Azure Bastion とは
Azure Bastion を使用すると、トランスポート層セキュリティ (TLS) 経由で、Azure portal から Azure 仮想マシン (VM) への、セキュリティで保護されたリモート接続が提供されます。 VM と同じ Azure 仮想ネットワークかピアリングされた仮想ネットワークに Azure Bastion をプロビジョニングし、その後、その仮想ネットワークまたはピアリングされた仮想ネットワークの任意の VM に Azure portal から直接接続できます。
内部 VM へのセキュリティで保護された RDP 接続と SSH 接続を提供する
Azure Bastion を使用して、一般には公開されていない VM への RDP または SSH セッションを、Azure portal から簡単に開くことができます。 Azure Bastion により、プライベート IP 経由で仮想マシンへの接続が行われます。 内部 VM のために、RDP ポート、SSH ポート、またはパブリック IP アドレスを公開する必要はありません。
Azure Bastion はフル マネージドのサービスとしてのプラットフォーム (PaaS) であるため、ネットワーク セキュリティ グループを Azure Bastion のサブネットに適用する必要はありません。 ただし、セキュリティを強化したい場合は、Azure Bastion からの RDP と SSH だけを許可するようにネットワーク セキュリティ グループ (NSG) を構成できます。
Azure Bastion では、Azure Bastion サブネットと同じ仮想ネットワーク上、またはピアリングされた仮想ネットワーク上にあるすべての VM への RDP および SSH 接続が提供されます。 Azure Bastion を使用するために、追加のクライアント、エージェント、またはソフトウェアをインストールする必要はありません。
Azure Bastion を使用して VM に接続する
Azure Bastion のデプロイ後、[VM の概要] ページで、[接続]>[Bastion]>[Bastion を使用する] と選択します。 次に、接続する VM のサインイン資格情報を入力します。
主要なセキュリティ機能
- Azure Bastion からターゲット仮想マシンに向けて開始されたトラフィックは、仮想ネットワーク内またはピアリングされた仮想ネットワーク間の内側に留まります。
- Azure Bastion のサブネットは内部的に強化されているため、NSG を適用する必要はありません。 セキュリティをさらに強化する場合は、Azure Bastion ホストからターゲット仮想マシンへのリモート接続のみを許可するように NSG を構成できます。
- Azure Bastion は、ポート スキャンの防止に役立ちます。 RDP ポートと SSH ポートやパブリック IP アドレスは、VM に対して公開されません。
- Azure Bastion は、ゼロデイ攻撃からの保護に役立ちます。 これは仮想ネットワークの境界に配置されるため、その仮想ネットワーク内の各仮想マシンを強化することについて心配する必要はありません。 Azure Bastion は、Azure のプラットフォームによって最新の状態に保たれます。
- このサービスは、Azure Firewall のような Azure 仮想ネットワーク用のネイティブ セキュリティ アプライアンスと統合されています。
- リモート接続を監視したり管理したりするためのサービスを使用できます。
サポートされるコンカレント セッション
通常の日常的用途だと仮定して、各 Azure Bastion リソースでサポートできる RDP と SSH のコンカレント セッションの数を、次の表に示します。 実行中の RDP セッションまたは SSH セッションが他にある場合、これらの数値は変化する可能性があります。
リソース | 制限 |
---|---|
コンカレント RDP 接続数 | 25 |
コンカレント SSH 接続数 | 50 |
VM への接続時にサポートされる機能
次の表に、Azure Bastion によってサポートされるユーザー エクスペリエンス機能の一部を示します。
機能 | サポート |
---|---|
ブラウザー | - Windows: Microsoft Edge ブラウザー、Microsoft Edge Chromium、または Google Chrome - Apple Mac: Google Chrome ブラウザー、または Microsoft Edge Chromium。 |
VM でのキーボード レイアウト | - en-us-qwerty - en-gb-qwerty - de-ch-qwertz - de-de-qwertz - fr-be-azerty - fr-fr-azerty - fr-ch-qwertz - hu-hu-qwertz - it-it-qwerty - ja-jp-qwerty - pt-br-qwerty - es-es-qwerty - es-latam-qwerty - sv-se-qwerty - tr-tr-qwerty |
VM 内の機能 | - テキストのコピーと貼り付け - ファイル コピーなどの機能は、現在サポートされていません |
Azure Bastion を使用するために必要なロール
他の Azure リソースと同様に、Azure Bastion をデプロイまたは管理するには、リソース グループまたは Azure Bastion リソース自体へのアクセスが必要です。
Azure Bastion を使用して VM リソースに接続する場合は、以下のロールで、必要最小限の権限が提供されます。
- 仮想マシンに対する閲覧者ロール
- 仮想マシンのプライベート IP を使用する NIC に対する閲覧者ロール
- Azure Bastion リソースに対する閲覧者ロール