Azure Bastion または Just-In-Time 仮想マシン アクセスを選択する
Azure Bastion と Just-In-Time アクセス テクノロジを使用すると、Azure でホストされているユーザー組織の VM に安全に接続できます。
ここでは、Azure Bastion と JIT VM アクセスという 2 つのオプションのユース ケースと機能について説明します。 これで、ご自身のチームが最適なものを選ぶよう支援することができます。
Azure Bastion の機能
Azure Bastion サービスを使用すると、Azure portal 内部から直接最新の HTML5 ベースの Web クライアントを使用できます。 このサービスでは、TLS とポート 443 を介して、同じ仮想ネットワーク内の任意の Azure VM に安全に接続されます。 Azure Bastion は、ユーザー組織の VM と同じ仮想ネットワーク内でプロビジョニングすることを選択できる、フル プラットフォーム マネージド PaaS です。
このアプローチには多くの利点があります。
Web クライアントでは、ポート 443 で業界標準の TLS を介して RDP または SSH セッションが接続されます。 同じポート ブラウザーが HTTPS 接続に使用されています。 443 を介して TLS を使用すると、これ以上のポートを開かずに、企業のファイアウォールを安全に通過できます。
公開される IP アドレスが不要になった VM を強化できます。 Azure Bastion では、プライベート IP アドレス経由で接続が行われます。
ユーザーが VM に接続できるようにするために、別の NSG を追加する必要はなくなりました。 セキュリティで保護されたプライベート IP アドレス経由で接続する Azure Bastion 用のセキュリティで保護された NSG を 1 つだけ作成します。
公開される IP アドレスが VM に存在しなくなったため、VM は仮想ネットワーク外部の悪意のあるユーザーによる外部ポート スキャンから自動的に保護されます。
Just-In-Time VM アクセスの機能
Azure Bastion と比較して、Just-In-Time VM アクセスは Microsoft Defender for Cloud の機能です。 サブスクリプションで有効にすると、一定時間、特定の VM への JIT アクセスを認可できます。 その時間が経過すると、アクセスは削除されます。 Microsoft Defender for Cloud では、NSG と Azure Firewall の受信ポート規則を自動的に変更することで、このアクセスが許可されます。
このアプローチには次のような利点があります。
任意のツール、リモート デスクトップ、または RDP をサポートする他のアプリを使用して VM に接続できます。
VM で直接ファイルを簡単に転送および管理できます。
アクセスが使用されていないときに受信トラフィックを自動的にロック ダウンすることで VM は保護されます。
Azure Bastion と JIT VM アクセスのどちらかを選択する
どちらのオプションでも、悪意のあるユーザーに悪用される可能性がある攻撃対象領域を大幅に減らします。 どちらか一方を選択できるユース ケースを次にいくつか示します。
| ユース ケース | Azure Bastion | JIT VM アクセス |
|---|---|---|
| 24 時間 365 日 VM にアクセスして使用するため、コストを削減したい | ✔️ | |
| クライアント マシンがロック ダウンされ、RDP ソフトウェアをインストールできない | ✔️ | |
| ファイルを転送できる必要がある | ✔️ | |
| 企業のファイアウォールにポート 3389 または 22 が開いていない | ✔️ |
最大限のセキュリティが必要な場合は、Azure Bastion と JIT VM アクセスを組み合わせることができます。
パブリック IP アドレスまたは開いている RDP ポートがなく、Just-In-Time アクセスの時間ベースの制限がある Azure VM へのブラウザーベースの SSL 接続の利点があります。