Azure Bastion を使用する場合

完了

このユニットでは、Azure Bastion の使用方法について説明し、リモート VM に安全に接続する際の適切な選択肢かどうかを判断します。 次の条件に基づいて Azure Bastion を評価します。

  • セキュリティ
  • 簡単な管理
  • 他のアプリとの統合

管理者は、VM やその VM にインストールされているアプリなど、組織の Azure リソースの管理とメンテナンスに、リモート管理を利用する必要があります。 インターネットに公開せずに、これらのリソースやアプリに安全に接続できるよう考慮することが重要です。 Azure Bastion を使用すると、管理ポートをインターネットに公開せずに、ホストされている VM にリモート接続し、それを管理することができます。 ただし、一部の管理者はジャンプ サーバーを使用してこの要件に対処しています。ジャンプ ボックスとも言います。 このユニットでは、セキュリティで保護されたリモート管理アクセスを提供する方法として、ジャンプ ボックスの代わりに Azure Bastion を使用できるかどうかを判断します。

Note

ジャンプ ボックスは、パブリック IP アドレスを持つ Azure VM です。インターネットからアクセスできます。

一般的なジャンプ ボックスのシナリオでは、次のようになります。

  • 組織の VM は、プライベート IP アドレスのみを使用して構成され、インターネットから直接アクセスすることはできません。
  • ジャンプ ボックスは、管理者が RDP および SSH を使用してリモート管理する VM と同じ仮想ネットワークにデプロイされます。
  • NSG によってインターネット、ジャンプ ボックス、ターゲット VM の間のネットワーク トラフィック フローが管理されます。
  • 管理者は、パブリック IP を使用して RDP でジャンプ ボックスに接続します。

重要

ジャンプ ボックスにはパブリック IP 上の RDP を使用して接続するため、ジャンプ ボックスのセキュリティが侵害される可能性があります。

ジャンプ ボックスはサーバーのオペレーティング システムを実行している VM なので、次の操作を行う必要があります。

  • パッチなどの更新プログラムを使用して、VM を最新の状態に保ちます。
  • ジャンプ ボックスとターゲット VM の間の仮想ネットワーク内のトラフィック フローをセキュリティで保護するために、適切な NSG を構成します。

意思決定の基準

ジャンプ ボックスまたは Azure Bastion が組織の Azure リソースをリモートで管理する最適なオプションかどうかを判断するには、セキュリティ、管理の容易さ、統合などの基準を検討してください。 ここでは、これらの条件の分析について説明します。

条件 分析
セキュリティ Azure Bastion は、そのパブリック IP 上では RDP/SSH を公開しません。 ジャンプ ボックスとは異なり、Azure Bastion でサポートされるのは、Azure portal から TLS で保護された接続のみです。 Azure Bastion を使用すると、トラフィック フローをセキュリティで保護するために NSG を構成する必要がなくなります。
簡単な管理 Azure Bastion は、フル マネージドの PaaS サービスです。 これは VM のようなジャンプ ボックスではなく、通常の更新が必要です。 Azure Bastion を使用する際にクライアントまたはエージェントは必要ありません。また、パッチや更新プログラムの適用も不要です。 また、管理コンソールにその他のソフトウェアをインストールしたり保守したりする必要もありません。
統合 Azure Bastion は、Azure Firewall など、Azure の他のネイティブ セキュリティ サービスと統合できます。 ジャンプ サーバーには、このオプションはありません。

Note

サブスクリプション、アカウント、または VM ごとではなく、仮想ネットワーク (またはピアリング仮想ネットワーク) ごとに Azure Bastion をデプロイします。

基準を適用する

Azure Bastion は、ホストされている VM の安全なリモート管理を可能にするという主な目標に対応しています。 管理サービスとして、Azure Bastion を更新したり、NSG および関連設定を手動で構成したりする必要はありません。 Azure Bastion は、Azure でホストされる VM の安全なリモート管理を実現できる最適なソリューションです。

Azure でホストされるリモート VM がある場合は、Azure Bastion の使用を検討してください。

  • これらの VM には、RDP/SSH を使用して接続する必要があります。
  • これらのリモート VM に接続する方法を維持する必要はありません。
  • リモート管理を有効にする NSG の設定を構成する必要はありません。
  • ジャンプ ボックスの使用を避ける必要があります。

デプロイする Azure Bastion ホストの数を決定するときは、仮想ネットワーク (またはピアリングされた仮想ネットワーク) ごとに 1 つ必要と考えてください。 VM ごと、またはサブネットごとに Azure Bastion をデプロイする必要はありません。