Azure Bastion とは

Azure Bastion は、ブラウザーと Azure portal を使用して仮想マシンに接続できるようにするサービスで、ユーザーがデプロイします。 Azure Bastion サービスは、お使いの仮想ネットワーク内でプロビジョニングする、フル プラットフォーム マネージド PaaS サービスです。 これにより、TLS 経由で Azure portal から直接、仮想マシンに安全かつシームレスに RDP/SSH 接続できます。 Azure Bastion 経由で接続する場合、仮想マシンにパブリック IP アドレス、エージェント、クライアント または特別なクライアントソフトウェアは必要ありません。

Bastion は、プロビジョニングされる仮想ネットワーク内のすべての VM に対して安全な RDP および SSH 接続を提供します。 Azure Bastion を使用すると、RDP または SSH を使用した安全なアクセスを提供しながら、お使いの仮想マシンが RDP または SSH ポートを外部に公開しないように保護されます。

Diagram showing Azure Bastion architecture.

主な利点

特長 説明
Azure portal を介した RDP と SSH シングルクリックのシームレスなエクスペリエンスを使用して、Azure portal 内で RDP および SSH セッションに接続できます。
RDP/SSH の TLS およびファイアウォール トラバーサルを介したリモート セッション Azure Bastion では、ローカル デバイスに自動的にストリーミングされる HTML5 ベースの Web クライアントが使用されます。 RDP/SSH セッションは、ポート 443で TLS を経由します。 これにより、トラフィックがファイアウォールをより安全に通過できるようになります。
Azure VM ではパブリック IP アドレスは必要ありません Azure Bastion により、VM のプライベート IP アドレスを使用して Azure VM への RDP/SSH 接続が開かれます。 仮想マシンのパブリック IP アドレスは必要ありません。
ネットワーク セキュリティ グループ (NSG) を管理する労力が不要 Azure Bastion サブネットに NSG を適用する必要はありません。 Azure Bastion はプライベート IP 経由で仮想マシンに接続するため、Azure Bastion からの RDP または SSH のみを許可するよう構成できます。 これで、お使いの仮想マシンへの安全な接続が必要になるたびに NSG を管理する手間がなくなります。 NSG の詳細については、「ネットワーク セキュリティ グループ」を参照してください。
VM 上の別の bastion ホストを管理する必要はありません Azure Bastion は、Azure が提供するフル マネージド プラットフォーム PaaS サービスで、安全な RDP または SSH 接続を提供するよう内部で強化されています。
ポート スキャンからの保護 VM をインターネットに公開する必要がないため、VM は不正なユーザーや悪意のあるユーザーによるポート スキャンから保護されます。
一元的な強化 Azure Bastion は仮想ネットワークの境界に配置されるため、仮想ネットワーク内の各仮想マシンを強化することについて心配する必要はありません。
ゼロデイ攻撃からの保護 Azure プラットフォームは、Azure Bastion を強化して常に最新の状態にしておくことで、ゼロデイ攻撃から保護します。

SKU

Azure Bastion には、Basic と Standard の 2 つの使用可能な SKU が用意されています。 SKU のアップグレード方法を含む詳細については、構成設定に関する記事を参照してください。

次の表に、機能と対応する SKU を示します。

特徴量 Basic SKU Standard SKU
ピアリングされた仮想ネットワーク内のターゲット VM に接続する 利用可能 利用可能
Azure Key Vault (AKV) で Linux VM のプライベート キーにアクセスする 利用可能 利用可能
SSH を使用した Linux VM への接続 利用可能 利用可能
RDP を使用した Windows VM への接続 利用可能 利用可能
VM オーディオ出力 利用可能 利用可能
ホストのスケーリング 該当なし 利用可能
カスタム受信ポートの指定 該当なし 利用可能
RDP を使用した Linux VM への接続 該当なし 利用可能
SSH を使用した Windows VM への接続 該当なし 利用可能
ファイルのアップロードまたはダウンロード 該当なし 利用可能
コピーと貼り付けを無効にする 該当なし 利用可能

アーキテクチャ

Azure Bastion は、仮想ネットワークにデプロイされ、仮想ネットワーク ピアリングをサポートします。 具体的には、Azure Bastion は、ローカルまたはピアリングされた仮想ネットワークに作成された VM に対する RDP または SSH の接続性を管理します。

RDP および SSH は、Azure で実行されているワークロードに接続できる、基本的な手段の一部です。 インターネット経由で RDP または SSH ポートを公開することは望ましくなく、重大な脅威にさらされる面と見なされます。 これは、プロトコルの脆弱性が原因であることがよくあります。 この脅威にさらされる面を含めるには、境界ネットワークの公開される側に bastion ホスト (ジャンプサーバーとも呼ばれます) をデプロイできます。 bastion ホスト サーバーは、攻撃に耐えられるように設計および構成されています。 また、Bastion のサーバーは、踏み台の背後やネットワーク内の奥の方にあるワークロードに対する RDP および SSH 接続も提供しています。

Diagram showing the Azure Bastion architecture.

この図は、Azure Bastion のデプロイのアーキテクチャを示しています。 この図の内容は次のとおりです。

  • bastion ホストは、プレフィックスが /26 以上の AzureBastionSubnet サブネットを含む仮想ネットワーク内にデプロイされます。
  • ユーザーは任意の HTML5 ブラウザーを使用して Azure portal に接続します。
  • ユーザーは、接続先の仮想マシンを選択します。
  • 1 回クリックすると、ブラウザーで RDP または SSH セッションが開きます。
  • Azure VM ではパブリック IP が必要ありません。

ホストのスケーリング

Azure Bastion は、ホストの手動スケーリングをサポートしています。 Azure Bastion がサポートできる同時 RDP/SSH 接続数を管理するため、ホスト インスタンス (スケール ユニット) の数を構成できます。 ホスト インスタンス数を増やすと、Azure Bastion でより多くの同時セッションを管理できます。 インスタンス数を減らすと、サポートされる同時セッション数が減少します。 Azure Bastion では、最大 50 個のホスト インスタンスをサポートしています。 この機能は、Azure Bastion Standard SKU でのみ使用できます。

詳細については、構成設定に関する記事を参照してください。

価格

Azure Bastion の価格には、SKU、スケール ユニット、データ転送レートに基づく時間単位の価格の組み合わせが含まれます。 料金情報については、価格に関するページをご覧ください。

新機能

RSS フィードを購読し、Azure の更新情報ページで、最新の Azure Bastion 機能の更新を確認します。

Bastion に関する FAQ

よくあるご質問については、Bastion の FAQ を参照してください。

次のステップ