プライベートIPしか持たないBastionが構成できるようになりました!

この記事の内容

  • Azure Bastionに「プライベートオンリー」モードが登場し、パブリックIPなしで利用できるようになりました
  • プレミアムSKUの新機能として、プライベートエンドポイント対応が実現しています
  • グラフィカルセッションレコーディングと組み合わせることで、よりセキュアな運用が可能になります
  • 利用には ExpressRoute(プライベートピアリング)またはVPNゲートウェイによるオンプレミス接続が必要です
  • 現時点では新規作成時のみ選択可能で、既存のBastionへの後付けはできません

Azure Bastionとは

Azure Bastionは、仮想マシン(VM)のIPアドレスを外部に公開せずに、RDPやSSH接続を安全に行うためのサービスです。従来はAzureポータルからインターネット経由でアクセスする際の踏み台として機能しており、パブリックIPアドレスを持つことが当たり前でした。

画面転送のみを行う仕組みにより、VMのIPアドレスをインターネットに晒すことなくリモート操作ができる点が大きな特徴です。

プライベートオンリーBastionとは

今回登場した「プライベートオンリーBastion」とは、簡単に言えば BastionにプライベートエンドポイントのIPのみを付与する 機能です。

従来のBastionはパブリックIPを持ち、インターネット側からのアクセスを受け付けていましたが、プライベートオンリーBastionではBastionの足が内部ネットワークのみに限定されます。つまり、パブリックIPを持たず、内部ネットワークからのみアクセスできる構成になります。

どのような場面で役立つのか

セキュアな環境へのニーズが高まる中、プライベートエンドポイント対応への需要が増してきました。プライベートオンリーBastionが特に有効なのは、次のようなシナリオです。

  • VMへの操作を必ず録画・記録しておきたい場合
    グラフィカルセッションレコーディング機能と組み合わせることで、社内ネットワークからのアクセスであっても必ずBastion経由で録画を行う運用が実現できます。

  • インターネットはもちろん、社内ネットワークからもVMに直接アクセスさせたくない場合
    Bastion経由のアクセスのみを許可することで、内部の人間からもVMのIPアドレスを隠したまま運用できます。

Bastionを作成するとパブリックIPが生成されてしまうことを懸念していた組織にとって、この機能は待望のアップデートと言えるでしょう。

利用条件と注意点

プライベートオンリーBastionを利用するにあたっては、いくつかの条件があります。

プレミアムSKU限定

プライベートオンリーBastionは プレミアムSKUのみ で利用できる機能です。グラフィカルセッションレコーディングも同様にプレミアムSKUの機能です。

新規作成時のみ選択可能

現時点では、新しくBastionを作成する際にのみ プライベートIPアドレスオプションを選択できます。既存のBastionに対してプライベートエンドポイントを後から追加することはまだできません。将来的には対応予定と考えられますが、現状では新規作成が前提となります。

オンプレミスからの接続経路が必要

プライベートオンリーBastionにアクセスするためには、以下のいずれかの接続経路が必要です。

  • ExpressRoute(プライベートピアリング):オンプレミスからプライベートIPで専用接続する
  • VPNゲートウェイ:オンプレミスとAzure間のVPN接続を確立する

内部ネットワークからのみアクセスできる構成になるため、オンプレミスとAzureを繋ぐプライベートな経路がなければ、実質的に利用できないソリューションとなります。

設定方法

Bastionの作成画面で、IPアドレスの設定オプションを選択する箇所があります。

「Configure IP address」 の項目で以下のいずれかを選べます。

  • Public IP address(従来の設定)
  • Private IP address(プライベートオンリー)

ここで 「Private IP address」 を選択することで、パブリックIPを持たないプライベートオンリーなBastionが展開されます。

まとめ

Azure BastionのプレミアムSKUに「プライベートオンリー」モードが追加され、パブリックIPを持たないBastion構成が可能になりました。グラフィカルセッションレコーディングとの組み合わせにより、内部ネットワークからのアクセスであっても必ずBastion経由で録画を行う、よりセキュアな運用体制を構築できます。

この機能は「言われてみれば欲しかった」という性質のものであり、すべての組織に必須というわけではありませんが、特にセキュリティ要件が厳しい組織や、VM操作の完全な記録・監査を求める環境には非常に有用な選択肢です。

現時点では新規作成時のみ対応・プレミアムSKU限定という制約はありますが、ExpressRouteやVPNゲートウェイでオンプレミスと接続している環境をお持ちの方は、ぜひ検討してみてください。