ある企業のセキュリティチームが、パブリック インターネットから Azure 仮想マシンへの RDP/SSH ポートを閉じたまま、管理者が安全にリモート接続できる環境を構築したい。パブリック IP を VM に付与せず、追加の VPN 構成も不要な方法はどれか。
- A. VM にパブリック IP を付与し、NSG で送信元 IP を管理者のみに絞る
- B. Azure Firewall の DNAT ルールで RDP トラフィックを VM に転送する
- C. Azure Bastion を使用してブラウザ経由の RDP/SSH セッションを提供する
- D. NSG インバウンドルールでRDPポート(3389)を特定IPからのみ許可する
解答と解説を見る
正解: C
Azure Bastion は Azure ポータルのブラウザから直接 RDP/SSH セッションを確立するマネージドサービスで、VM にパブリック IP を付与する必要がない。VPN や踏み台 VM の管理も不要で、ポート 3389/22 をインターネットに公開しないためセキュリティが大幅に向上する。選択肢Dは NSG で送信元を制限する方法だが、ポート 3389 をインターネットに開放すること自体がリスクであり、ブルートフォース攻撃やゼロデイ脆弱性の露出面が残る。選択肢Bの Azure Firewall DNAT は可能ではあるが、パブリック IP をFirewallに付与し内部転送するため追加構成が必要で、Bastion より複雑。選択肢AはVMにパブリックIPを付与するため、要件「パブリック IP を VM に付与しない」に反する。
📚 関連サービスの解説: Azure Bastion