特権アクセス: 中継局Privileged access: Intermediaries

中間デバイスのセキュリティは、 特権アクセスをセキュリティで保護するうえで重要な要素です。Security of intermediary devices is a critical component of securing privileged access.

中継局は、ユーザーまたは管理者のエンドツーエンドセッションのゼロ信頼保証のチェーンへのリンクを追加します。そのため、セッションでの信頼されていないセキュリティ保証を維持 (または改善) する必要があります。Intermediaries add link to the chain of Zero Trust assurance for the user or administrator's end to end session, so they must sustain (or improve) the Zero Trust security assurances in the session. 中継局の例としては、仮想プライベートネットワーク (Vpn)、ジャンプサーバー、仮想デスクトップインフラストラクチャ (VDI)、およびアクセスプロキシによるアプリケーションの発行などがあります。Examples of intermediaries include virtual private networks (VPNs), jump servers, virtual desktop infrastructure (VDI), as well as application publishing through access proxies.

中継局とは

攻撃者は、中継局に対して、セキュリティで格納された資格情報を使用して特権をエスカレートしたり、企業ネットワークへのネットワークリモートアクセスを取得したり、信頼されていないアクセスの決定に使用されている場合にそのデバイスで信頼を悪用したりすることを攻撃するAn attacker can attack an intermediary to attempt to escalating privileges using credentials stored on them, get network remote access to corporate networks, or exploit trust in that device if being used for Zero Trust access decisions. 特に、これらのデバイスのセキュリティ体制を厳密に維持していない組織では、仲介をターゲットにすることは、あまり一般的ではありませんでした。Targeting intermediaries has become an all too common, especially for organizations that don't rigorously maintain the security posture of these devices. たとえば、 VPN デバイスから収集された資格情報などです。For example, credentials collected from VPN devices.

仲介型とリスク

中継局は目的とテクノロジによって異なりますが、通常はリモートアクセス、セッションセキュリティ、またはその両方を提供します。Intermediaries vary in purpose and technology, but typically provide remote access, session security, or both:

  • リモートアクセス -インターネットからエンタープライズネットワーク上のシステムへのアクセスを有効にします。Remote access - Enable access to systems on enterprise networks from the internet
  • セッションセキュリティ -セッションのセキュリティ保護と可視性の向上Session security - Increase security protections and visibility for a session
    • 管理されていない デバイスのシナリオ-管理されていないデバイス (たとえば、personal employee デバイス) やパートナー/ベンダーによって管理されているデバイスからアクセスされる管理された仮想デスクトップ。Unmanaged device scenario - Providing a managed virtual desktop to be accessed by unmanaged devices (for example, personal employee devices) and/or devices managed by a partner/vendor.
    • 管理者のセキュリティシナリオ -管理経路を統合したり、ジャストインタイムアクセス、セッションの監視と記録、同様の機能を使用してセキュリティを強化したりすることができます。Administrator security scenario - Consolidate administrative pathways and/or increase security with just in time access, session monitoring and recording, and similar capabilities.

セキュリティ保証を元のデバイスから確実に維持し、リソースインターフェイスに対してアカウントを使用することを保証するには、中間および軽減オプションのリスクプロファイルを理解する必要があります。Ensuring security assurances are sustained from the originating device and account through to the resource interface requires understanding the risk profile of the intermediary and mitigation options.

攻撃者の営業案件と価値Attacker opportunity and value

中間型によって固有の機能が実行されるため、それぞれに異なるセキュリティアプローチが必要です。ただし、アプライアンス、ファームウェア、オペレーティングシステム、アプリケーションにセキュリティ更新プログラムを迅速に適用するなどの重要な共通点があります。Different intermediary types perform unique functions so they each require a different security approach, though there are some critical commonalities like rapidly applying security patches to appliances, firmware, operating systems, and applications.

攻撃者の営業案件と特定の中継局の価値を比較する

攻撃 は、攻撃者が攻撃を受けた場合に攻撃対象となる可能性のある攻撃を受ける機会を表します。The attacker opportunity is represented by the available attack surface an attack operator can target:

  • Azure AD PIM、Azure 要塞、Azure AD アプリプロキシなどの ネイティブクラウドサービス では、攻撃を受ける可能性が制限されています。Native cloud services like Azure AD PIM, Azure Bastion, and Azure AD App Proxy offer a limited attack surface to attackers. お客様 (および攻撃者) は、パブリックインターネットに公開されていますが、サービスを提供する基盤となるオペレーティングシステムにアクセスすることはできず、通常はクラウドプロバイダーでの自動化されたメカニズムによって一貫して維持および監視されます。While they are exposed to the public internet, customers (and attackers) have no access to underlying operating systems providing the services and they are typically maintained and monitored consistently via automated mechanisms at the cloud provider. このように小さな攻撃対象となるのは、使用可能なオプションを攻撃者に限定します。これは、IT 担当者が構成、パッチ、および監視を行う必要があります。 IT 担当者は、競合する優先順位やセキュリティタスクの完了までに多くの時間がかかっています。This smaller attack surface limits the available options to attackers vs. classic on-premises applications and appliances that must be configured, patched, and monitored by IT personnel who are often overwhelmed by conflicting priorities and more security tasks than they have time to complete.
  • 仮想プライベートネットワーク (vpn)リモートデスクトップ / の ジャンプサーバー は、多くの場合、リモートアクセスを提供するためにインターネットに公開され、これらのシステムのメンテナンスが頻繁に行われないため、攻撃の可能性が非常に高くなります。Virtual Private Networks (VPNs) and Remote Desktops / Jump servers frequently have a significant attacker opportunity as they are exposed to the internet to provide remote access and the maintenance of these systems is frequently neglected. 攻撃者は少数のネットワークポートしか公開していませんが、攻撃者は1つの修正プログラム脆弱性サービスへのアクセスのみを必要とします。While they only have a few network ports exposed, attackers only need access to one unpatched service for an attack.
  • サードパーティの PIM/PAM サービスは、多くの場合、オンプレミスまたは Infrastructure As a Service (IaaS) の VM としてホストされ、通常はイントラネットホストでのみ使用できます。Third-party PIM/PAM services are frequently hosted on-premises or as a VM on Infrastructure as a Service (IaaS) and are typically only available to intranet hosts. インターネットに直接公開されているのではなく、攻撃者が VPN または別のリモートアクセスメディア経由でサービスにアクセスできるようにすることができます。While not directly internet exposed, a single compromised credential may allow attackers to access the service over VPN or another remote access medium.

攻撃 者の価値は、攻撃者が媒介を侵害することによって得られることを表します。Attacker value represents what an attacker can gain by compromising an intermediary. 攻撃者は、アプリケーション/VM、またはクラウドサービスの顧客インスタンスの管理者を完全に制御できます。A compromise is defined as an attacker gaining full control over the application/VM and/or an administrator of the customer instance of the cloud service.

攻撃の次の段階で、攻撃者が中継局から収集できる成分は次のとおりです。The ingredients that attackers can collect from an intermediary for the next stage of their attack include:

  • ネットワーク接続を取得 して、企業ネットワーク上のほとんどまたはすべてのリソースと通信します。Get network connectivity to communicate with most or all resource on enterprise networks. このアクセスは、通常、Vpn およびリモートデスクトップ/ジャンプサーバーソリューションによって提供されます。This access is typically provided by VPNs and Remote Desktop / Jump server solutions. Azure 要塞と Azure AD アプリ Proxy (または類似のサードパーティソリューション) ソリューションもリモートアクセスを提供しますが、これらのソリューションは通常、アプリケーションまたはサーバー固有の接続であり、一般的なネットワークアクセスは提供しません。While Azure Bastion and Azure AD App Proxy (or similar third-party solutions) solutions also provide remote access, these solutions are typically application or server-specific connections and don’t provide general network access
  • デバイス id の偽装 -デバイスを認証に必要とする場合、または攻撃者がターゲットネットワーク上のインテリジェンスを収集するために使用する場合は、信頼メカニズムがゼロになる可能性があります。Impersonate device identity - can defeat Zero Trust mechanisms if a device is required for authentication and/or be used by an attacker to gather intelligence on the targets networks. 多くの場合、セキュリティ運用チームはデバイスアカウントのアクティビティを厳密に監視しておらず、ユーザーアカウントにのみフォーカスします。Security Operations teams often don't closely monitor device account activity and focus only on user accounts.
  • アカウント資格情報を盗ん で、リソースに対する認証を行います。これは、攻撃の最終目標または次の段階にアクセスする特権を昇格する機能を提供するため、攻撃者にとって最も重要な資産です。Steal account credentials to authenticate to resources, which are the most valuable asset to attackers as it offers the ability to elevate privileges to access their ultimate goal or the next stage in the attack. リモートデスクトップ/ジャンプサーバーとサードパーティの PIM/PAM は、最も魅力的なターゲットであり、攻撃者の価値とセキュリティの軽減策を高めるために、"すべての卵を1つのバスケットで動的にする" ことができます。Remote Desktop / Jump servers and third-party PIM/PAM are the most attractive targets and have the “All your eggs in one basket” dynamic with increased attacker value and security mitigations:
    • PIM/PAM ソリューションでは、通常、組織内のほとんどまたはすべての特権ロールの資格情報を保存し、それらのロールを侵害または weaponize に対して非常に lucrative なターゲットにします。PIM/PAM solutions typically store the credentials for most or all privileged roles in the organization, making them a highly lucrative target to compromise or to weaponize.
    • PIM では、MFA または他のワークフローを使用して既にアカウントに割り当てられている特権のロックを解除するため、資格情報を盗むことができますが、悪意のあるワークフローでは、攻撃者が特権を昇格させることができるので、攻撃者には Azure ADAzure AD PIM doesn't offer attackers the ability to steal credentials because it unlocks privileges already assigned to an account using MFA or other workflows, but a poorly designed workflow could allow an adversary to escalate privileges.
    • 管理者によって使用される リモートデスクトップ/ジャンプサーバー は、多数またはすべての機微なセッションが通過するホストを提供します。これにより、攻撃者は標準の資格情報の盗難攻撃ツールを使用してこれらの資格情報を盗んで再利用できます。Remote Desktop / Jump servers used by administrators provide a host where many or all sensitive sessions pass through, enabling attackers to use standard credential theft attack tools to steal and reuse these credentials.
    • Vpn では、資格情報をソリューションに格納できます。これにより、攻撃者は宝庫の特権エスカレーションを受ける可能性があります。このリスクを軽減するには、認証に Azure AD を使用することを強くお勧めします。VPNs can store credentials in the solution, providing attackers with a potential treasure trove of privilege escalation, leading to the strong recommendation to use Azure AD for authentication to mitigate this risk.

中間セキュリティプロファイルIntermediary security profiles

これらの保証を確立するには、セキュリティ制御を組み合わせる必要があります。その中には、多くの中継局に共通するものと、中継局の種類に固有のものがあります。Establishing these assurances requires a combination of security controls, some of which are common to many intermediaries, and some of which specific to the type of intermediary.

ゼロトラストチェーン内のリンクとしての中継局

中間とは、ユーザーまたはデバイスへのインターフェイスを提示し、次のインターフェイスへのアクセスを可能にする、ゼロの信頼チェーン内のリンクです。An intermediary is a link in the Zero Trust chain that presents an interface to users/devices and then enables access to the next interface. セキュリティコントロールは、着信接続、中間デバイス/アプリケーション/サービス自体のセキュリティ、および (該当する場合) 次のインターフェイスに対する信頼のないセキュリティシグナルを提供する必要があります。The security controls must address inbound connections, security of the intermediary device/application/service itself, and (if applicable) provide Zero Trust security signals for the next interface.

一般的なセキュリティ制御Common security controls

中継局の共通セキュリティ要素は、エンタープライズレベルと特殊レベルに対して適切なセキュリティの検疫を維持することに重点を置いており、特権セキュリティに関する追加の制限があります。The common security elements for intermediaries are focused on maintaining good security hygiene for enterprise and specialized levels, with additional restrictions for privilege security.

中継局に共通のセキュリティ制御

これらのセキュリティ制御は、すべての種類の中継局に適用する必要があります。These security controls should be applied to all types of intermediaries:

  • [受信接続のセキュリティを強制 する]-Azure AD および条件付きアクセスを使用して、デバイスとアカウントからのすべての着信接続が既知、信頼され、許可されていることを確認します。Enforce inbound connection security - Use Azure AD and Conditional Access to ensure all inbound connections from devices and accounts are known, trusted, and allowed. 詳細については、「 Secuiting privileged インターフェイス 」を参照してください。 enterprise および特殊化のデバイスとアカウントの要件の詳細な定義に関する記事をご覧ください。For more information, see the article Secuiting privileged interfaces for detailed definitions for device and account requirements for enterprise and specialized.
  • 適切なシステムメンテナンス -すべての中継局は、次のような適切なセキュリティの対策に従う必要があります。Proper system maintenance - All intermediaries must follow good security hygiene practices including:
    • セキュリティで保護された構成 -アプリケーションとその基盤となるオペレーティングシステム、クラウドサービス、またはその他の依存関係の両方について、製造元または業界のセキュリティ構成基準とベストプラクティスに従います。Secure configuration - Follow manufacturer or industry security configuration baselines and best practices for both the application and any underlying operating systems, cloud services, or other dependencies. Microsoft の該当するガイダンスには、Azure のセキュリティベースラインと Windows ベースラインが含まれています。Applicable guidance from Microsoft includes the Azure Security Baseline and Windows Baselines.
    • 迅速な修正プログラム -ベンダーからのセキュリティ更新プログラムと修正プログラムは、リリース後に迅速に適用する必要があります。Rapid patching - Security updates and patches from the vendors must be applied rapidly after release.
  • ロールベースの Access Control (RBAC) モデルは、攻撃者が特権を昇格するために悪用される可能性があります。Role-Based Access Control (RBAC) models can be abused by attackers to escalate privileges. 特定のレベルまたは特権レベルで保護されている承認された担当者だけに管理者特権が付与されるように、仲介の RBAC モデルを慎重に確認する必要があります。The RBAC model of the intermediary must be carefully review to ensure that only authorized personnel that are protected at a specialized or privileged level are granted administrative privileges. このモデルには、基になるオペレーティングシステムまたはクラウドサービス (ルートアカウントのパスワード、ローカル管理者のユーザー/グループ、テナント管理者など) が含まれている必要があります。This model must include any underlying operating systems or cloud services (root account password, local administrator users/groups, tenant administrators, etc.).
  • エンドポイントの検出と応答 (EDR) と送信の信頼シグナル -完全なオペレーティングシステムを含むデバイスは、エンドポイント用に Microsoft Defender などの EDR で監視および保護する必要があります。Endpoint detection and response (EDR) and outbound trust signal - Devices that include a full operating system should be monitored and protected with an EDR like Microsoft Defender for Endpoints. このコントロールは、ポリシーがインターフェイスにこの要件を適用できるように、条件付きアクセスにデバイスコンプライアンス信号を提供するように構成する必要があります。This control should be configured to provides device compliance signals to Conditional Access so that policy can enforce this requirement for interfaces.

特権中継局には、追加のセキュリティ制御が必要です。Privileged Intermediaries require additional security controls:

  • ロールベースの Access Control (RBAC) -管理者権限は、ワークステーションとアカウントでその標準を満たしている特権ロールのみに制限する必要があります。Role-Based Access Control (RBAC) - Administrative rights must be restricted to only privileged roles meeting that standard for workstations and accounts.
  • 専用デバイス (オプション) -特権セッションが非常に重要であるため、組織は特権ロールに対して中間関数の専用インスタンスを実装することを選択できます。Dedicated devices (optional) - because of the extreme sensitivity of privileged sessions, organizations may choose to implement dedicated instances of intermediary functions for privileged roles. このコントロールにより、これらの特権を持つ中継局に対する追加のセキュリティ制限が有効になり、特権ロールアクティビティの詳細な監視が可能になります。This control enables additional security restrictions for these privileged intermediaries and closer monitoring of privileged role activity.

各仲介型のセキュリティガイダンスSecurity guidance for each intermediary type

このセクションには、各種類の仲介に固有のセキュリティガイダンスが含まれています。This section contains specific security guidance unique to each type of intermediary.

Privileged Access Management/Privileged Identity ManagementPrivileged Access Management / Privileged Identity management

セキュリティのユースケースに対して明示的に設計された仲介者の1種類は、privileged identity management/privileged access management (PIM/PAM) ソリューションです。One type of intermediary designed explicitly for security use cases is privileged identity management / privileged access management (PIM/PAM) solutions.

PIM/PAM のユースケースとシナリオUse cases and scenarios for PIM/PAM

PIM/PAM ソリューションは、特殊化されたアカウントまたは特権プロファイルによって対象となる機密性の高いアカウントのセキュリティ保証を強化するように設計されており、通常は IT 管理者に注目します。PIM/PAM solutions are designed to increase security assurances for sensitive accounts that would be covered by specialized or privileged profiles, and typically focus first on IT administrators.

特徴は PIM/PAM ベンダーによって異なりますが、多くのソリューションは次のようなセキュリティ機能を提供します。While features vary between PIM/PAM vendors, many solutions provide security capabilities to:

  • サービスアカウントの管理とパスワードのローテーションを簡略化する (非常に重要な機能)Simplify service account management and password rotation (a critically important capability)

  • ジャストインタイム (JIT) アクセスの高度なワークフローを提供するProvide advanced workflows for just in time (JIT) access

  • 管理セッションの記録と監視Record and monitor administrative sessions

    重要

    PIM/PAM 機能は、一部の攻撃に対して優れた軽減策を提供しますが、多くの privielged アクセスリスクには対応しません。特に、デバイスが侵害されるリスクがあります。PIM/PAM capabilities provide excellent mitigations for some attacks, but do not address many privielged access risks, notably risk of device compromise. 一部のベンダーは、PIM/PAM ソリューションが "シルバーブレット" ソリューションであり、デバイスのリスクを軽減できることを示していますが、お客様のインシデント調査の経験により、これが実際には機能しないことが一貫して実証されています。While some vendors advocate that their PIM/PAM solution is a 'silver bullet' solution that can mitigate device risk, our experience investigating customer incidents has consistently proven that this does not work in practice.

    ワークステーションまたはデバイスを制御している攻撃者は、ユーザーがログオンしている間、これらの資格情報 (およびそれらに割り当てられている特権) を使用できます (また、後で使用するために資格情報を盗み出すことがよくあります)。An attacker with control of a workstation or device can use those credentials (and privileges assigned to them) while the user is logged on (and can often steal credentials for later use as well). PIM/PAM ソリューションだけでは、これらのデバイスのリスクを一貫して確実に確認し、軽減することはできません。そのため、相互に補完する個別のデバイスとアカウント保護が必要です。A PIM/PAM solution alone cannot consistently and reliably see and mitigate these device risks, so you must have discrete device and account protections that complement each other.

PIM/PAM のセキュリティリスクと推奨事項Security risks and recommendations for PIM/PAM

各 PIM/PAM ベンダーの機能は、それらをセキュリティで保護する方法によって異なります。そのため、ベンダー固有のセキュリティ構成に関する推奨事項とベストプラクティスを確認し、従うことをお勧めします。The capabilities from each PIM/PAM vendor vary on how to secure them, so review and follow your vendor's specific security configuration recommendations and best practices.

注意

内部的なリスクを軽減するために、ビジネスクリティカルなワークフローに2人目のユーザーを設定してください (内部の脅威によって潜在的な必ず共謀のコストと摩擦が増加します)。Ensure you set up a second person in business critical workflows to help mitigate insider risk (increases the cost/friction for potential collusion by insider threats).

エンドユーザー仮想プライベートネットワークEnd-user Virtual Private Networks

仮想プライベートネットワーク (Vpn) は、リモートエンドポイントへの完全なネットワークアクセスを提供する中継局であり、通常はエンドユーザーの認証を必要とし、受信ユーザーセッションを認証するために資格情報をローカルに保存できます。Virtual Private Networks (VPNs) are intermediaries that provide full network access for remote endpoints, typically require the end user to authenticate, and can store credentials locally to authenticate inbound user sessions.

注意

このガイダンスでは、ユーザーが使用する "ポイント対サイト" Vpn についてのみ説明します。これは、データセンターやアプリケーションの接続に通常使用される "サイト間" の Vpn ではありません。This guidance refers only to "point to site" VPNs used by users, not "site to site" VPNs that are typically used for datacenter/application connectivity.

Vpn のユースケースとシナリオUse cases and scenarios for VPNs

Vpn は、エンタープライズネットワークへのリモート接続を確立し、ユーザーと管理者がリソースにアクセスできるようにします。VPNs establish remote connectivity to enterprise network to enable resource access for users and administrators.

Vpn のセキュリティリスクと推奨事項Security risks and recommendations for VPNs

VPN 中継局にとって最も重大なリスクは、メンテナンスの問題、構成の問題、および資格情報のローカルストレージです。The most critical risks to VPN intermediaries are from maintenance neglect, configuration issues, and local storage of credentials.

Microsoft では、VPN 中継局用に制御を組み合わせることをお勧めします。Microsoft recommends a combination of controls for VPN intermediaries:

  • Azure AD 認証を統合 する-ローカルに保存された資格情報 (およびそれらを維持するためのオーバーヘッドの負担) のリスクを軽減または排除し、条件付きアクセスを使用して受信アカウント/デバイスにゼロの信頼ポリシーを適用します。Integrate Azure AD authentication - to reduce or eliminate risk of locally stored credentials (and any overhead burden to maintain them) and enforce Zero Trust policies on inbound accounts/devices with conditional access. 統合のガイダンスについては、「」を参照してください。For guidance on integrating, see
  • 迅速な修正プログラム適用 -すべての組織要素が、次のような迅速な修正プログラムをサポートしていることを確認Rapid patching - Ensure that all organizational elements support rapid patching including:
    • 要件に対する 組織のスポンサー とリーダーシップのサポートOrganizational sponsorship and leadership support for requirement
    • 最小限またはゼロダウンタイムで Vpn を更新するための 標準的な技術プロセスStandard technical processes for updating VPNs with minimal or zero downtime. このプロセスには、VPN ソフトウェア、アプライアンス、および基礎となるオペレーティングシステムまたはファームウェアが含まれます。This process should include VPN software, appliances, and any underlying operating systems or firmware
    • 重要なセキュリティ更新プログラムを迅速に展開するための 緊急プロセスEmergency processes to rapidly deploy critical security updates
    • 失敗した項目を継続的に検出して修復するための ガバナンスGovernance to continually discover and remediate any missed items
  • セキュリティで保護された構成 -各 VPN ベンダーの機能は、それらをセキュリティで保護する方法によって異なります。そのため、ベンダー固有のセキュリティ構成の推奨事項とベストプラクティスを確認し、従うことをお勧めします。Secure configuration - The capabilities from each VPN vendor vary on how to secure them, so review and follow your vendor's specific security configuration recommendations and best practices
  • Vpn を超える 接続-時間の経過と共に vpn を、Azure AD アプリプロキシや Azure 要塞などのより安全なオプションで置き換えます。これにより、完全なネットワークアクセスではなく、直接アプリケーション/サーバーアクセスが提供されます。Go beyond VPN - Replace VPNs over time with more secure options like Azure AD App Proxy or Azure Bastion as these provide only direct application/server access rather than full network access. さらに Azure AD アプリプロキシを使用すると、Microsoft Cloud App Security でセキュリティを強化するためにセッションを監視できます。Additionally Azure AD App Proxy allows session monitoring for additional security with Microsoft Cloud App Security.

VPN 認証を最新化し、アプリを最新のアクセスに移動する

Azure AD アプリプロキシAzure AD App Proxy

Azure AD アプリプロキシと同様のサードパーティの機能を使用すると、オンプレミスまたはクラウド内の IaaS Vm でホストされているレガシアプリケーションやその他のアプリケーションへのリモートアクセスが可能になります。Azure AD App Proxy and similar third-party capabilities provide remote access to legacy and other applications hosted on-premises or on IaaS VMs in the cloud.

Azure AD アプリプロキシのユースケースとシナリオUse cases and scenarios for Azure AD App Proxy

このソリューションは、従来のエンドユーザーの生産性向上アプリケーションをインターネットを介して承認されたユーザーに公開する場合に適しています。This solution is suitable for publishing legacy end-user productivity applications to authorized users over the internet. また、一部の管理アプリケーションの発行にも使用できます。It can also be used for publishing some administrative applications.

Azure AD アプリプロキシのセキュリティリスクと推奨事項Security risks and recommendations for Azure AD App Proxy

Azure AD アプリプロキシは、最新の retrofits の信頼ポリシーを既存のアプリケーションに効果的に適用します。Azure AD App proxy effectively retrofits modern Zero Trust policy enforcement to existing applications. 詳細については、「Azure AD アプリケーションプロキシのセキュリティに関する考慮事項」を参照してください。For more information, see Security considerations for Azure AD Application Proxy

Azure AD アプリケーションプロキシは、Microsoft Cloud App Security と統合して、アプリの条件付きアクセス制御セッションのセキュリティを次のように追加することもできます。Azure AD Application Proxy can also integrate with Microsoft Cloud App Security to add Conditional Access App Control session security to:

  • データを禁止するPrevent data exfiltration
  • ダウンロード時に保護するProtect on download
  • ラベルのないファイルをアップロードできないようにするPrevent upload of unlabeled files
  • ユーザーセッションのコンプライアンスを監視するMonitor user sessions for compliance
  • アクセスのブロックBlock access
  • カスタムアクティビティをブロックするBlock custom activities

詳細については、「 Azure AD アプリの Cloud App Security アプリの条件付きアクセス制御のデプロイ」を参照してください。For more information, see Deploy Cloud App Security Conditional Access App Control for Azure AD apps

アプリケーションプロキシを使用 Azure AD してアプリケーションを公開するときは、アプリケーションの所有者が最小限の特権を遵守し、各アプリケーションへのアクセスを必要とするユーザーのみが使用できるようにすることをお勧めします。As you publish applications via the Azure AD Application Proxy, Microsoft recommends having application owners work with security teams to follow least privilege and ensure access to each application is made available to only the users that require it. この方法でより多くのアプリをデプロイすると、エンドユーザーのポイント対サイト VPN の使用状況をオフセットできる場合があります。As you deploy more apps this way, you may be able to offset some end-user point to site VPN usage.

リモートデスクトップ/ジャンプサーバーRemote Desktop / jump server

このシナリオは、1つまたは複数のアプリケーションを実行する完全なデスクトップ環境を提供します。This scenario provides a full desktop environment running one or more applications. このソリューションには、次のようなさまざまなバリエーションがあります。This solution has a number of different variations including:

  • エクスペリエンス -ウィンドウ内の完全なデスクトップまたは1つのアプリケーションのエクスペリエンスの予測Experiences - Full desktop in a window or a single application projected experience
  • リモートホスト -Windows 仮想デスクトップ (wvd) または別の仮想デスクトップインフラストラクチャ (VDI) ソリューションを使用して、共有 vm または専用デスクトップ vm を指定できます。Remote host - may be a shared VM or a dedicated desktop VM using Windows Virtual Desktop (WVD) or another Virtual Desktop Infrastructure (VDI) solution.
  • ローカルデバイス -モバイルデバイス、管理されたワークステーション、または個人/パートナーが管理するワークステーションLocal device - may be a mobile device, a managed workstation, or a personal/partner managed workstation
  • シナリオ -ユーザー生産性アプリケーションや管理シナリオに重点を置いている ("ジャンプサーバー" と呼ばれることが多い)Scenario - focused on user productivity applications or on administrative scenarios, often called a 'jump server'

リモートデスクトップ/ジャンプサーバーのユースケースとセキュリティに関する推奨事項Use cases and security recommendations for Remote Desktop / Jump server

最も一般的な構成は次のとおりです。The most common configurations are:

  • ダイレクトリモートデスクトッププロトコル (RDP)-RDP は、パスワードスプレーなどの最新の攻撃からの保護が制限されているプロトコルであるため、インターネット接続にはこの構成を使用しないことをお勧めします。Direct Remote Desktop Protocol (RDP) - This configuration is not recommended for internet connections because RDP is a protocol that has limited protections against modern attacks like password spray. 直接 RDP は次のいずれかに変換する必要があります。Direct RDP should be converted to either:
    • Azure AD アプリプロキシによって発行されたゲートウェイを介した RDPRDP through a gateway published by Azure AD App Proxy
    • Azure BastionAzure Bastion
  • を使用したゲートウェイ経由の RDPRDP through a gateway using
    • リモートデスクトップサービス (RDS) が Windows Server に含まれています。Remote Desktop Services (RDS) included in Windows Server. Azure AD アプリケーションプロキシを使用して発行します。Publish with Azure AD Application Proxy.
    • Windows 仮想デスクトップ (WVD)-Windows 仮想デスクトップのセキュリティに関するベストプラクティスに従ってください。Windows Virtual Desktop (WVD) - Follow Windows Virtual Desktop security best practices.
    • サードパーティの VDI-製造元または業界のベストプラクティスに従うか、または WVD ガイダンスをソリューションに適応させます。Third-party VDI - Follow manufacturer or industry best practices, or adapt WVD guidance to your solution
  • Secure Shell (SSH) サーバー: テクノロジ部門とワークロード所有者のためのリモートシェルとスクリプトを提供します。Secure Shell (SSH) server - providing remote shell and scripting for technology departments and workload owners. この構成のセキュリティ保護には次のものが含まれます。Securing this configuration should include:
    • セキュリティで保護された構成、既定のパスワードの変更 (該当する場合)、パスワードではなく SSH キーの使用、SSH キーの安全な保存と管理を行うには、業界/製造元のベストプラクティスに従ってください。Following industry/manufacturer best practices to securely configure it, change any default passwords (if applicable), and using SSH keys instead of passwords, and securely storing and managing SSH keys.
    • Azure 要塞を使用した azure でホストされているリソースへの SSH リモート処理-Azure 要塞を使用した Linux VM への接続Use Azure Bastion for SSH remoting to resources hosted in Azure - Connect to a Linux VM using Azure Bastion

Azure BastionAzure Bastion

Azure 要塞は、ブラウザーと Azure portal を使用して Azure リソースへの安全なアクセスを提供するように設計された中継局です。Azure Bastion is an intermediary that is designed to provide secure access to Azure resources using a browser and the Azure portal. Azure 要塞は、リモートデスクトッププロトコル (RDP) プロトコルと Secure Shell (SSH) プロトコルをサポートするアクセスリソースを Azure に提供します。Azure Bastion provides access resources in Azure that support Remote Desktop Protocol (RDP) and Secure Shell (SSH) protocols.

Azure 要塞のユースケースとシナリオUse cases and scenarios for Azure Bastion

Azure 要塞 は、it 運用担当者とその外部のワークロード管理者が、環境への完全な VPN 接続を必要とせずに、azure でホストされているリソースを管理するために使用できる柔軟なソリューションを提供します。Azure Bastion effectively provides a flexible solution that can be used by IT Operations personnel and workload administrators outside of IT to manage resources hosted in Azure without requiring a full VPN connection to the environment.

Azure 要塞のセキュリティリスクと推奨事項Security risks and recommendations for Azure Bastion

Azure 要塞にアクセスするには Azure portal を使用します。そのため、Azure portal インターフェイス では、it およびロール内のリソースに対する適切な レベルのセキュリティ が必要であり、通常は特権レベルまたは特殊化されたレベルを使用していることを確認してください。Azure Bastion is accessed through the Azure portal, so ensure that your Azure portal interface requires the appropriate level of security for the resources in it and roles using it, typically privileged or specialized level.

その他のガイダンスについては、Azure 要塞のドキュメントを参照してください。Additional guidance is available in the Azure Bastion Documentation

次のステップNext steps