Azure Bastion を使用する場合

このユニットでは、Azure Bastion の使用方法について説明し、リモート VM に安全に接続する際の適切な選択肢かどうかを判断します。 次の条件に基づいて Azure Bastion を評価します。

• セキュリティ
• 簡単な管理
• 他のアプリとの統合

管理者は、VM やその VM にインストールされているアプリなど、組織の Azure リソースの管理とメンテナンスに、リモート管理を利用する必要があります。 インターネットに公開せずに、これらのリソースやアプリに安全に接続できるよう考慮することが重要です。 Azure Bastion を使用すると、管理ポートをインターネットに公開せずに、ホストされている VM にリモート接続し、それを管理することができます。 ただし、一部の管理者はジャンプ サーバーを使用してこの要件に対処しています。ジャンプ ボックスとも言います。 このユニットでは、セキュリティで保護されたリモート管理アクセスを提供する方法として、ジャンプ ボックスの代わりに Azure Bastion を使用できるかどうかを判断します。

一般的なジャンプ ボックスのシナリオでは、次のようになります。

• 組織の VM は、プライベート IP アドレスのみを使用して構成され、インターネットから直接アクセスすることはできません。
• ジャンプ ボックスは、管理者が RDP および SSH を使用してリモート管理する VM と同じ仮想ネットワークにデプロイされます。
• NSG によってインターネット、ジャンプ ボックス、ターゲット VM の間のネットワーク トラフィック フローが管理されます。
• 管理者は、パブリック IP を使用して RDP でジャンプ ボックスに接続します。

ジャンプ ボックスはサーバーのオペレーティング システムを実行している VM なので、次の操作を行う必要があります。

• パッチなどの更新プログラムを使用して、VM を最新の状態に保ちます。
• ジャンプ ボックスとターゲット VM の間の仮想ネットワーク内のトラフィック フローをセキュリティで保護するために、適切な NSG を構成します。

意思決定の基準

ジャンプ ボックスまたは Azure Bastion が組織の Azure リソースをリモートで管理する最適なオプションかどうかを判断するには、セキュリティ、管理の容易さ、統合などの基準を検討してください。 ここでは、これらの条件の分析について説明します。

基準を適用する

Azure Bastion は、ホストされている VM の安全なリモート管理を可能にするという主な目標に対応しています。 管理サービスとして、Azure Bastion を更新したり、NSG および関連設定を手動で構成したりする必要はありません。 Azure Bastion は、Azure でホストされる VM の安全なリモート管理を実現できる最適なソリューションです。

Azure でホストされるリモート VM がある場合は、Azure Bastion の使用を検討してください。

• これらの VM には、RDP/SSH を使用して接続する必要があります。
• これらのリモート VM に接続する方法を維持する必要はありません。
• リモート管理を有効にする NSG の設定を構成する必要はありません。
• ジャンプ ボックスの使用を避ける必要があります。

デプロイする Azure Bastion ホストの数を決定するときは、仮想ネットワーク (またはピアリングされた仮想ネットワーク) ごとに 1 つ必要と考えてください。 VM ごと、またはサブネットごとに Azure Bastion をデプロイする必要はありません。