現地時間の2025年12月3日、ウェブサイトに無料でTLS証明書を発行しているLet's Encryptが、発行する証明書の有効期限を90日から短縮することを発表しました。有効期限は2028年までに少しずつ減少していき、最終的に45日となる予定です。
TLSおよびコード署名にX.509電子証明書を使用する認証局やインターネットブラウザベンダー、その他のアプリケーション提供者からなる業界団体のCA/Browser Forumが規定するベースライン要件は、Let's Encryptが順守すべき技術要件を定めるものでもあります。
このベースライン要件に基づき、Let's Encryptは業界全体と連携し、証明書の有効期限を2028年までに45日まで短縮すると発表しました。
また、証明書の有効期間が短くなるため、「証明書を手動で更新することはお勧めしません」とLet's Encryptは記しています。また、証明書が予定通りに更新されない場合に適切なアラートを発するために、システムに十分な監視機能が搭載されていることを確認することを推奨しました。
証明書の自動発行において最も難しいのはドメイン制御の証明です。証明書の有効期間と認証再利用期間を短縮することで、ユーザーはより頻繁に制御を証明する必要が出てきます。
記事作成時点で使用されているすべての検証方法は、ACMEクライアントがユーザーのインフラストラクチャにリアルタイムでアクセスできる必要があります。そのため、長年にわたって機密性の高いシステムへのアクセスを許可せずにACMEクライアントを実行する方法が求められてきました。
そこで、Let's EncryptはCA/Browser ForumやIETFのパートナー企業と協力し、DNS-PERSIST-01と呼ばれる新しい検証方式の標準化に取り組んでいます。DNS-PERSIST-01は制御を証明するために使用されるDNS TXTエントリを、更新のたびに変更する必要がないという点で優秀です。
⇧ う~む...、「保守・運用」の負担を減らすためには、「自動更新」の仕組みを導入する必要がありますが、管理する「マシン」が多いと、「更新」を「自動化」できたとしても、処理に時間がかかりそうですな...
Azure BastionのSKU(Stock keeping Unit)の比較表からDeveloper SKUが無くなっているんだが...
いつものことながら、「ユーザー(利用者)」を蔑ろにし続ける「Microsoft」ですが、公式のドキュメントを改悪してくれましたと...
過去、
⇧ 上記の記事を投稿した時、2025年2月8日(土)時点では、「Azure Bastion」の「SKU(Stock keeping Unit)」の比較表には、
- Developer SKU
- Basic SKU
- Standard SKU
- Premium SKU
の4つの「SKU(Stock keeping Unit)」について、「機能」の「対応可否」が記載されていたのだが、
⇧ 勝手に比較表から無いことにしてくれていらっしゃる...
本当に、「Microsoft」は毎度毎度、理解不能なぐらいに「ユーザーエクスペリエンス(UX:User eXperience)」を損なうことばかりしてくれるのよな...
■左:2025年2月8日(土)時点
■右:2025年12月3日(水)時点
⇧「機能」は全く変わっていないっぽい。
2025年2月8日(土)時点の時の内容を元に「Azure Bastion」の「SKU(Stock keeping Unit)」の比較表を完成させてみる。
■「Azure Bastion」の「SKU(Stock keeping Unit)」の比較表
| No | 機能 | Developer SKU | Basic SKU | Standard SKU | Premium SKU |
|---|---|---|---|---|---|
| 1 | 同じ仮想ネットワーク内のターゲット VM に接続する Connect to target VMs in same virtual network |
✅ | ✅ | ✅ | ✅ |
| 2 | ピアリングされた仮想ネットワーク内のターゲット VM に接続する Connect to target VMs in peered virtual networks |
✖ | ✅ | ✅ | ✅ |
| 3 | コンカレント接続のサポート Support for concurrent connections |
✖ | ✅ | ✅ | ✅ |
| 4 | Azure Key Vault (AKV) で Linux VM のプライベート キーにアクセスする Access Linux VM Private Keys in Azure Key Vault (AKV) |
✅ | ✅ | ✅ | ✅ |
| 5 | SSH を使用した Linux VM への接続 Connect to Linux VM using SSH |
✅ | ✅ | ✅ | ✅ |
| 6 | RDP を使用した Windows VM への接続 Connect to Windows VM using RDP |
✅ | ✅ | ✅ | ✅ |
| 7 | RDP を使用した Linux VM への接続 Connect to Linux VM using RDP |
✖ | ✖ | ✅ | ✅ |
| 8 | SSH を使用した Windows VM への接続 Connect to Windows VM using SSH |
✖ | ✖ | ✅ | ✅ |
| 9 | カスタム受信ポートの指定 Specify custom inbound port |
✖ | ✖ | ✅ | ✅ |
| 10 | Azure CLI を使用して VM に接続する Connect to VMs using Azure CLI |
✖ | ✖ | ✅ | ✅ |
| 11 | ホストのスケーリング Host scaling |
✖ | ✖ | ✅ | ✅ |
| 12 | ファイルのアップロードまたはダウンロード Upload or download files |
✖ | ✖ | ✅ | ✅ |
| 13 | Kerberos 認証 Kerberos authentication |
✖ | ✅ | ✅ | ✅ |
| 14 | 共有可能リンク Shareable link |
✖ | ✖ | ✅ | ✅ |
| 15 | IP アドレスを使用して VM に接続する Connect to VMs via IP address |
✖ | ✖ | ✅ | ✅ |
| 16 | VM オーディオ出力 VM audio output |
✅ | ✅ | ✅ | ✅ |
| 17 | コピー/貼り付けを無効にする (Web ベースのクライアント) Disable copy/paste (web-based clients) |
✖ | ✖ | ✅ | ✅ |
| 18 | セッションの記録 Session recording |
✖ | ✖ | ✖ | ✅ |
| 19 | プライベート専用のデプロイ Private-only deployment |
✖ | ✖ | ✖ | ✅ |
「Azure Bastion」の「Developer SKU」は「無料」で利用できるらしいのだが、致命的なのが、「コンカレント接続のサポート(Support for concurrent connections)」に対応していないという...
「Google」の「翻訳」では、「同時接続」と訳されましたと。
「コンカレント接続のサポート(Support for concurrent connections)」に対応していないというから、「複数人」が同時に作業ができないということですな...
「Azure Bastion」の「Developer SKU」の「接続」について、
- 先勝ち(先に接続していた人が優先される)
- 後勝ち(後に接続した人が優先される)
のどちらになるのかが分からないのだが、「複数人」が「接続」の必要な作業をするタイミングが重なった場合、「接続」が安定しないことになってしまいますと...
ちなみに、
Bastion Developer SKU は、無料の軽量 SKU です。 この SKU は、追加の Bastion 機能やホストのスケーリングが不要で、自分の VM に安全に接続したい Dev/Test ユーザーに最適です。 Developer SKU を使用すると、仮想マシンの接続ページから一度に 1 つの Azure VM に直接接続できます。
https://learn.microsoft.com/ja-jp/azure/bastion/design-architecture
Developer SKU bastion リソースは専用ではないので、Developer SKU の機能は制限されています。 SKU 別の機能については、Bastion 構成設定の「SKU」セクションを参照してください。 より多くの機能のサポートが必要な場合は、いつでも Developer SKU を上位の SKU にアップグレードできます。 SKU のアップグレードに関するページを参照してください。
https://learn.microsoft.com/ja-jp/azure/bastion/design-architecture
⇧ とあるのだが、「制限」についての詳細が記載されていないのよ...
「仮想ネットワーク」内に1台しか「Azure Bastion」の「Developer SKU」をデプロイできないとなると、使い勝手が悪過ぎる気がするんだが、「無料」と考えると致し方ないということなんですかね...
何か、「Azure」環境に対して、「仮想プライベートネットワーク(VPN:Virtual Private Network)」を構築して、「Azure Bastion」を経由しないで、直接、「Azure Virtual Machine」に接続した場合、「コスト」的には安くなるんだろうか?
「複数人」での作業が発生する場合、選択肢としては、
- 踏み台サーバーを経由する
- 「Developer SKU」以外の「Azure Bastion」を構築する
- 「踏み台サーバー」用の「Azure Virtual Machine」を構築する
- 踏み台サーバーを経由しない
- 「Azure」環境との「仮想プライベートネットワーク(VPN:Virtual Private Network)」を構築する
あたりになって来るんかね?
流石に「Azure ExpressRoute」とかは、割高過ぎて導入できない気がしますしな...
後は、
⇧「ゼロトラスト(zero trust)」の仕組みを構築するという方針もあるとは思いますが、管理する「デバイス」が多いと、環境構築が大変そうな気がするんよね...
そもそも、「開発」では、「モバイル」ではなく「PC」をメインに利用すると思いますからな...
概要 - ゼロ トラストの原則を Azure ネットワークに適用する
この一連の記事は、ゼロ トラストの原則を、多分野にわたるアプローチに基づいて、Microsoft Azure のネットワーク インフラストラクチャに適用するのに役立ちます。 ゼロ トラストはセキュリティ戦略です。
https://learn.microsoft.com/ja-jp/security/zero-trust/azure-networking-overview
これは、製品やサービスではなく、次の一連のセキュリティ原則を設計および実装する方法です。
- 明示的に検証する
- 最小限の特権アクセスを使用する
- 侵害を想定する
https://learn.microsoft.com/ja-jp/security/zero-trust/azure-networking-overview
"侵害を想定し、決して信頼せず、常に検証する" というゼロ トラスト マインドセットの実装には、クラウド ネットワーク インフラストラクチャ、デプロイ戦略、実装の変更が必要です。
https://learn.microsoft.com/ja-jp/security/zero-trust/azure-networking-overview
⇧ 具体的な適用範囲の領域や方式の分類の整理と構築方法をお願いしたいお気持ち...
とりあえず、「Azure Bastion」の「Developer SKU」については、非常に残念な「仕様」ではあるのだが、公式のドキュメントには、詳細を記載してもらわないと困るのよね...
一次情報の意味が無くなってしまうからね...
毎度モヤモヤ感が半端ない…
今回はこのへんで。
