Ab dem 30. September 2025 macht Microsoft Schluss mit dem Default Outbound Access für virtuelle Maschinen. Bisher konnten VMs ohne eigene Public IP oder NAT Gateway trotzdem ins Internet. Azure hat sich darum gekümmert. Praktisch, aber kaum kontrollierbar.
Warum das Ganze?
Der Schritt ist logisch: Ein unsichtbarer Internetzugang passt nicht zu modernen Zero-Trust-Strategien. Wer Compliance, Sicherheit und Nachvollziehbarkeit ernst nimmt, will wissen, welche Systeme wie und über welche IP heraustelefonieren.
Wann bin ich betroffen?
Alle ab dem 30. September 2025 neu erstellen VMs erhalten keinen Default Outbound Access.
Vorher erstellte VMs sind nicht betroffen.
Was sind die Alternativen?
Microsoft bietet vier klare Optionen:
- NAT Gateway: Ideal für produktive Workloads, zentral steuerbar, feste IPs. Allerdings kann ein NAT Gateway nur jeweils einem VNET zugewiesen werden.
- Public IP pro VM: Einfach, aber unübersichtlich, wenn viele VMs im Spiel sind.
- Azure Firewall/NVA: Für komplexe Sicherheitsarchitekturen mit strengen Vorgaben.
- Load Balancer mit Outbound Rules: Praktisch, wenn ohnehin Lastverteilung genutzt wird. Bietet zusätzlich kontrollierte Internetkonnektivität.
Welche Lösung passt, hängt vom Szenario ab. Testsystem? Vielleicht reicht die Public IP. Kritische Umgebung? Besser NAT Gateway oder Firewall.
Microsofts vollständiges Statement finden Sie hier: https://learn.microsoft.com/en-us/azure/virtual-network/ip-services/default-outbound-access.