PaaS 2.0のAzure Bastion
このページの翻訳はAIによって自動的に行われました。可能な限り正確な翻訳を心掛けていますが、原文と異なる表現や解釈が含まれる場合があります。正確で公式な情報については、必ず英語の原文をご参照ください。
Azure Bastionは、プライベートIPアドレスを介して仮想マシンを安全に接続するためにPaaS 2.0 Hub環境でプロビジョニングされるフル マネージド サービスです。パブリックIPアドレスを公開することなく、仮想マシンへの安全でシームレスなRemote Desktop Protocol (RDP) およびSecure Shell Protocol (SSH) 接続を提供し、エージェントや特別なクライアント ソフトウェアを必要としません。
建築
次の図は、ハブ環境の仮想マシンに接続するためにPaaS 2.0でAzure Bastionをホストしている方法を示しています。
セキュリティの強化
これらのセキュリティ強化は、PaaS 2.0のAzure Bastionエントリ ポイントに使用されるAzure仮想マシン リソースに適用されます。これらは、要求に応じて有効にできるWindows Defender Exploit GuardとFile Integrity Monitoringを除き、Hub環境の初期プロビジョニングに含まれています。
-
Azure ゲスト構成拡張機能を有効にする- ゲスト構成拡張機能を使用すると、仮想マシンの構成設定を監査できます。この機能により、Bastionサービスを通じてHub仮想ネットワーク経由で環境のリソースにアクセスするために使用される仮想マシンのSitecore監視機能が強化されます。
-
Windows VM の Azure Disk Encryption を有効にする- この構成では、仮想マシンのOSとデータ ディスクが暗号化されます。この機能により、Bastionの仮想マシンのセキュリティが強化され、顧客のデータ流出リスクが軽減されます。
-
Azure Update Manager を有効にする- この構成により、Bastionの仮想マシンでスケジュールされた自動パッチ適用プロセスが有効になります。この処理は、毎週水曜日の現地時間12:00 (仮想マシンの場所に基づく) に行われ、オプションNeverRebootが有効になります。ガバナンスとメンテナンスは、Azure Update Managerダッシュボードを介して、既存のすべての仮想マシンの統合サービスとして提供されます。詳細については、こちらをご覧ください。
-
仮想マシンへのEndpoint Protectionのインストールを有効にする - この設定は、ウイルス、スパイウェア、その他の悪意のあるソフトウェアから重要なアクセスポイントを保護することにより、仮想マシンの全体的なセキュリティ体制を強化するためのものです。これにより、脅威を早期に検出し、コンプライアンスを確保し、セキュリティ侵害のリスクを軽減できます。Microsoft Antimalwareは、リアルタイムの保護を提供するために、仮想マシンの拡張機能として追加されます。Microsoft Antimalwareの詳細については、こちらを参照してください。
-
仮想マシンで Windows Defender Exploit Guard を有効にする- この構成は、攻撃や脆弱性のリスクを軽減することで、仮想マシンのセキュリティ体制を強化するためのものです。Windows Defender Exploit Guardは、マルウェア、ランサムウェア、エクスプロイト手法、ネットワーク ベースの攻撃など、さまざまな種類の脅威から保護するように設計された一連のセキュリティ機能です。この設定の詳細については、こちらを参照してください。
大事なWindows Defender Exploit Guardは、初期プロビジョニング中は既定では有効になっていません。有効にする場合は、Sitecoreサポート チームにお問い合わせください。
-
仮想マシンでファイル整合性監視を有効にする - この構成は、重要なシステムおよびアプリケーション ファイル、ディレクトリ、および構成に対する変更を監視および追跡し、セキュリティ違反または侵害の可能性を示す可能性のある未承認または悪意のある変更を検出するためのものです。この設定の詳細については、こちらを参照してください。
大事なファイル整合性監視は、初期プロビジョニング中はデフォルトでは有効になっていません。有効にする場合は、Sitecoreサポート チームにお問い合わせください。