BLOGAzureブログ

Azure Bastionとネイティブクライアント接続機能を使ってAzure VMをセキュアに管理

2022.09.29

クラウドサーバーご検討中の方必見 お役立ち資料一覧

皆さまこんにちは。SB C&Sの井上です。
今回はAzure Bastionとネイティブクライアント接続機能を使ってAzure VMをセキュアに管理する方法をご紹介します。

AzureではVMにリモート接続する際にパブリックIPアドレス経由で接続することはセキュリティ的に推奨されておらず、VPNやExpressRoute、Jumpboxなどを利用してプライベートIPアドレス経由で接続することが推奨されています。このためAzureでは、Azure VMにリモート接続する際のマネージドJumpboxサービスである「Azure Bastion」というサービスが提供されています。Azure Bastionを利用すると、VMにパブリックIPアドレスを付与せずにTLS経由でAzure Portalから直接VMに安全にRDP/SSH接続することができます。
しかし従来のAzure BastionではAzure Portal経由の接続となり、ブラウザからの利用のみで、WindowsのRDPクライアントなどでAzure VMに接続することができませんでした。

今回ご紹介するネイティブクライアント接続機能を使うと、WindowsのRDPクライアントを利用して接続したVMと同じ使用感でリモート接続することができ、従来のAzure Portal経由のブラウザ接続では対応していなかったVMへのファイルの直接アップロード/ダウンロードもできるようになります。

1.Azure Bastionとは

Azure Bastionは、ブラウザとAzure Portalを使用してAzure仮想マシンにセキュアにアクセスできるマネージドJumpboxサービスです。
通常のAzure仮想マシンへのRDPやSSH接続は、VPNなどの構成をしていない限りはインターネット経由でVMのパブリックIPアドレスに接続することになり、仮想マシンのポートを外部に公開してしまうため、不正アクセスの危険性があります。
これを防ぐためにAzure仮想マシンでJumpbox VMを構成してプライベートIPアドレスでアクセスする方法が推奨されていましたが、システムに必要な仮想マシンに加えてJumpbox VMの管理も必要になるため、管理負荷が増えてしまうのが難点でした。
Azure Bastionを利用すると、トランスポート層セキュリティ(TLS)経由でAzure PortalからAzure仮想マシンへのセキュアなリモート接続を利用でき、さらにAzure Bastionはマネージドサービスなので管理負荷の増加もほとんどなく、簡単にリモート接続を保護することができます。

basion1.png

また、Azure Bastionは通常Azure Portalからブラウザを経由してAzure仮想マシンにリモート接続するため、仮想マシンにファイルをアップロード/ダウンロードすることができませんでしたが、Azure Bastionのネイティブクライアント接続機能を利用することで、ローカルコンピューター上のネイティブクライアント(RDP/SSH)を使用してBastion経由でAzure仮想マシンに接続することができ、RDPの場合はファイルのアプロードとダウンロード、SSHの場合はファイルのアップロードが可能になりました。

今回の記事ではAzure Bastionのデプロイ方法や、RDP接続を使用したネイティブクライアント接続方法などを実際の画面もふまえてご紹介します。なお、Azure Bastionのネイティブクライアント接続を利用するためには、「Azure Bastion Standard SKU」が必要になります。Basic SKUとStandard SKUの機能の違いは以下の表をご確認ください。

basion2.png

2.前提条件

Azure Bastionを利用するためには以下の前提条件を満たしている必要があります。

  • [AzureBastionSubnet]という名前のサブネットを含むVNet
  • 上記VNet内のAzure VM
  • 下記のVMロール
    ・仮想マシンの閲覧者ロール
    ・仮想マシンのNICの閲覧者ロール
  • Azure VMのNICまたはサブネットに関連付けられたNSGの受信ポート開放
    ・Windows VMの場合: RDP(3389)
    ・Linux VMの場合: SSH(22)

また、Azure Bastionのネイティブクライアント経由接続機能を利用するためには、上記の前提条件に加えて以下の条件も満たしている必要があります。

  • Azure CLI(バージョン2.32以降)がインストールされたローカル端末
  • Azure Bastion Standard SKU

3.Azure Basion デプロイ方法

Azure Bastionは新規VNet作成時に同時に作成するか、既存のVNetにデプロイすることもできます。まずは新規VNet作成時にAzure Bastionを同時に作成する方法をご紹介します。

Azure Basionを新規VNetに作成する方法

  • Azure BastionをデプロイするVNetを作成し、アドレス範囲などを入力
  • [セキュリティ]タブで[Bastion Host]を有効化
  • VNetをデプロイ
  • デプロイしたVNetにVMをデプロイ
  • Azure Bastion経由でVMに接続
1. Azure BastionをデプロイするVNetを作成し、アドレス範囲などを入力

Azure BastionをデプロイするVNetをAzure Portalから作成し、インスタンスの詳細やIPアドレス範囲を入力します。

basion3.png

Azure BastionをデプロイするVNetをAzure Portalから作成し、インスタンスの詳細やIPアドレス範囲を入力します。

basion4.png

2. [セキュリティ]タブで[Bastion Host]を有効化

任意のBastion名を付け、[AzureBastionSubnetのアドレス空間]に、1.で設定したVNetのアドレス空間に含まれるアドレス範囲を指定します。(AzureBastionSubnetのサブネットマスクは、/26以上を指定してください。)
また、パブリックIPアドレスは新規作成するか、既存のものを指定します。

basion5.png

3. VNetをデプロイ

設定値を確認してVNetをデプロイします。

basion6.png

4. デプロイしたVNetにVMをデプロイ

3.でデプロイしたVNet内にVMをデプロイします。Azure Bastionを利用する場合はVMにパブリックIPアドレスを付ける必要がないため、パブリックIPなしで作成します。

basion7.png

5. Azure Bastion経由でVMに接続

Azure Bastion経由でVMに接続するには、Azure PortalのVMページから[接続] > [Bastion]をクリックし、VMの資格情報を入力して接続します。

basion8.png

basion9.png

Azure Basionを既存のVNetにデプロイする方法

次に、既存のVNetにAzure Bastionをデプロイする方法をご紹介します。

  • Azure Bastionをデプロイする既存のVNetに[AzureBastionSubnet]という名前のサブネットを作成
  • Azure Bastionを作成し、各パラメーターを入力
  • Azure Bastionの機能を選択してデプロイ
  • デプロイしたAzure Bastionが含まれるVNetにVMをデプロイ
  • Azure Bastion経由でVMに接続
1. Azure Bastionをデプロイする既存のVNetに[AzureBastionSubnet]という名前のサブネットを作成

Azure Bastionをデプロイする既存のVNetページに移動し、サブネットタブの[+サブネット]をクリックし、[AzureBastionSubnet]という名前のサブネットを作成します。(AzureBastionSubnetのサブネットマスクは、/26以上を指定してください。)

basion10.png

2. Azure Bastionを作成し、各パラメーターを入力

Azure Bastionリソースを作成し、各パラメーターを入力します。
レベルはBasicかStandardから選択し、インスタンス数はAzure Bastion経由で同時接続するVMの台数によって任意に設定します。(1インスタンスごとに25の同時RDP接続と50の同時SSH接続をサポート)
また、仮想ネットワークでは1.でAzureBastionSubnetを追加したVNetを選択します。

basion11.png

3. Azure Bastionの機能を選択してデプロイ

Azure Bastionの各種機能の有効化/無効化を選択します。これらの機能はデプロイ後もAzure Bastionページから選択することができます。

basion12.png

basion13.png

4. デプロイしたAzure Bastionが含まれるVNetにVMをデプロイ

3.でデプロイしたAzure Bastionが含まれるVNet内にVMをデプロイします。Azure Bastionを利用する場合はVMにパブリックIPアドレスを付ける必要がないため、パブリックIPなしで作成します。
また、VNet内の既存のVMにAzure Bastion経由で接続する場合は、VMのパブリックIPアドレスは不要のため、VMページで削除します。

basion14.png

5. Azure Bastion経由でVMに接続

Azure Bastion経由でVMに接続するには、Azure PortalのVMページから[接続] > [Bastion]をクリックし、VMの資格情報を入力して接続します。

basion15.png

basion16.png

4.Azure Bastionネイティブクライアント接続方法

Azure Bastionは通常Azure Portalからブラウザを経由してAzure仮想マシンにリモート接続するため、仮想マシンにファイルをアップロード/ダウンロードすることができませんが、Azure Bastionのネイティブクライアント接続機能を利用するとローカルコンピューター上のネイティブクライアント(RDP/SSH)を使用してBastion経由でAzure仮想マシンに接続することができ、RDPの場合はファイルのアプロードとダウンロード、SSHの場合はファイルのアップロードが可能になります。

今回はネイティブクライアント接続機能を利用してRDPでVMに接続する方法をご紹介します。

1. Azure BastionのSKUを[Standard]に変更し、[ネイティブクライアントサポート]を有効化

Azure Bastionのネイティブクライアント接続機能はStandard SKUでサポートされるため、Basicの場合はStandardに変更します。また、ネイティブクライアント接続を行うために、Bastion機能の[ネイティブクライアントサポート]を有効化します。

basion17.png

2. Azureアカウントにサインイン

Azure CLI(バージョン2.32以降)がインストールされたローカル端末でPowerShellを開き、[az login]コマンドを実行します。

basion18.png

自動的にブラウザが開くので、サインインするアカウントを選択します。

basion19.png

basion20.png

3. Bastion経由での接続コマンドを使用してVMに接続

以下コマンドを実行してVMに接続します。
[az network bastion rdp --name "<Azure Bastionのリソース名>" --resource-group "<リソースグループ名>" --target-resource-id "<VMのリソースID>"

basion21.png

VMの資格情報を入力して接続します。

basion22.png

basion23.png

5.まとめ

今回はAzure VMにリモート接続する際のマネージドJumpboxサービスであるAzure Bastionの概要と作成方法、Azure Bastion Standard SKUで利用可能なネイティブクライアント接続機能についてご紹介しました。

Azure Bastionを利用すると、VMにパブリックIPアドレスを付与せずにTLS経由でAzure Portalから直接VMに安全にRDP/SSH接続することができます。
また、Bastion機能のネイティブクライアント接続を使うと、WindowsのRDPクライアントを利用して接続したVMと同じ使用感でリモート接続することができ、通常のAzure Bastionの接続方法であるAzure Portal経由のブラウザ接続では対応していなかったVMへのファイルの直接アップロード/ダウンロードもできるようになります。

VPN GatewayやExpressRouteを構成していない環境でAzure VMにリモート接続する場合は、Azure Bastionを使用してプライベートIPアドレス経由で安全にリモート接続することが推奨されているので、Azure VM管理を行う際にはぜひAzure Bastionをご活用ください。

最後までお読みいただき、ありがとうございます。

利用方法やユースケースなど、Azureに関してご不明な点がございましたら、ぜひお気軽に Azure相談センター までお問い合わせください。
Azure に精通したスタッフが丁寧にご回答いたします。

著者紹介:SB C&S 井上 雄貴

  【 著者紹介 】
  井上 雄貴
  ・Azure Solutions Architect Expert
  ・JDLA Deep Lerning for ENGINEER 2019 #1
  SB C&S株式会社 技術統括部 第1技術部 2課

 

Azureの導入や運用に関するお悩みは SoftBankグループのSB C&Sにご相談ください

SoftBankグループのSB C&Sは、さまざまな分野のエキスパート企業との協力なパートナーシップによって、多岐にわたるAzure関連ソリューションをご提供しています。

「Azureのサービスを提供している企業が多すぎて、どの企業が自社にベストか分からない」
「Azure導入のメリット・デメリットを知りたい」
「Azureがどういう課題を解決してくれるのか知りたい」
など、Azureに関するお悩みならお気軽にお問い合わせください。
中立的な立場で、貴社に最適なソリューションをご提案いたします。

クラウドサーバーご検討中の方必見
お役立ち資料一覧

クラウドサーバーご検討中の方必見 お役立ち資料一覧
  • クラウドサーバーの導入を検討しているがオンプレミスとどう違うのか
  • AWSとAzureの違いについて知りたい
  • そもそもAzureについて基礎から知りたい
  • 今、話題の「WVD」って何?

そのようなお悩みはありませんか?
Azure相談センターでは、上記のようなお悩みを解決する
ダウンロード資料を豊富にご用意しています。
是非、ご覧ください。

Azureの導入・運用に役立つ資料を
無料でダウンロードしていただけますDOWNLOAD

オンプレミスからクラウドへの移行を検討している方のために、安心・スムーズな移行を実現する方法を解説し、
運用コストの削減に有効な「リザーブドインスタンス」もご紹介するホワイトペーパーです。

Azureのことなら、
SB C&Sにご相談を!

導入から活用まで専門スタッフが回答いたします。
お気軽にお問い合わせください。