ジャンプサーバー(踏み台サーバー)は、重要なサーバーへの外部からの直接アクセスを防ぎ、一元的にアクセス管理が可能なため、現在も様々なシーンで利用されていると思います。しかし、攻撃者の標的となりやすく、一度侵入されると他のサーバーへのアクセスが容易になるというリスクもあります。これらの懸念点を踏まえ、より安全で効率的な代替サービスとして 「Azure Bastion」 をお勧めします。

Azure Bastion とは

Microsoft Azure が提供しているフル マネージド PaaS サービスで、Azure 仮想マシンに対する安全な RDP (Remote Desktop Protocol) および SSH (Secure Shell) 接続です。Azure Bastion を使用することで、仮想マシンにパブリック IP アドレスを設定せずに、プライベート IP アドレスを介して安全に接続することができます。

つまり Azure Bastion は、従来のジャンプ(踏み台)サーバーのフルマネージドサービスです。Azure Bastion を使用すると Azure Portal を介してブラウザから直接仮想マシンへアクセスすることが可能となります。

イメージ図

従来のジャンプサーバーとの違い

セキュリティ

  • パブリックIPアドレス不要
    仮想マシンに直接パブリックIPアドレスを割り当てる必要がありません。
  • TLS による保護
    RDP/SSH 接続は TLS で保護され、また、ポート自体を公開する必要がないため、ポートスキャンやゼロデイ攻撃からの保護が可能です。
  • Entra ID による認証
    Azure VM に接続する際に、Entra ID 認証を使用することができます。これにより、Azure ロールベースのアクセス制御や条件付きポリシーを適用することが可能となります。

利便性

  • ブラウザからの直接接続
    Azure Portal 経由でブラウザから直接仮想マシンに接続できるため、追加のクライアントソフトウェアが不要です。
  • シームレスな接続
    Azure Bastion は、シングルクリックでシームレスな RDP/SSH 接続を提供します。

管理

  • フルマネージドサービス
    Azure Bastion はフルマネージドサービスであり、サーバー管理が不要です。

これらの利点により、Azure Bastion は従来のジャンプサーバーに比べて、より安全で効率的な接続方法を提供します。

SKU別の機能

Azure Bastion では、複数の SKU レベルが提供されています。 次の表に、機能と対応する SKU を示します。

(※)セッションレコーディング
セッションレコーディングは、その機能を有効にした Azure Bastion 経由で仮想マシンに接続 (SSH, RDP) すると、仮想マシン接続後の操作を動画として記録できる機能です。動画ファイルは Azure Blob Storage に保存され、Azure Portal から確認することが可能です。
2024年8月現在、本機能は現在プレビュー状態です。

まとめ

Azure Bastion を活用していただくことで、従来のジャンプサーバーよりもセキュアに、多機能に仮想マシンへのアクセスができる環境を構築することが可能です。
Azure Bastion に限らず、Azure を使用して「こんなことできる?」などの思い付きがありましたら、ぜひお気軽にお問い合わせいただければ幸いです。