{"id":33934,"date":"2025-10-28T16:40:33","date_gmt":"2025-10-28T15:40:33","guid":{"rendered":"https:\/\/www.infinigate.com\/de\/?page_id=33934"},"modified":"2025-10-28T16:40:34","modified_gmt":"2025-10-28T15:40:34","slug":"azure-virtual-machines","status":"publish","type":"page","link":"https:\/\/www.infinigate.com\/de\/lp\/h\/microsoft\/azure-virtual-machines\/","title":{"rendered":"Azure Virtual Machines"},"content":{"rendered":"\n
\"Azure<\/figure>\n\n\n\n

Was \u00e4ndert sich?<\/h2>\n\n\n\n

Microsoft deaktiviert ab Ende September 2025 den\u00a0standardm\u00e4\u00dfigen Internetzugang f\u00fcr blocking Default Outbound Access azure Azure-VMs<\/strong><\/a>. Zuk\u00fcnftig muss der Internetzugang\u00a0explizit konfiguriert<\/strong>\u00a0werden.<\/p>\n\n\n\n

Was ist der \u201eStandardzugriff in ausgehender Richtung in Azure\u201c?<\/h2>\n\n\n\n

VMs k\u00f6nnen auch ohne dediziert konfigurierten Internetzugang\u00a0ausgehende Verbindungen\u00a0herstellen. Dieser Standardzugriff wird ohne zus\u00e4tzlichen Konfigurationsbedarf durch Azure bereitgestellt und nutzt \u00f6ffentliche IP-Adressen\u00a0aus einem von Microsoft verwalteten Pool. Dieser Pool wird kunden\u00fcbergreifend genutzt; die IPs werden zuf\u00e4llig vergeben und k\u00f6nnen sich jederzeit \u00e4ndern.<\/p>\n\n\n\n

Nachteile des Standardzugriffs<\/h2>\n\n\n\n

Der Standardzugriff ist nicht deaktivierbar, sondern kann nur \u00fcber die Einrichtung und Konfiguration von zus\u00e4tzlichen Funktionen oder Tools blockiert werden.

Es ist auch nicht m\u00f6glich, effizient den Zugriff auf Drittsysteme via Allowlisting von IP-Adressen zu steuern, da sich diese st\u00e4ndig \u00e4ndern k\u00f6nnen.

Idealerweise sollte der eingehende und ausgehende Netzwerkverkehr einer st\u00e4ndigen \u00dcberwachung unterliegen. In einer schlecht oder bewusst falsch konfigurierten VM kann der Standardzugriff die Sicherheitskontrollen unterlaufen.<\/p>\n\n\n\n

Wozu war der Standardzugriff bisher geeignet?<\/h2>\n\n\n\n

Netzwerke im KMU-Umfeld nutzen nur selten Drittanbieterl\u00f6sungen, die ein Allowlisting von Quell-IP-Adressen nutzen. Die Schutzkonzepte dort basieren prim\u00e4r auf der Endpoint- statt auf der Netzwerk-Ebene. In diesen Umgebungen bietet der Standardzugriff eine einfache kosteneffiziente L\u00f6sung, um Aufgaben wie das Update von Betriebssystemen und Schutzl\u00f6sungen oder ein Cloud-to-Cloud Backup durchzuf\u00fchren.<\/p>\n\n\n\n

Wer ist betroffen?<\/h2>\n\n\n\n

Microsoft hat k\u00fcrzlich noch einmal klargestellt, dass nur neue virtuelle Netzwerke (VNet), die nach dem 30.09.2025 erstellt werden, von der Ver\u00e4nderung betroffen sind. Bestehende VNets k\u00f6nnen den Standardzugriff weiterverwenden. Das betrifft auch alle neuen virtuellen Maschinen, die in diesen VNets generiert werden.

Der Standardzugriff wird nur dann verwendet, wenn keine andere Internetverbindung definiert ist. Entsprechend sind also nur Kunden mit neuen VNets betroffen, die keine Konfiguration f\u00fcr den Outbound Access definieren.<\/p>\n\n\n\n

Was sind die L\u00f6sungsans\u00e4tze?<\/h2>\n\n\n\n

Der beste Weg ist, den Internetzugriff explizit zu konfigurieren. In kleineren Netzwerken kann eine \u00f6ffentliche IP pro VM zugewiesen werden. Dies skaliert jedoch nicht, wenn die Anzahl der VMs w\u00e4chst. Die Kosten k\u00f6nnen in einen sp\u00fcrbaren Bereich wachsen und das Sicherheitsrisiko durch m\u00f6gliche Fehlkonfigurationen steigt mit der Komplexit\u00e4t der Umgebung.

Eine bessere L\u00f6sung ist, \u00a0ein NAT Gateway zu verwenden und diese mit mehreren Subnetzen zu verbinden. Dem NAT Gateway ist eine statische \u00f6ffentliche IP-Adresse zugeordnet, die dem Kunden geh\u00f6rt. Damit nutzen alle VMs in den zugeordneten Subnetzen diese IP-Adresse. \u00dcber das NAT Gateway wird nur der Zugang f\u00fcr den ausgehenden Verkehr freigeben, so dass keine Gefahr besteht, versehentlich eingehende Ports zu \u00f6ffnen. F\u00fcr das NAT Gateway entstehen selbstverst\u00e4ndlich Kosten sowohl f\u00fcr die Ressource selbst als auch f\u00fcr jedes GB an Datenverkehr. Jedes VNet ben\u00f6tigt ein eigenes Gateway, so dass gegebenenfalls entweder mehrere ben\u00f6tigt werden oder man ein zentralisiertes Hub-and-Spoke Modell verwenden muss.

Umgesetzt mit einer Firewall Appliance, kann \u00fcber diese Hub-and-Spoke Konfiguration der vollst\u00e4ndige Datenverkehr zentral geroutet und die eine \u00f6ffentliche IP-Adresse genutzt werden. Dies ist die beste, wenn auch kostenintensivste L\u00f6sung.<\/p>\n\n\n\n

Empfehlung<\/h2>\n\n\n\n

Microsoft-Partner sollten diese \u00c4nderung in ihre Designs integrieren und Kunden aktiv informieren. Bei Fragen oder Beratungsbedarf stehen Ihnen unsere Azure Spezialisten gerne zur Verf\u00fcgung.<\/p>\n\n\n\n

\n
Zur\u00fcck zur Microsoft News \u00dcbersicht<\/a><\/div>\n<\/div>\n\n\n\n
\"\"<\/span>
\n
\n
\n

Kontakt zum Microsoft Team<\/h3>\n\n\n\n

Gerne helfen wir Ihnen mit einer kostenfreien pers\u00f6nlichen Beratung mit unseren Microsoft Architekten. Sie erreichen uns unter:<\/p>\n<\/div>\n\n\n\n

\n

microsoft@infinigate.de
<\/a>+49 89 89048-580<\/a><\/p>\n\n\n\n

\n
Kontakt aufnehmen<\/a><\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div><\/div>\n","protected":false},"excerpt":{"rendered":"

Was \u00e4ndert sich? Microsoft deaktiviert ab Ende September 2025 den\u00a0standardm\u00e4\u00dfigen Internetzugang f\u00fcr blocking Default Outbound Access azure Azure-VMs. Zuk\u00fcnftig muss…<\/p>\n","protected":false},"author":48,"featured_media":33932,"parent":17789,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"_acf_changed":false,"footnotes":""},"folder":[488],"class_list":["post-33934","page","type-page","status-publish","has-post-thumbnail","hentry"],"acf":[],"distributor_meta":false,"distributor_terms":false,"distributor_media":false,"distributor_original_site_name":"Infinigate | Deutschland","distributor_original_site_url":"https:\/\/www.infinigate.com\/de","push-errors":false,"_links":{"self":[{"href":"https:\/\/www.infinigate.com\/de\/wp-json\/wp\/v2\/pages\/33934","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.infinigate.com\/de\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/www.infinigate.com\/de\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/www.infinigate.com\/de\/wp-json\/wp\/v2\/users\/48"}],"replies":[{"embeddable":true,"href":"https:\/\/www.infinigate.com\/de\/wp-json\/wp\/v2\/comments?post=33934"}],"version-history":[{"count":0,"href":"https:\/\/www.infinigate.com\/de\/wp-json\/wp\/v2\/pages\/33934\/revisions"}],"up":[{"embeddable":true,"href":"https:\/\/www.infinigate.com\/de\/wp-json\/wp\/v2\/pages\/17789"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.infinigate.com\/de\/wp-json\/wp\/v2\/media\/33932"}],"wp:attachment":[{"href":"https:\/\/www.infinigate.com\/de\/wp-json\/wp\/v2\/media?parent=33934"}],"wp:term":[{"taxonomy":"folder","embeddable":true,"href":"https:\/\/www.infinigate.com\/de\/wp-json\/wp\/v2\/folder?post=33934"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}