Azure PaaS サービスに安全に接続する方法

Azure PaaS サービスに安全に接続する方法

[[423609]]

[51CTO.com クイック翻訳]ご存知のとおり、PaaS ベースのサービスが Azure でプロビジョニングされると、パブリック エンドポイントが付属します。クラウド アーキテクトまたはセキュリティ エンジニアは、設計の観点からこのような PaaS ベースの接続が安全であることを確認する必要があります。つまり、パブリックエンドポイントにアクセスする際のセキュリティを確保するには、サービスエンドポイントを強化する必要があることがよくあります。

サービスエンドポイント

具体的には、仮想ネットワークの一部として、Azure バックボーン ネットワーク上の最適化されたルーティングを通じて、Azure サービスへの直接かつ安全な接続を提供する必要があります。その中で、サービス エンドポイントは、仮想ネットワーク (vnet) 内のプライベート IP アドレスが、vnet 上のパブリック IP アドレスを使用せずに Azure サービスのエンドポイントに到達できるようにします。

次の図は、仮想ネットワークで実行され、ストレージ アカウントにアクセスしようとしているプラ​​イベート仮想マシンを示しています。これを行うには、まず、実行中の VM の固有の仮想ネットワークでサービス エンドポイントを有効にする必要があります。

サービスエンドポイントを有効にする手順

手順 1: 必要に応じて仮想ネットワーク上のサービス エンドポイントを有効にします。エンドポイントのポリシーはオプションであるため、ニーズに応じて Azure サービスへの仮想ネットワーク トラフィックをフィルター処理できます。

ステップ 2: PaaS サービスのファイアウォールまたはネットワーク設定インターフェイスに入り、サービス エンドポイントを追加します。

ステップ 3: エンドポイント サービスが有効になっていることを確認します。

予防

1. サービス エンドポイントを設定する前に、IP ファイアウォールの対応するルールが許可されていることを確認します。

2. PaaS ベースのサービスに接続する場合、サービス エンドポイントはさまざまなローカル リソースをサポートしていないため、ローカル NAT IP または高速ルーティングを使用する必要があります。さらに、リソース IP ファイアウォール設定でこのようなパブリック IP アドレスを許可する必要があります。

3. サービス エンドポイントの場合、利用可能な PaaS ベースのサービスには、Azure Storage、Azure Database Service、Azure Synapse Analytics、Azure Key Vault、Azure Service Bus、Azure Event Hubs、Azure Data Lake Storage Gen 1、Azure App Service、Azure Cognitive Services が含まれます。

4. サービス エンドポイントを介して SQL および Data Lake サービスにアクセスするには、vnet サービスと PaaS サービスが同じリージョンに配置されている必要があります。

5. サービス エンドポイントが DNS クエリを解決できません。

サービス エンドポイントに対して追加料金を支払う必要がなく、作成できるサービス エンドポイントの数に制限がないことは注目に値します。

プライベートエンドポイント

サービス エンドポイントについて説明した後、プライベート エンドポイントについて見てみましょう。プライベート エンドポイントは、vnet のプライベート IP アドレスを使用して、PaaS ベースのサービスを仮想ネットワーク (vnet) に効果的に導入します。これは、Azure Private Link を利用したサービスに安全に接続できるネットワーク インターフェイスと考えることができます。

次の図は、仮想ネットワークで実行され、ストレージ アカウントにアクセスしようとしているプラ​​イベート仮想マシンを示しています。これを行うには、まず、VM が実行されている仮想ネットワークのプライベート エンドポイントを設定する必要があります。

プライベートエンドポイントを構成する手順

ステップ 1: PaaS サービスに入ると、「プライベート エンドポイント作成オプション」がファイアウォールとネットワーク セクションに表示されるか、別のセクションとして提供されます。

ステップ 2: Private Link では、Private Link サービス、SQL サーバー、Azure ストレージ アカウントなど、さまざまな Azure リソースのプライベート エンドポイントを作成するオプションが提供されます。プライベート エンドポイントが接続する必要がある特定のリソースを選択してください。

ステップ 3: ここで、仮想ネットワーク/サブネットを選択し、プライベート DNS と統合する必要があります。同時に、DNS レコードを介してプライベート エンドポイントに接続する必要があります。設定が完了したら、対応するサービスを作成できます。

ステップ 4: [サービス] -> [ネットワーク] の [仮想ネットワーク] セクションで、プライベート エンドポイント サービスが正常に作成され、適切に機能しているかどうかを確認できます。

上記の例では、Private Link は RBAC 権限に基づいて接続を自動的に承認します。もちろん、消費者にも接続を承認または拒否する権限があります。現在、プライベート エンドポイントには、承認済み (自動または手動の承認が提供される)、保留中 (承認が受信されていない)、拒否 (承認されていない)、切断済み (接続が削除されている) の 4 つの接続状態があります。

さらに、プライベート エンドポイントまたは Private Link サービスをデプロイするには、ユーザーに所有者、共同作成者、ネットワーク共同作成者などの組み込みロールのいずれかを割り当てる必要もあります。

これまでのところ、ストレージ アカウントの BLOB 用のプライベート エンドポイントのみを作成しました。ストレージ アカウント内の他のリソース (ファイル、テーブル、キューなど) に安全にアクセスする必要がある場合は、他の個別のプライベート エンドポイント接続も必要になります。

実際、プライベート エンドポイントはパブリック クラウドに限定されず、ハイブリッド クラウドなどの幅広い Azure サービスもサポートできます。たとえば、上記の例のローカル VM は、プロキシ ネットワークまたは Express ルーティングを介して Private Link を利用する Azure サービスに接続できます。

通常、各プライベート エンドポイントは、同じサブネット内に動的プライベート IP を持つ NIC を作成します。さらに、プライベート IP アドレスの値は、プライベート エンドポイントのライフ サイクル全体を通じて変更されません。

Azure サービス エンドポイントとは異なり、プライベート エンドポイントでは、エンドポイントの作成とスタック内外のデータの処理に対して料金が必要です。

もちろん、上で説明した各サービスには、次のような制限もあります。

  1. IPv4 トラフィックのみがサポートされます。
  2. TCP および UDP トラフィックを処理できます。
  3. 基本的な Azure LB (ロード バランサー) はサポートされていません。

さらに、Azure セキュリティ ベンチマークを備えた Azure セキュリティ センターでは、Azure 上のさまざまなクラウド アプリケーションとリソースを保護する方法に関する推奨事項も提供されます。

まとめ

一般に、サービス エンドポイントにはパブリックにルーティング可能な IP アドレスがありますが、プライベート エンドポイントは仮想ネットワーク アドレス空間内のプライベート IP として構成できます。実際のプロジェクトのニーズに基づいて、サービス エンドポイントとプライベート エンドポイントの間で賢明な選択を行うことができます。 Azure PaaS サービスに安全に接続する方法について詳しく知りたい場合は、サービス デモ ビデオを参照してください。

元のタイトル: Azure PaaS サービスへの安全な接続、著者: Sagar Pawar

[51CTOによる翻訳。パートナーサイトに転載する場合は、元の翻訳者と出典を51CTO.comとして明記してください。

<<:  なぜ Docker は Kubernetes に「負けた」のでしょうか?

>>:  2020 年に IT プロフェッショナルが取得すべき 8 つの優れたクラウド セキュリティ認定資格

推薦する

小紅樹の十字路:草を植えるコミュニティ?

コンテンツ コミュニティはユーザー ロイヤルティが高く、利用時間も長いですが、収益化への道は常に非常...

vstoike-3 USD/KVM/512 MB RAM/10 GB HDD/1 TB フロー/100 MB ポート/ロシア

ロシアのホスティング会社である vstoike.ru は、2004 年に設立されました。その事業は、...

おすすめ: lunarpages-ブラックフライデー/35%オフ

lunarpages-2018年ブラックフライデー、35%オフセール。 Lunarpages は私の...

これらのマーケティングチャネルをご存知ですか?

現代のインターネットは、ポータル時代、検索時代、ソーシャル時代を経て、現在はコンテンツ時代となってい...

インターネットマーケティングのための電子書籍を作成する

オンラインマーケティングのプロモーションにはさまざまな方法がありますが、そのうちの1つはあまり使用さ...

マルチクラウドプラットフォーム環境統合ソリューション

詳細に入る前に、「クラウド統合アーキテクチャとは何ですか?」という質問に答えましょう。クラウド統合ア...

Linux 仮想ネットワーク カード テクノロジー: Macvlan

1. Macvlan の紹介Macvlan が登場する前は、イーサネット カードには複数の IP ア...

ロングテールキーワードは多ければ多いほど良いのか?従来のSEOコンセプトを最適化する必要がある

ロングテールキーワードは一般的に単語数が多く、2~3語(語句またはフレーズ)で構成されることが多く、...

ウェブサイトのキーワードランキングが不安定になる理由

SEO 自体はゲームなので、誰と対戦しているかに注意してください。すでにいくつかの人気キーワードで上...

Microsoft Insights: AI は中国企業のイノベーション、生産性、競争力を 2 倍以上に高める

マイクロソフトとIDCがアジア太平洋地域で実施した調査「未来に備えたビジネス:AIによるアジアの成長...

インターネットプロモーションプラン:企業サイトのランキングを上げるには?

月収10万元の起業の夢を実現するミニプログラム起業支援プラン企業のマーケティング担当者は、日々インタ...

hostsailor-オランダ + ルーマニア、VPS 年間支払い $12/256M メモリ/15G ハードディスク

ドバイのホストプロバイダーであるHostsailor(正式登録:A224/03/14/8150、完全...

クラウドが持続可能な開発を推進する方法

クラウドは、企業の持続可能性を高める上で重要な役割を果たします。実行可能な未来を築くために必要な研究...

nixcom-1g メモリ KVM/70g ハードディスク/2t トラフィック/月額 9.99 ドル

Nixcom は、2007 年から商業運営を行っているホスティング プロバイダーです。年末に、ブラン...