Azure Bastionとは
Azure BastionはブラウザベースのマネージドSSH/RDPサービスで、VMのパブリックIPアドレスを持たずにAzure Portalから安全にVMへアクセスできる。VMに直接パブリックIPを付与しないため、インターネットからの直接攻撃にさらされるリスクを排除できる。
Bastionは専用サブネット(AzureBastionSubnetという名称が必須)にデプロイし、VNet内のVMにプライベート接続する。クライアントへのエージェントインストールが不要で、Webブラウザのみで操作できる。
試験での問われ方
『VMにパブリックIPが不要でも安全にRDP/SSHできる方法』という問いでBastionが正解になる。AZ-104やSC-900では「ジャストインタイム(JIT)VMアクセス」(Microsoft Defender for Cloudの機能)との組み合わせも出題される。JITはNSGルールを必要時のみ開けるもので、Bastionはパブリックリファレンスを持たずに接続するための別機能という区別が重要だ。
このサービスが登場する演習問題(3問)
- 【SC-900】ある企業のセキュリティチームが、パブリック インターネットから Azure 仮想マシンへの RDP/SSH ポートを閉じ…
- 【SC-900】ある企業が Azure 上にハイブリッド環境を構成しており、オンプレミスのサーバーとAzure VMの両方を管理者が安全…
- 【AZ-104】ある企業のセキュリティポリシーでは、インターネットからVMへの直接RDP接続(ポート3389)を禁止している。管理者が最…