Microsoft Azure Bastion のプレビューを発表

2019年6月18日 に投稿済み

Corporate Vice President, Azure Networking

世界中の多くのお客様にとって、プライベート ネットワーク上のワークロードや仮想マシンに外部から安全に接続することは困難な場合があります。リモート デスクトップ プロトコル (RDP) や Secure Shell (SSH) を通して接続できるよう、仮想マシンをパブリック インターネットに公開すると、境界が広がることになって、重要なネットワークや接続されている仮想マシンが一層オープンになり、管理がさらに難しくなります。

RDP と SSH は、どちらもお客様が Azure ワークロードに接続するために使用する基本的なアプローチです。仮想マシンに接続するため、大半のお客様は、仮想マシンをパブリック インターネットに公開するか、ジャンプサーバーやジャンプボックスなどの要塞ホストをデプロイしています。

ですから、本日、Azure Bastion のプレビューを発表いたします。

Azure Bastion は、Secure Sockets Layer (SSL) 経由でシームレスな RDP および SSH 接続を仮想マシンに提供する新しいマネージド PaaS サービスです。これは、仮想マシンのパブリック IP を一切公開することなく完結しています。Azure Bastion はご使用の Azure Virtual Nework 内に直接にプロビジョニングされて、サービスとしての要塞ホストまたはジャンプ サーバーを提供します。こうして、仮想ネットワーク内のすべての仮想マシンに対して、ご使用のブラウザーと Azure portal のエクスペリエンスから直接、またはそれを経由して、RDP または SSH を使った統合された接続ができるようにします。このすべてをわずか 2 クリックで実行できるうえに、ネットワーク セキュリティ ポリシーの管理について心配する必要がありません。

プレビューに至るまで、さまざまな業界の数百のお客様との共同作業が行われてきました。プレビューの参加に対する関心は大変強く、Azure Firewall などの他のユニークな Azure サービスの場合と同様、非常に一貫性の高いフィードバックが寄せられました。「自分たちは Azure インフラストラクチャ内でジャンプサーバーや要塞ホストをデプロイ、実行、スケーリングするための簡単で統合された手段を必要としている」というものです。

たとえば、ドイツの高級自動車メーカーのクラウド ファンデーション チーム マネージャーからは、RDP または SSH ポートを持つクラウド仮想マシンを直接インターネットに公開するのは、セキュリティや接続性に関するさまざまな問題を抱える可能性があるため心配であるとの声を直接いただきました。Azure Bastion のプレビュー中、仮想マシンに対して RDP または SSH を SSL 経由でご使用いただくことができ、こうして企業ファイアウォールを簡単に通過すると同時に、Azure Virtual Machines をプライベート IP のみに制限することができました。

スタンドアロンの専用ジャンプサーバーをデプロイすると、その結果として、リモート デスクトップ サービス (RDS) ゲートウェイなどの IaaS ベースの特殊なソリューションやワークロードの手動での展開と管理や、認証、セキュリティ ポリシー、アクセス制御リスト (ACL) の構成と管理、さらには、ソリューションの可用性、冗長性、スケーラビリティの管理も必要になることが少なくありません。さらに、監視と監査、昨今必要とされている企業ポリシーとのコンプライアンス維持などにより、ジャンプ サーバーのセットアップと管理は、煩雑で費用がかかる、あまり望ましくないタスクになってしまう可能性があります。

Azure Bastion は、お客様の仮想ネットワーク内にデプロイされ、その仮想ネットワークに接続されているすべての承認済み仮想マシンに対する RDP または SSH のアクセスを提供します。

トップレベルの Azure Bastion アーキテクチャ

プレビューで利用できる主な機能には次のものが含まれます。

  • Azure portal からの RDP および SSH: シングルクリックのシームレスなエクスペリエンスにより、Azure portal 内で RDP および SSH のセッションを直接開始します。
  • SSL 経由のリモート セッションと RDP または SSH のファイアウォール トラバーサル: HTML5 ベースの Web クライアントは、ローカル デバイスに自動的にストリーミングされ、SSL 経由で RDP または SSH セッションをポート 443 に提供します。これにより、企業ファイアウォールを簡単かつ安全に通過できます。
  • Azure Virtual Machines にパブリック IP が不要: Azure Bastion は、プライベート IP を使用して Azure 仮想マシンへの RDP または SSH 接続を開くため、パブリック インターネットに対するインフラストラクチャの露出を抑えることができます。
  • 簡略化された安全なルール管理: ネットワーク セキュリティ グループ (NSG) を 1 回限り簡単に構成することで、Azure Bastion からのみ RDP または SSH を許可します。
  • ポート スキャンに対する保護の強化:パブリック インターネットに対する仮想マシンの露出を抑えることで、外部からのポート スキャンなどの脅威から保護します。
  • 一元的な強化によりゼロデイ悪用から保護: Azure Bastion は、Microsoft によって保守されるマネージド サービスです。既存の脆弱性に対して修正プログラムを自動適用して最新の状態を保つことにより、継続的に強化されます。

Azure Bastion – 今後の予定

他のあらゆる Azure ネットワーク サービスと同様、Microsoft は一般提供に向けて Azure Bastion を構築し、さらに多くの有用な機能を追加したいと考えています。

将来的には、Azure Active Directory 統合により、Azure Active Directory の ID と Azure Multi-Factor Authentication を使用したシームレスなシングルサインオン機能が追加され、2 要素認証が実質的に RDP または SSH 接続にまで広がることになります。また、Azure Bastion を使用して必要なクライアント アプリケーションから Azure Virtual Machines に安全に接続できるように、RDP または SSH のネイティブ クライアントのサポートも追加する予定です。同時に、セッション全体をビデオに記録して RDP セッションの監査エクスペリエンスも強化します。

ぜひ、Azure Bastion をお試しになり、フィードバックをお寄せください。