ある企業のセキュリティポリシーでは、インターネットからVMへの直接RDP接続(ポート3389)を禁止している。管理者が最小限の追加コスト・追加コンポーネントで安全にAzure VM(Windows)に接続したい。最も適切なソリューションはどれか。
- A. Azure Bastionを展開し、ブラウザベースのRDP/SSHをポートレスで提供する
- B. Just-In-Time(JIT)VMアクセスを有効にしてRDPポートを動的に開放する
- C. パブリックIPアドレスを割り当てたうえでNSGでRDPを許可し、IP制限をかける
- D. Azure VPN Gatewayでサイト間VPNを構成してからRDP接続する
解答と解説を見る
正解: A
Azure Bastionはブラウザ(Azure Portal)から直接RDPまたはSSH接続を提供するマネージドサービスで、VMにパブリックIPアドレスを割り当てる必要がなく、インターネットへのポート3389の露出を完全に排除できる。選択肢CはパブリックIPとNSGのIP制限による対策だが、依然としてインターネットにRDPポートが公開されることになりポリシー違反となる。選択肢DのVPN Gatewayは有効だが、VPN Gatewayの展開コストやオンプレミス機器との接続が必要で「最小限の追加コスト」という要件に対しては過剰である。選択肢BのJIT VMアクセスはMicrosoft Defender for Cloudの機能で有効だが、JIT自体は一時的なNSGルール開放であり、ポート3389がインターネットに一時的に公開される点でポリシーに完全準拠しているとは言えない。
📚 関連サービスの解説: Azure Bastion