Bastion Host – Definition und Bedeutung
Ein Bastion Host ist ein speziell gehärteter Server an der Netzwerkgrenze, der als kontrolliertes Zugangs-Gateway zu internen Systemen dient. Er reduziert die Angriffsfläche durch Minimaldienste, strikte Netzwerkregeln und umfassende Protokollierung. Typische Einsätze sind administrativer Fernzugriff (SSH/RDP) über eine Demilitarisierte Zone (DMZ) oder Cloud-Dienste wie Azure Bastion.[Q1][Q3]
Hintergrund und Entstehung
Der Begriff beschreibt einen Rechner, der Angriffen standhalten soll, weil er bewusst exponiert ist – meist in einer Demilitarisierten Zone (DMZ) zwischen Internet und internem Netz. Bastion Hosts laufen mit minimaler Software und restriktiven Firewall-Regeln, um Risiken zu begrenzen.[Q1]
In sicherheitsorientierten Rahmenwerken wird für Fernzugriffe ein separates Management- bzw. Administrationsnetz empfohlen. Zugriffe auf Wartungsschnittstellen sollen nur aus diesem Netz erlaubt und aus anderen Netzen verhindert werden. Dieses Prinzip unterstützt die Rolle eines Bastion Hosts.[Q2]
Auch Cloud-Umgebungen setzen das Konzept operativ um: Azure Bastion stellt RDP-/SSH-Verbindungen zu virtuellen Maschinen bereit, ohne öffentliche IP-Adressen an den Zielsystemen zu öffnen. Die Verbindungen laufen über den gemanagten Bastion-Dienst.[Q4]
Wichtigste Merkmale und Kernelemente
Gehärtete Minimalplattform:
Ein Bastion Host läuft nur mit unbedingt notwendigen Diensten (z. B. SSH, RDP oder Proxy-Funktionalität). Nicht benötigte Komponenten werden entfernt, um die Angriffsfläche zu minimieren.[Q1][Q3]
Platzierung in der DMZ bzw. am Perimeter:
Der Bastion Host sitzt typischerweise in einer DMZ, getrennt von Internet und internem Netz. Firewall-Regeln erlauben nur die für Betrieb und Administration erforderlichen Verbindungen.[Q1][Q2]
Strenger Fernzugriffspfad:
Fernwartung darf ausschließlich über dedizierte Admin-Netze und autorisierte Systeme erfolgen. Direkte Zugriffe aus anderen Netzen sind zu unterbinden.[Q2]
Protokollierung und Nachvollziehbarkeit:
Zugriffe über den Bastion Host werden zentral protokolliert. In Cloud-Diensten stehen zusätzlich Optionen wie Session-Aufzeichnung und Richtlinienkontrollen zur Verfügung.[Q4]
Cloud-Implementierung ohne öffentliche IPs:
Managed Services wie Azure Bastion ermöglichen RDP-/SSH-Verbindungen ohne Exposition von Ports am Zielsystem. Der Bastion-Dienst vermittelt die Verbindung und reduziert so Konfigurationsaufwand und Fehlerrisiken.[Q4]
Bedeutung für Unternehmen und Praxisrelevanz
Ein Bastion Host bündelt und kontrolliert privilegierte Zugriffe. Dadurch sinkt die Zahl offen erreichbarer Verwaltungsports, und Überwachung sowie Nachvollziehbarkeit werden zentralisiert. In BSI-Empfehlungen zum sicheren Fernzugriff entspricht die Kombination aus dediziertem Zugriffspfad und getrenntem Administrationsnetz dem Stand der Technik.[Q2]
In der Cloud-Praxis ersetzt ein gemanagter Bastion-Dienst häufig das manuelle Betreiben gehärteter Jump-Server. Unternehmen vermeiden öffentliche IP-Adressen an virtuellen Maschinen und reduzieren Fehlkonfigurationen in Sicherheitsgruppen. Das unterstützt Zero-Trust-Ansätze und erleichtert Nachweise in Audits.[Q4][Q3]
Für hohe Kritikalitätsstufen mit strengem Fernzugriff (z. B. OT/ICS-Umgebungen oder Rechenzentren) dient der Bastion Host als Gatekeeper für Administratoren, externe Dienstleister und Notfallzugriffe. Idealerweise wird er mit Mehr-Faktor-Authentisierung (MFA), Privileged-Access-Management-Lösungen (PAM) und Session-Recording kombiniert.[Q2]
Abgrenzung zu verwandten Begriffen
Bastion Host vs. Jump Server:
Beide Systeme vermitteln Zugriffe. „Bastion Host“ betont die gehärtete, exponierte Rolle am Perimeter oder in der DMZ. „Jump Server“ wird häufig als interner Vermittler zwischen Sicherheitszonen verstanden. In vielen Umgebungen sind die Rollen kombiniert.[Q1]
Bastion Host vs. VPN-Gateway:
Ein VPN-Gateway schafft einen verschlüsselten Tunnel, öffnet aber oft relativ breiten Netzwerkzugang. Der Bastion Host gewährt punktuelle Sitzungen zu definierten Zielen und erzwingt granulare Richtlinien und Monitoring.[Q2]
Beispiele aus der Praxis
Beispiel 1: On-Prem-DMZ-Bastion für Linux-Administration
Ein Unternehmen verlegt SSH-Zugriffe hinter einen gehärteten Bastion Host in der DMZ. Nur Admin-Jumphosts dürfen sich per SSH anmelden. Von dort sind zielgerichtete Verbindungen in das Administrationsnetz erlaubt. Fernzugriff aus anderen Netzen ist per Firewall untersagt.[Q2]
Beispiel 2: Azure Bastion für Windows-VMs
Ein Team verwaltet Windows-Server via RDP in einem Azure-VNET. Mit Azure Bastion verbinden sich Administratoren über das Azure-Portal oder einen unterstützten Client, ohne öffentliche IP-Adressen auf den VMs zu konfigurieren. Sitzungen werden zentral gesteuert und können aufgezeichnet werden.[Q4]
Häufig gestellte Fragen
Was ist ein Bastion Host?
Ein Bastion Host ist ein speziell gehärteter Server an der Netzgrenze, der Angriffe abwehren und kontrollierten Zugriff zu internen Systemen bereitstellen soll. Er ist häufig in einer DMZ platziert und betreibt nur Minimaldienste wie SSH oder RDP.[Q1][Q3]
Wofür wird ein Bastion Host eingesetzt?
Der Hauptzweck ist sicherer Administrations-Fernzugriff. Zugriffe laufen gebündelt über den Bastion Host statt direkt auf Zielsysteme. In Cloud-Umgebungen übernehmen Managed Bastion Services die Vermittlung, sodass keine öffentlichen IP-Adressen auf den Zielsystemen erforderlich sind.[Q2][Q4]
Ist ein Bastion Host dasselbe wie ein Jump Server?
Die Begriffe werden in der Praxis oft synonym verwendet. Ein Jump Server bezeichnet häufig den Vermittler zwischen Sicherheitszonen, während der Bastion Host stärker die gehärtete, exponierte Rolle am Perimeter betont. In vielen Szenarien werden beide Funktionen in einem System kombiniert.[Q1]
Braucht man in der Cloud noch einen Bastion Host?
Ja, jedoch meist als Dienst. Lösungen wie Azure Bastion stellen RDP-/SSH-Sitzungen bereit, ohne Zielsysteme öffentlich zu exponieren. Das reduziert die Angriffsfläche und vereinfacht Betrieb, Überwachung und Auditierung.[Q4]
Quellen
[Q1] Wikipedia: „Bastion Host“, https://de.wikipedia.org/wiki/Bastion_Host, Abrufdatum: 10.11.2025.
[Q2] BSI: Umsetzungshinweis OPS.1.2.5 „Fernwartung“ (IT-Grundschutz) – separates Managementnetz, Zugriffsbeschränkungen, https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium_Einzel_PDFs_2023/04_OPS_Betrieb/OPS_1_2_5_Fernwartung_Edition_2023.html, Abrufdatum: 10.11.2025.
[Q3] NIST CSRC Glossary: „bastion host“ (Quelle: CNSSI-4009-2015), https://csrc.nist.gov/glossary/term/bastion_host, Abrufdatum: 10.11.2025.
[Q4] Microsoft Learn: Informationen zu Azure Bastion / Dokumentation & How-tos, https://learn.microsoft.com/de-de/azure/bastion/bastion-overview, Abrufdatum: 10.11.2025.