Azure Bastion について説明する

  • 6 分

NSG と Azure ファイアウォールの組み合わせを使用して、仮想マシン (VM) を含む資産とリソースへのアクセスを保護し、フィルター処理する複数の仮想ネットワークを設定したとします。 これで外部の脅威から保護されるようになりましたが、リモートで作業している開発者やデータ サイエンティストがこれらの VM に直接アクセスできるようにする必要があります。

従来のモデルでは、リモート デスクトップ プロトコル (RDP) ポートまたは Secure Shell (SSH) ポートまたはその両方をインターネットに公開する必要があります。 これらのプロトコルを使用して、VM へのリモートアクセスを取得できます。 このプロセスは、RDP や SSH などのオープン管理ポートを使用してアクセス可能なマシンを積極的に追求する攻撃者によって悪用される可能性のある重大なサーフェス上の脅威を作り出します。 VM への侵害が成功すると、これは環境内のリソースをさらに攻撃するためのエントリ ポイントとして使用されます。

Azure Bastion

Azure Bastion は、ブラウザーと Azure portal を使用して仮想マシンに接続できるようにするサービスで、ユーザーがデプロイします。 Azure Bastion サービスは、お使いの仮想ネットワーク内でプロビジョニングする、フル プラットフォーム マネージド PaaS サービスです。 Azure Bastion では、トランスポート層セキュリティ (TLS) を使用して、Azure portal から仮想マシンへのセキュリティで保護されたシームレスな RDP および SSH の直接接続が提供されます。 Azure Bastion 経由で接続する場合、仮想マシンにパブリック IP アドレス、エージェント、クライアント ソフトウェアはいずれも不要です。

ユーザーが Azure Bastion を使用して Azure VM へのリモート デスクトップ接続を確立する方法を示す図。

Bastion を使用すると、プロビジョニングされた仮想ネットワークと、ピアリングされた仮想ネットワーク内のすべての VM に対するセキュアな RDP および SSH 接続を実現できます。 Azure Bastion を使用すると、RDP または SSH を使用した安全なアクセスを提供しながら、お使いの仮想マシンが RDP または SSH ポートを外部に公開しないように保護されます。

Azure Bastion のデプロイは、サブスクリプションとアカウント、または仮想マシン単位ではなく、仮想ネットワークのピアリングをサポートする仮想ネットワーク単位で行われます。 仮想ネットワーク内に Azure Bastion サービスをプロビジョニングすると、同じ VNet やピアリングされた VNet 内のすべての VM で RDP/SSH エクスペリエンスを利用できます。

Azure Bastion の主な利点

Azure Bastion の主な利点を次に示します。

  • Azure portal で直接 RDP および SSH を使用する: シングル クリックのエクスペリエンスを使用して、Azure portal 内で直接 RDP および SSH セッションに接続できます。
  • TLS 経由のリモート セッションと RDP または SSH のファイアウォール トラバーサル: VM への接続である Azure portal で、ローカル デバイスに自動的にストリーミングされる HTML5 ベースの Web クライアントが開きます。 リモート デスクトップ プロトコル (RDP) と Secure Shell (SSH) で企業のファイアウォールを安全にスキャンします。 接続は、トランスポート層セキュリティ (TLS) プロトコルを使用して暗号化を確立することでセキュリティで保護されます。
  • Azure VM ではパブリック IP が不要: Azure Bastion は、お使いの Azure 仮想マシンのプライベート IP を使用してその VM への RDP または SSH 接続を開きます。 パブリック IP は必要ありません。
  • NSG を管理する手間がない: Azure が提供するフル マネージド プラットフォーム PaaS サービスで、安全な RDP または SSH 接続を提供するよう内部で強化されています。 Azure Bastion サブネットに NSG を適用する必要はありません。
  • ポート スキャンからの保護: お使いの仮想マシンをインターネットに公開する必要がないため、この VM は、仮想ネットワーク外部の悪意のあるユーザーによるポート スキャンから保護されます。
  • 一元的な強化によるゼロデイ攻撃からの保護: Azure Bastion は、フル プラットフォームマネージド PaaS サービスです。 これは仮想ネットワークの境界に配置されるため、仮想ネットワーク内の各仮想マシンを強化することについて心配する必要はありません。 Azure プラットフォームは、Azure Bastion を強化して常に最新の状態にしておくことで、ゼロデイ攻撃から保護します。

Azure Bastion を使用して、Azure の仮想マシンへのセキュリティで保護された RDP および SSH 接続を確立します。

Azure Bastion では、複数の SKU レベルが提供されています。 Azure Bastion に関し、用意されている SKU で使用できる機能などの詳細については、概要とリソース ユニットの「詳細情報」セクションの「Azure Bastion とは」という題のリンクされたドキュメントを参照してください。