird kundenübergreifend genutzt; die IPs werden zufällig vergeben und können sich jederzeit ändern.

Nachteile des Standardzugriffs

Der Standardzugriff ist nicht deaktivierbar, sondern kann nur über die Einrichtung und Konfiguration von zusätzlichen Funktionen oder Tools blockiert werden.

Es ist auch nicht möglich, effizient den Zugriff auf Drittsysteme via Allowlisting von IP-Adressen zu steuern, da sich diese ständig ändern können.

Idealerweise sollte der eingehende und ausgehende Netzwerkverkehr einer ständigen Überwachung unterliegen. In einer schlecht oder bewusst falsch konfigurierten VM kann der Standardzugriff die Sicherheitskontrollen unterlaufen.

Wozu war der Standardzugriff bisher geeignet?

Netzwerke im KMU-Umfeld nutzen nur selten Drittanbieterlösungen, die ein Allowlisting von Quell-IP-Adressen nutzen. Die Schutzkonzepte dort basieren primär auf der Endpoint- statt auf der Netzwerk-Ebene. In diesen Umgebungen bietet der Standardzugriff eine einfache kosteneffiziente Lösung, um Aufgaben wie das Update von Betriebssystemen und Schutzlösungen oder ein Cloud-to-Cloud Backup durchzuführen.

Wer ist betroffen?

Microsoft hat kürzlich noch einmal klargestellt, dass nur neue virtuelle Netzwerke (VNet), die nach dem 30.09.2025 erstellt werden, von der Veränderung betroffen sind. Bestehende VNets können den Standardzugriff weiterverwenden. Das betrifft auch alle neuen virtuellen Maschinen, die in diesen VNets generiert werden.

Der Standardzugriff wird nur dann verwendet, wenn keine andere Internetverbindung definiert ist. Entsprechend sind also nur Kunden mit neuen VNets betroffen, die keine Konfiguration für den Outbound Access definieren.

Was sind die Lösungsansätze?

Der beste Weg ist, den Internetzugriff explizit zu konfigurieren. In kleineren Netzwerken kann eine öffentliche IP pro VM zugewiesen werden. Dies skaliert jedoch nicht, wenn die Anzahl der VMs wächst. Die Kosten können in einen spürbaren Bereich wachsen und das Sicherheitsrisiko durch mögliche Fehlkonfigurationen steigt mit der Komplexität der Umgebung.

Eine bessere Lösung ist,  ein NAT Gateway zu verwenden und diese mit mehreren Subnetzen zu verbinden. Dem NAT Gateway ist eine statische öffentliche IP-Adresse zugeordnet, die dem Kunden gehört. Damit nutzen alle VMs in den zugeordneten Subnetzen diese IP-Adresse. Über das NAT Gateway wird nur der Zugang für den ausgehenden Verkehr freigeben, so dass keine Gefahr besteht, versehentlich eingehende Ports zu öffnen. Für das NAT Gateway entstehen selbstverständlich Kosten sowohl für die Ressource selbst als auch für jedes GB an Datenverkehr. Jedes VNet benötigt ein eigenes Gateway, so dass gegebenenfalls entweder mehrere benötigt werden oder man ein zentralisiertes Hub-and-Spoke Modell verwenden muss.

Umgesetzt mit einer Firewall Appliance, kann über diese Hub-and-Spoke Konfiguration der vollständige Datenverkehr zentral geroutet und die eine öffentliche IP-Adresse genutzt werden. Dies ist die beste, wenn auch kostenintensivste Lösung.

Empfehlung

Microsoft-Partner sollten diese Änderung in ihre Designs integrieren und Kunden aktiv informieren. Bei Fragen oder Beratungsbedarf stehen Ihnen unsere Azure Spezialisten gerne zur Verfügung.

Kontakt zum Microsoft Team

Gerne helfen wir Ihnen mit einer kostenfreien persönlichen Beratung mit unseren Microsoft Architekten. Sie erreichen uns unter:

microsoft@infinigate.de
+49 89 89048-580

Kontakt aufnehmen