Microsoftは「Azure Bastion」の「Standard」プランで、新機能「共有可能リンク」がパブリックプレビューとして利用可能になったことを発表しました。この機能を利用すると、任意のユーザーにAzureサブスクリプションへのアクセス許可を全く与えることなく、Azure仮想マシンへの安全な接続を提供できます。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
本連載の第180回で紹介したように、Azure仮想マシンにインターネット経由で接続する場合は、「リモートデスクトップサービス」やSSHサーバが備えるセキュリティ機能だけでは攻撃を受けるリスクがあるため、追加の対策を講じるべきです。
例えば、「リモートデスクトップ(RDP)接続」はRDP(Remote Desktop Protocol)自身に暗号化機能を備えてはいますが、認証は「ユーザー名」と「パスワード」というシンプルなもので、ブルートフォース攻撃に対して脆弱(ぜいじゃく)です。
上記記事の最後に紹介した「Azure Bastion」は、Microsoft Azure上の完全に閉じた仮想ネットワークでも利用可能な、Azure仮想マシンに対するRDPおよびSSH接続のゲートウェイとして機能する有料のマネージドサービスです。
Azure BastionをAzure上の仮想ネットワークにデプロイすると、仮想ネットワークとの境界のサブネットが作成され、ユーザーによる管理が全く必要のない「Bastinホスト」(要塞《ようさい》ホスト)がデプロイされて、実行状態になります。
ユーザーは「Azureポータル」に統合された(または別のウィンドウ/タブで開く)Webベースのリモートデスクトップ接続機能を用いて、安全にAzure仮想マシンにアクセスすることができます(画面1)。ローカルPC上のネイティブクライアントを使用してAzure Bastion経由で接続することもできます(Standard SKUのみ)。いずれの場合も、RDPやSSHのポートをインターネットに公開する必要は全くありません。
Azure Bastionの従来の方法によるアクセスには、ユーザーはAzureポータルにアクセスできる必要があります(ネイティブクライアントの場合は「az login」)。そのためには、Azureサブスクリプションのユーザーの資格情報や、必要なロールが割り当てられた「Azure Active Directory(Azure AD)」ユーザーの資格情報が必要です。
Copyright © ITmedia, Inc. All Rights Reserved.