セキュリティとガバナンス

Azure Bastionとは?セキュアな接続の概要と利用の流れを解説

Azure Bastionは、仮想マシンの安全な接続確立を実現するPaaSです。このサービスをデプロイすることによって、保守や運用、障害時の対応の煩雑さを解消します。2019年の11月に一般提供を開始しました。

「Bastion」は「砦(とりで)」や「要塞」の意味で、発音を日本語表記で書くと「バスチャン」になります。パブリックなIPアドレスを使わずに、ブラウザで仮想マシンに接続できます。

ここでは、Azure Bastionの概要と、Azure Portalから設定して利用するときの流れを解説します。

Azure Bastionとは?セキュアな接続の概要と利用の流れを解説

クラウド時代に求められる情報セキュリティとは? 〜Microsoft Defender for Cloudも解説〜

 Azure Bastionが提供するセキュアな接続

Azure Bastionは「踏み台サーバー」「ジャンプホスト」と呼ばれている仕組みを実現します。呼称の通り、特定のサーバーを中継点として別のサーバーに接続する仕組みです。AWSも同様のサービスを提供しています。

Azure Bastionが登場した背景

踏み台サーバーのような仕組みが重視される背景には、働き方が多様化し、以前よりもクラウドのセキュリティ管理に関する重要性が高まったことがあります。

リモートワークの浸透によって、社外の環境からPaaSにアクセスすることが一般化した現在、アクセス制御や不正の監視は取り組まなければならない優先的な課題になりました。踏み台サーバーを経由させて仮想マシンに対するダイレクトなアクセスを回避させると、不正な接続は遮断が可能になります。アクセスを監視して記録を残せることがメリットです。

もちろん快適なリモートワーク環境の実現にもメリットがありますが、社外からメンテナンスや開発の業務を行う場合、いつどこからアクセスしたかログが残るために不正を発見しやすくなります。機密情報へのアクセスを制限して、社員の不正を防止します。会社のセキュリティポリシー遵守を徹底するために有効な手段です。

「踏み台」「ジャンプ」は機能的な側面の印象から名付けられました。しかし、役割としては「砦(とりで)」がふさわしいでしょう。外部からのサイバー攻撃対策にとどまらず、内部からの従業員による不正行為も視野に入れて、デジタルリスクから企業を守る堅牢な「要塞」を構築します。

しかしながら、仮想マシンに対する踏み台サーバーの設置はコストがかかります。リスクを考慮すると、セキュリティには際限がありません。コストや手間を無視して最善の導入計画を行っても「そこまでやらなくてもよいのではないか?」と意思決定者が及び腰になることが多いのではないでしょうか。

Azure Bastionとは

Azure Bastionはリモート環境を拡充しつつ、セキュリティポリシーを徹底する労力とコストを抑制するために生まれました。仮想ネットワーク上のパブリックIPアドレスが割り当てられたホストを中継して、フルマネージドなRDP(Remote Desktop Protocol)およびSSH(Secure Shell)アクセスを実現します。

登録したAzureの仮想ネットワーク(VNet)でプロビジョニングを行い、公開されることがないパブリックIP アドレス経由でSSLを用いて、仮想ネットワーク内のあらゆる仮想マシンをサポートします。

Azure Bastionのアーキテクチャー

Azureに接続する基本手段の一部としてRDPとSSHがありますが、インターネット経由でRDPもしくはSSHのポートを公開した場合、脅威にさらされる可能性があります。プロトコルの脆弱性が原因です。

Azure Bastionのホストは、Azureのサブスクリプションやアカウント、仮想マシン単位でデプロイせずに、環境全体を仮想ネットワーク内にデプロイします。Azure Bastionのホストサーバーはサイバー攻撃に耐え得る設計と構成を備え、同時にRDPとSSHによる接続を実現します。

ユーザーは接続先の仮想マシンを選択して、HTML5 ブラウザによってAzure portalから安全な接続を確立および維持できます。同一の仮想ネットワーク内にあるすべての仮想マシンで、RDPもしくはSSHのポートが保護されます。Azure Bastionを利用すると、それぞれの仮想マシンのパブリックIPが不要です。

Azure Bastionのメリット

Azure Bastionのメリットは以下になります。

  • わずか数分以内でデプロイ、セキュアなリモート操作を利用できる迅速性
  • ポートスキャニングやマルウェアなどの攻撃に対する防御の強化
  • 安全でシームレスなRDPとSSHのアクセス提供
  • 継続的な管理が不要になり、メンテナンスの負荷を軽減

Azure Bastionの機能

以下がAzure Bastionが提供する主な機能です。

  • Azure portalから直接RDPおよびSSHを利用できること
  • ファイアウォールの安全なトラバーサルとしてTLSを介したRDP/SSHの接続
  • 仮想マシンでパブリックIPが必要なく、プライベートIPを使用
  • Azure BastionのサブネットはNSG(Azure上のファイアウォール)適用が不要
  • ポートスキャンの保護
  • ゼロディ攻撃(修正プログラム配布前の攻撃)からの保護

 Azure Bastionの利用方法

Azure Bastionは、Azure PortalによるGUIの操作、Azure PowerShellまたはAzure CLIのコマンドラインのいずれかによってホストを作成して、利用できます。ここから先の解説はAzure Portalからデプロイして利用するときの操作の流れと概要を解説します。

Azure Bastionをデプロイする

まず仮想ネットワークと仮想マシンをデプロイしておきます。以下のポイントに注意する必要があります。

  • サーバーにパブリックIPアドレスを付与しないこと
  • Azure Bastionが利用できるリージョンには制限があること
  • サービスの費用について確認しておくこと

そのほかにも仮想ネットワークにまたがった接続の制限や、セッションの検査以外のポリシーの設定ができない制限があります。また、Azureの仮想ネットワークにおいて、ポート3389が開いている状態の仮想マシンであることが前提条件です。

仮想ネットワークおよび仮想マシンがデプロイできたら、Azure Portalのメニューまたはホームから「リソースの作成」を選択します。新規作成のページで「Marketplaceの検索」フィールドに「Bastion」と入力し、Enter キーを押して検索結果を取得します。

検索結果から「Bastion」 をクリックします。 公開元とカテゴリを確認して、「Bastion」ページで「作成」をクリックすると「Bastionの作成」ページが開きます。

Bastionの作成ページの基本タブで以下の構成設定を指定します。

  • サブスクリプション

プルダウンから選択。

  • リソースグループ

プルダウンで選択もしくは新たに作成。

  • インスタンスの詳細

名前を入力し、地域を選択します。

  • 仮想ネットワーク内のサブネット構成

プルダウンで選択もしくは新たに作成。

  • パブリックIPアドレス

既存の設定をプルダウンで選択するか、新規のパブリックIPアドレスを作成します。パブリックIPアドレスは必須で、作成したリソースと同一リージョン内にあることが条件です。パブリックIP アドレス名は、パブリックIPアドレスのリソース名になります。

以上の設定が完了したら、基本タブで「確認および作成」をクリック、さらに「確認および作成」タブで「作成」をクリックします。Bastion リソースの作成とデプロイが行われます。

Azure Bastionを使って仮想マシンに接続する

Azure Portalから利用している仮想マシンに移動して「Connect」をクリックします。「Connect to virtual machine」パネルが表示されます。ユーザー名、パスワードを入力して 「Connect」を選択します。

Azure Bastionにより、ブラウザのHTML5 を介して直接Azure portalで仮想マシンを開くことができます。設定した仮想マシンのデスクトップ画面が表示されます。

リソースをクリーンアップする

仮想ネットワークと仮想マシンの利用が終了したら、リソースグループとグループに含まれるすべてのリソースを削除します。

Azure Portal上部の検索ボックスにリソースグループの名前を入力して検索し、検索した結果から削除するリソースグループを選択します。リソースグループの削除でリソースグループを指定して、確認した後に削除を行います。

Microsoft Azureとは何か?入門から応用まで徹底解説

クラウドとは何か?Azureとは何か?導入のメリットや構成、コストに至るまでの基礎的な知識から、どのように活用すべきかまでを徹底的に解説しています。

Microsoft Azureとは何か?入門から応用まで徹底解説

ブログ記事を見る

まとめ

リモート操作による業務が増加することによって、セキュアな環境の構築は重要性が高まりました。しかし、安全かつ安心できる環境を構築するためには、コストや手間がかかります。Azure Bastionのようなサービスによって堅牢な環境を簡単に実現することは、開発環境を整備する上で意義があるといえるでしょう。

現状ではコスト面の課題と利用できる機能の制限がありますが、Azure Bastionは今後の拡充に期待したいAzureのサービスです。

  • fb-button
  • line-button
  • linkedin-button

無料メルマガ

RELATED SITES

関連サイト

CONTACT

マイクロソフト関連ソリューションの掲載を
希望される企業様はこちら

TOP