Azure仮想マシンへの接続がもっと簡単、安全に――Azure Bastionの“使える”新機能「共有可能リンク」とはMicrosoft Azure最新機能フォローアップ(184)

Microsoftは「Azure Bastion」の「Standard」プランで、新機能「共有可能リンク」がパブリックプレビューとして利用可能になったことを発表しました。この機能を利用すると、任意のユーザーにAzureサブスクリプションへのアクセス許可を全く与えることなく、Azure仮想マシンへの安全な接続を提供できます。

» 2022年12月05日 05時00分 公開
[山市良テクニカルライター]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

「Microsoft Azure最新機能フォローアップ」のインデックス

Microsoft Azure最新機能フォローアップ

Azure Bastionとは?

 本連載の第180回で紹介したように、Azure仮想マシンにインターネット経由で接続する場合は、「リモートデスクトップサービス」やSSHサーバが備えるセキュリティ機能だけでは攻撃を受けるリスクがあるため、追加の対策を講じるべきです。

 例えば、「リモートデスクトップ(RDP)接続」はRDP(Remote Desktop Protocol)自身に暗号化機能を備えてはいますが、認証は「ユーザー名」と「パスワード」というシンプルなもので、ブルートフォース攻撃に対して脆弱(ぜいじゃく)です。

 上記記事の最後に紹介した「Azure Bastion」は、Microsoft Azure上の完全に閉じた仮想ネットワークでも利用可能な、Azure仮想マシンに対するRDPおよびSSH接続のゲートウェイとして機能する有料のマネージドサービスです。

 Azure BastionをAzure上の仮想ネットワークにデプロイすると、仮想ネットワークとの境界のサブネットが作成され、ユーザーによる管理が全く必要のない「Bastinホスト」(要塞《ようさい》ホスト)がデプロイされて、実行状態になります。

 ユーザーは「Azureポータル」に統合された(または別のウィンドウ/タブで開く)Webベースのリモートデスクトップ接続機能を用いて、安全にAzure仮想マシンにアクセスすることができます(画面1)。ローカルPC上のネイティブクライアントを使用してAzure Bastion経由で接続することもできます(Standard SKUのみ)。いずれの場合も、RDPやSSHのポートをインターネットに公開する必要は全くありません。

画面1 画面1 Azure Bastionを利用すると、Azure仮想マシンのRDPやSSHポートをインターネットに公開することなく、ブラウザを使用してAzure仮想マシンに接続できる

Azureにログイン不要な「共有可能リンク」

 Azure Bastionの従来の方法によるアクセスには、ユーザーはAzureポータルにアクセスできる必要があります(ネイティブクライアントの場合は「az login」)。そのためには、Azureサブスクリプションのユーザーの資格情報や、必要なロールが割り当てられた「Azure Active Directory(Azure AD)」ユーザーの資格情報が必要です。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。