Alibaba Cloud Bastionhost を紹介する

Alibaba Cloud Bastionhost を紹介します。 Microsoft Azure の Bastion は利用した経験があるのですが、Alibaba Cloud では初めてです。 習うより慣れろということで実際に購入し出来ることを確認しようと考えていたのですが、今現在対応するリージョンに Tokyo は含まれていないこと、最低利用時のコストが 400 USD / 月 と相当なものだったため、Bastionhost の概要と購入時のコスト要素の説明までの紹介となります。 また Azure Bastion との比較も表にまとめました。 一見高額に見えるAlibaba Cloud Bastionhost ですが実運用を見据えた機能の充実ぶりにかなりお勧めのプロダクトとなりそうです。

Alibaba Cloud Bastionhost とは?

公式サイトのURLはこちら。 日本語のページは未提供。

Bastionhost の役割は Alibaba Cloud 上に構築したシステムへ外部からアクセスする際の中継ポイントです。 Bastion は要塞の意味を持ちますが、Alibaba Cloud がセキュリティ対策を施しかつ維持した中継ポイントをマネージドサービスとして提供するということです。 Bastion を用いることでシステムをインターネットに直接さらす必要性をなくすことが可能となります。

文字だけの説明だとイメージが掴めないと思います。 上のページの下の方に Bastionhost を使う場合と使わない場合を図があったのでそれで説明します。

Without Bastionhost

まずはBastionhost を利用しない場合です。 運用管理を担当する5名のユーザがいますが、左の2名は@home と@coffebar からインターネット経由でAlibaba Cloud のシステムに接続をしています。 右の3名はオフィスからのアクセスです。 インターネット経由とオフィス経由という2つの接続経路の維持管理が必要となること、インターネットからの直接接続を許すことによるセキュリティリスクの課題があると言えます。

https://www.alibabacloud.com/product/bastionhost

With Bastionhost

Bastionhost を用いたケースです。 インターネット経由でもオフィス経由でもすべての運用管理担当者は Bastionhost を経由する必要があります。 システムへの接続先を一元化できること、また運用管理やログ管理を単純化することがBastionhost を利用するメリットとなります。

https://www.alibabacloud.com/product/bastionhost

Bastionhost の購入の流れ

Bastionhost の画面にアクセスし購入画面に進みます。 

その前に最近、Alibaba Cloud のコンソールのUI が変更されたことに触れます。  5つほどタイプを選べるのですが以下の感じです。 以前のトップ画面はプロダクトが一覧されているだけでしたが、新しいインターフェースではダッシュボードとして機能します。 Resource 使用量で警告を出したり、Security Center の情報もこの画面で確認できます。 右側にはProducts Updates の情報や Webinar やVideo のおすすめ情報などもまとまっています。 エンドユーザ視点の中々良い変更だと感じました。

以下は変更前のインターフェースです。Products と Services がカテゴリごとにすべて表示されます。

以前のUI であればトップ画面から使いたいProducts なり Services を見つけてクリックしました。 新しいUI では検索を使うのがお勧めです。

上部の検索用テキストボックスに使いたいProducts、今回は “Bastionhost”を入力します。

しかし、”bastionhost” では “Console Entry (0) ” と見つかりません。

検索キーワードを “bastion” にして検索すると見つかりました。

公式ホームページの製品紹介ページでは以下の通り”Bastionhost”だったんですけどね。 まあ見つかったということで問題ありません。

検索はお勧めですと言いつつイマイチなところありましたが、検索以外の探し方としてはその Products のカテゴリから探す方法もあります。 

以下、公式サイトのページですが、Bastionhost は Security のカテゴリに属していることがわかります。

Alibaba Cloud の Console からProducts and Services > Security > Bastionhost とたどることでBastionhost の管理画面にアクセスすることが可能です。

Bastionhost の管理画面は以下です。 

“Enable Bastionhost” をクリックします。

購入画面は以下。 Region ですが 以下の5つのみの対応です。 中国本土のリージョンには対応しないこと、また、Tokyo リージョンも未対応です。

  • Hong kong
  • Singapore
  • Kuala Lumpur
  • Jakarta
  • Mumbai

そして料金ですが以下の考え方となります。

  • リージョンごとに料金は統一されている
  • 課金の構成要素はAssets (Alibaba Cloud 上の稼働システム数)とResource Group (この概念があることを今知りました。。。)と数量と期間
  • 最小構成のコスト
    • 400 USD / 月
    • 1つのResource Group の50 の Assets を1セットの月額料金 
  • 最大構成のコスト
    • 2,300 USD / 月
    • 1つのResource Group の5,000 の Assets を1セットの月額料金
  • 年額での支払い時は 15 % のディスカウント (1年も2年も3年も割引率は同じ)

まとめ

今回は Tokyo リージョンに未対応であること、400 USD / 月のコストということで実際に購入してのテストは断念しました。 Azure Bastion は 1インスタンスから購入できるのですが、Alibaba Cloud は 最低の管理対象が50 Assets ということでそれが最低購入金額の差となっているのかもしれません。

なお Azure の Bastion のコストは 約 140 USD / 月です。1つのBastion インスタンスでの最大接続数は RDP で25 同時接続、SSH で 50 同時接続です(詳しくはこちら)。 仮に50台のAssets に同時アクセスしようと考えると 140 USD × 2 の 280 USD / 月です。 Alibaba Cloud はAWS や Azure に比べると大抵の場合コストパフォーマンスが良いのですが Bastion では Azure のコストパフォーマンスが大分すぐれているようです。 その理由を探るためにAlibaba Cloud Bastionhost と Azure Bastion の比較表を作ってみました。

ItemAlibaba Cloud
Bastionhost
Microsoft Azure
Bastion
Cost400 USD / Month
※50 Assets
138.7 USD / 730 Hour
ProtocolsRDP / SSH / SFTPRDP / SSH
O&M operation recording誤操作、悪意のある操作、および不正な操作を含むすべての操作を詳細に記録セッション情報のみ
Linux command auditコマンドを抽出して監査し、特定の時点からコマンドを再生できるようおそらく未対応
Windows operation recordingマウス操作やウィンドウ操作などのリモートデスクトップ操作を記録おそらく未対応
File transfer audit (SFTP & RDP)リモートデスクトッププロトコル(RDP)またはセキュアファイル転送プロトコル(SFTP)を使用して転送されたファイルを監査ファイルコピー
未対応
Account management固有のO&Mアカウントを提供して、アカウントの共有、一時的なアカウント、および権限の乱用によって引き起こされる問題を防止IAM
Permission management人、部署、またはリソースグループごとに、人事やリソースの割り当てを管理するための承認システムを設定IAM
two-factor authenticationAzure Portal
AD authenticationAzure AD Connect
LDAP authenticationおそらく未対応

機能を比較するとわかるのですが、Azure Bastion は接続を中継する基本的な機能しか備えていません。ログもセッション情報しか残せないようです。ファイルコピーも行えません。(参考としたドキュメントは”Bastion リソース ログを有効にして使用する” と “Azure Bastion のセッションの監視と管理“)

一方、Alibaba Cloud Bastionhost はすべての操作を記録できるとのこと。記録だけではなくプレイバック出来たり、Windowsでのマウス・キーボード操作の記録、ファイルコピーの監査、アカウント管理など本来のBastion として必要な機能を一通り備えていることがわかります。 一見危うく見えるファイルコピーも監査機能と合わせて提供していることがとても良いです。 

結論、監査機能の充実を見ると 400 USD / 月は全く高コストではないことがわかりました。 ただ、このブログサイトのようにサーバは1台しか存在せず、管理用の通信は基本的にインターネットには公開していないケースでは猫に小判となりそうです。

以上