Azure Bastion を使用して Windows Virtual Machines を管理する
Contoso の IT スタッフは、Azure portal から Azure の IaaS VM に直接かつ安全に接続したいと考えています。 あなたは Azure Bastion を提案します。これは、TLS 経由の Azure portal で VM に対する RDP および SSH の直接接続を提供するサービスとしてのプラットフォーム (PaaS) サービスです。 Contoso では、VNet 内に Azure Bastion をプロビジョニングできます。
ヒント
Azure Bastion 経由で VM に接続する場合、VM にパブリック IP アドレスは必要ありません。
しくみ
多くの場合、RDP と SSH は、リモート IaaS VM への接続に使用される主要な手段です。 ただし、プロトコルに脆弱性があるため、RDP または SSH ポートをインターネットに公開することは非常に望ましくありません。
この脅威を軽減するには、境界ネットワークの公開される側に bastion ホスト ("ジャンプサーバー" とも呼ばれます) をデプロイできます。
Azure Bastion を使用すると、RDP と SSH の両方を使用するセキュリティと利便性を実現しながら、RDP ポートと SSH ポートをインターネットに公開する必要がなくなるため、Contoso の VM を保護できます。 プロビジョニングする VNet がある場合、Azure Bastion により、その VNet 内のすべての VM に対してセキュリティで保護された RDP および SSH 接続が提供されます。
Note
管理対象の VM に追加のクライアント、エージェント、またはソフトウェアをインストールする必要はありません。
Note
Azure Bastion は、サブスクリプションやアカウントごとではなく、VNet ごとにデプロイします。
Bastion ホスト サーバーは、
- 攻撃に耐えるように設計および構成されています。
- bastion の背後にある Azure ワークロードへの RDP および SSH 接続を提供します。
次の図は、一般的な Azure Bastion デプロイのアーキテクチャを示しています。 この図の内容は次のとおりです。
bastion ホストは VNet にデプロイされます。
Note
保護された VM と bastion ホストは同じ VNet に接続されていますが、サブネットは異なります。
ユーザーは任意の HTML5 ブラウザーを使用して TLS 経由で Azure portal に接続します。
ユーザーは接続する VM を選択します。
RDP/SSH セッションがブラウザーで開きます。
Azure Bastion をデプロイした後に使用できるようになる機能を次の表に示します。
| 機能 | 説明 |
|---|---|
| Azure portal を介した RDP と SSH | Azure portal で RDP および SSH セッションに直接アクセスできます。 |
| RDP/SSH の TLS およびファイアウォール トラバーサルを介したリモート セッション | Azure Bastion には HTML5 Web クライアントが使用されるため、ポート 443 で TLS 経由で RDP/SSH セッションを取得できます。 これにより、トラフィックがファイアウォールを安全に通過できるようになります。 |
| Azure VM にパブリック IP が不要 | Azure Bastion により、VM のプライベート IP を使用して Azure VM への RDP/SSH 接続が開かれます。 |
| ネットワーク セキュリティ グループ (NSG) を管理する労力が不要 | Azure Bastion はプライベート IP 経由で VM に接続するため、Azure Bastion からの RDP または SSH のみを許可するよう構成できます。 Azure Bastion サブネットに NSG を適用する必要はありません。 |
| ポート スキャンからの保護 | VM をインターネットに公開する必要がないため、不正なハッカーや悪意のあるハッカーによるポート スキャンから VM は保護されます。 |
| 一元的な強化 | Azure Bastion は VNet の境界にあるため、VNet 内の個々の VM を強化することを心配する必要はありません。 |
bastion ホストをデプロイする
Azure portal を使用して Azure Bastion ホストをデプロイするには、適切な VNet にサブネットを作成することから始めます。 このサブネットには以下が必要です。
- AzureBastionSubnet という名前を付ける
- プレフィックスが /26 以上である
- Azure Bastion で保護する予定の VNet 内にある
必要なサブネットを作成するには、Azure portal で、Azure Bastion をデプロイする予定の VNet を見つけて開きます。 これを行う方法の 1 つは、保護対象の VM のいずれかについてプロパティを確認することです。
- VM のナビゲーション ペインで、[ネットワーク] を選択します。
- 詳細ペインで、構成済みの [仮想ネットワーク/サブネット] リンクを選択します。 これにより、[仮想ネットワーク] ブレードが表示されます。
次に、次のようにサブネットを作成します。
- [仮想ネットワーク] ブレードの [設定] で [サブネット] を選択します。
- [サブネット] ペインで [+ サブネット] を選択します。
- [サブネットの追加] ブレードで、「AzureBastionSubnet」という名前を入力し、適切な [アドレス範囲 (CIDR ブロック)] を構成します。 これには、少なくとも /26 のプレフィックスが必要です。
- 必要に応じて [ネットワーク セキュリティ グループ] を選択し、[OK] を選択します。
最後に、次の手順を使用して Azure Bastion を作成します。
Azure portal で、[要塞] を検索し、選択します。
[要塞] ブレードで、[Bastion の作成] を選択します。
[Bastion の作成] ブレードで、次の情報を入力し、[確認と作成] を選択します。
- サブスクリプション
- Resource group
- 名前
- リージョン
- 仮想ネットワーク
- Subnet
- パブリック IP アドレス
プロンプトが表示されたら、[作成] を選択します。
Azure Bastion を使用して Windows VM に接続する
Azure Bastion を使用して VM に接続するには、以下が必要です。
- VM 上の閲覧者ロール。
- VM のプライベート IP を持つネットワーク インフォメーション センター (NIC) 上の閲覧者ロール。
- Azure Bastion リソース上の閲覧者ロール。
- TCP ポート 3389 (RDP) を経由の受信接続をサポートする VM。
次の手順に従います。
接続する VM に移動します。
VM を選択し、[仮想マシン] ブレードで [接続] を選択します。
[接続] ドロップダウン リストで、[Bastion] を選択します。
適切なアクセス許可を持つユーザーの資格情報を入力し、[接続] を選択します。 Bastion を介したこの VM への RDP 接続は、ポート 443 と Bastion サービスを使用して Azure portal で直接開かれます。
追加の参考資料
詳細については、次のドキュメントを参照してください。