Azure Bastion とは
リモートでホストされている VM を安全に管理、運用できるようになることが重要です。 まず、"セキュリティで保護されたリモート管理" を定義し、次に Azure Bastion の機能を確認します。 この概要を参考にして、Azure Bastion が実際の要件に適しているかどうかを判断してください。
セキュリティで保護されたリモート管理とは
セキュリティで保護されたリモート管理とは、リモート リソースをセキュリティ リスクにさらすことなく、そのリモート リソースに接続できる機能です。 この接続の種類は、インターネット経由でリソースにアクセスしている場合に、特に困難になることがあります。
リモート VM に接続するとき、管理者は管理目標を達成するために RDP または SSH を使用するのが一般的です。 問題は、ホストされている VM に接続するには、そのパブリック IP アドレスに接続する必要があるということです。 しかし、RDP および SSH によって使用される IP ポート (3389 および 22) をインターネットに公開することは、大きなセキュリティ リスクをもたらすため、きわめて望ましくありません。
Azure Bastion の定義
Azure Bastion は、フル マネージドのサービスとしてのプラットフォーム (PaaS) であり、Azure portal を通じて Azure VM への安全かつシームレスな RDP および SSH アクセスを可能にします。
Azure Bastion:
- 攻撃に耐えるように設計および構成されています。
- Bastion の内側にある Azure ワークロードへの RDP および SSH 接続を提供します。
Azure Bastion をデプロイした後に使用できるようになる機能を次の表に示します。
| 特長 | 説明 |
|---|---|
| Azure portal を介した RDP と SSH | シングルクリックのシームレスなエクスペリエンスを使用して、Azure portal 内で RDP および SSH セッションに接続できます。 |
| RDP/SSH の TLS およびファイアウォール トラバーサルを介したリモート セッション | Azure Bastion では、ローカル デバイスに自動的にストリーミングされる HTML5 ベースの Web クライアントが使用されます。 RDP/SSH セッションは、ポート 443で TLS を経由します。 これにより、トラフィックがファイアウォールをより安全に通過できるようになります。 Bastion では、TLS 1.2 以降がサポートされています。 以前の TLS バージョンはサポートされません。 |
| Azure VM ではパブリック IP アドレスは必要ありません | Azure Bastion により、VM のプライベート IP アドレスを使用して Azure VM への RDP/SSH 接続が開かれます。 仮想マシンのパブリック IP アドレスは必要ありません。 |
| ネットワーク セキュリティ グループ (NSG) を管理する労力が不要 | Azure Bastion サブネットに NSG を適用する必要はありません。 Azure Bastion はプライベート IP 経由で仮想マシンに接続するため、Azure Bastion からの RDP または SSH のみを許可するよう構成できます。 これで、お使いの仮想マシンへの安全な接続が必要になるたびに NSG を管理する手間がなくなります。 |
| VM 上の別の bastion ホストを管理する必要はありません | Azure Bastion は、Azure が提供するフル マネージド プラットフォーム PaaS サービスで、安全な RDP または SSH 接続を提供するよう内部で強化されています。 |
| ポート スキャンからの保護 | VM をインターネットに公開する必要がないため、VM は不正なユーザーや悪意のあるユーザーによるポート スキャンから保護されます。 |
| 一元的な強化 | Azure Bastion は仮想ネットワークの境界に配置されるため、仮想ネットワーク内の各仮想マシンを強化することについて心配する必要はありません。 |
| ゼロデイ攻撃からの保護 | Azure プラットフォームは、Azure Bastion を強化して常に最新の状態にしておくことで、ゼロデイ攻撃から保護します。 |
リモート管理ポートを公開しないようにする方法
Azure Bastion を実装することで、構成された Azure 仮想ネットワーク内の Azure VM を、RDP または SSH で管理できます。これらの管理ポートをパブリック インターネットに公開する必要はなくなります。 Azure Bastion を使用すると、次のことができます。
- Azure VM に簡単に接続できます。 Azure portal で RDP セッションと SSH セッションを直接接続します。
- 管理ポートをインターネットに公開せずに済みます。 Azure VM にサインインし、プライベート IP アドレスのみで SSH および RDP を使用して、パブリック インターネットへの公開を避けます。
- 既存のネットワーク インフラストラクチャを広範囲に再構成することを避けます。 ポート 443 の TLS で HTML5 ベースの最新の Web クライアントを使用して、既存のファイアウォールとセキュリティ境界を統合およびスキャンします。
- サインインを簡略化します。 Azure VM にサインインするとき、認証に SSH キーを使用します。
ヒント
Azure Key Vault にすべての SSH 秘密キーを保存して、集中管理されたキー記憶域をサポートすることができます。