[51CTO.com クイック翻訳]ご存知のとおり、PaaS ベースのサービスが Azure でプロビジョニングされると、パブリック エンドポイントが付属します。クラウド アーキテクトまたはセキュリティ エンジニアは、設計の観点からこのような PaaS ベースの接続が安全であることを確認する必要があります。つまり、パブリックエンドポイントにアクセスする際のセキュリティを確保するには、サービスエンドポイントを強化する必要があることがよくあります。 サービスエンドポイント具体的には、仮想ネットワークの一部として、Azure バックボーン ネットワーク上の最適化されたルーティングを通じて、Azure サービスへの直接かつ安全な接続を提供する必要があります。その中で、サービス エンドポイントは、仮想ネットワーク (vnet) 内のプライベート IP アドレスが、vnet 上のパブリック IP アドレスを使用せずに Azure サービスのエンドポイントに到達できるようにします。 次の図は、仮想ネットワークで実行され、ストレージ アカウントにアクセスしようとしているプライベート仮想マシンを示しています。これを行うには、まず、実行中の VM の固有の仮想ネットワークでサービス エンドポイントを有効にする必要があります。 サービスエンドポイントを有効にする手順手順 1: 必要に応じて仮想ネットワーク上のサービス エンドポイントを有効にします。エンドポイントのポリシーはオプションであるため、ニーズに応じて Azure サービスへの仮想ネットワーク トラフィックをフィルター処理できます。 ステップ 2: PaaS サービスのファイアウォールまたはネットワーク設定インターフェイスに入り、サービス エンドポイントを追加します。 ステップ 3: エンドポイント サービスが有効になっていることを確認します。 予防1. サービス エンドポイントを設定する前に、IP ファイアウォールの対応するルールが許可されていることを確認します。 2. PaaS ベースのサービスに接続する場合、サービス エンドポイントはさまざまなローカル リソースをサポートしていないため、ローカル NAT IP または高速ルーティングを使用する必要があります。さらに、リソース IP ファイアウォール設定でこのようなパブリック IP アドレスを許可する必要があります。 3. サービス エンドポイントの場合、利用可能な PaaS ベースのサービスには、Azure Storage、Azure Database Service、Azure Synapse Analytics、Azure Key Vault、Azure Service Bus、Azure Event Hubs、Azure Data Lake Storage Gen 1、Azure App Service、Azure Cognitive Services が含まれます。 4. サービス エンドポイントを介して SQL および Data Lake サービスにアクセスするには、vnet サービスと PaaS サービスが同じリージョンに配置されている必要があります。 5. サービス エンドポイントが DNS クエリを解決できません。 サービス エンドポイントに対して追加料金を支払う必要がなく、作成できるサービス エンドポイントの数に制限がないことは注目に値します。 プライベートエンドポイントサービス エンドポイントについて説明した後、プライベート エンドポイントについて見てみましょう。プライベート エンドポイントは、vnet のプライベート IP アドレスを使用して、PaaS ベースのサービスを仮想ネットワーク (vnet) に効果的に導入します。これは、Azure Private Link を利用したサービスに安全に接続できるネットワーク インターフェイスと考えることができます。 次の図は、仮想ネットワークで実行され、ストレージ アカウントにアクセスしようとしているプライベート仮想マシンを示しています。これを行うには、まず、VM が実行されている仮想ネットワークのプライベート エンドポイントを設定する必要があります。 プライベートエンドポイントを構成する手順ステップ 1: PaaS サービスに入ると、「プライベート エンドポイント作成オプション」がファイアウォールとネットワーク セクションに表示されるか、別のセクションとして提供されます。 ステップ 2: Private Link では、Private Link サービス、SQL サーバー、Azure ストレージ アカウントなど、さまざまな Azure リソースのプライベート エンドポイントを作成するオプションが提供されます。プライベート エンドポイントが接続する必要がある特定のリソースを選択してください。 ステップ 3: ここで、仮想ネットワーク/サブネットを選択し、プライベート DNS と統合する必要があります。同時に、DNS レコードを介してプライベート エンドポイントに接続する必要があります。設定が完了したら、対応するサービスを作成できます。 ステップ 4: [サービス] -> [ネットワーク] の [仮想ネットワーク] セクションで、プライベート エンドポイント サービスが正常に作成され、適切に機能しているかどうかを確認できます。 上記の例では、Private Link は RBAC 権限に基づいて接続を自動的に承認します。もちろん、消費者にも接続を承認または拒否する権限があります。現在、プライベート エンドポイントには、承認済み (自動または手動の承認が提供される)、保留中 (承認が受信されていない)、拒否 (承認されていない)、切断済み (接続が削除されている) の 4 つの接続状態があります。 さらに、プライベート エンドポイントまたは Private Link サービスをデプロイするには、ユーザーに所有者、共同作成者、ネットワーク共同作成者などの組み込みロールのいずれかを割り当てる必要もあります。 これまでのところ、ストレージ アカウントの BLOB 用のプライベート エンドポイントのみを作成しました。ストレージ アカウント内の他のリソース (ファイル、テーブル、キューなど) に安全にアクセスする必要がある場合は、他の個別のプライベート エンドポイント接続も必要になります。 実際、プライベート エンドポイントはパブリック クラウドに限定されず、ハイブリッド クラウドなどの幅広い Azure サービスもサポートできます。たとえば、上記の例のローカル VM は、プロキシ ネットワークまたは Express ルーティングを介して Private Link を利用する Azure サービスに接続できます。 通常、各プライベート エンドポイントは、同じサブネット内に動的プライベート IP を持つ NIC を作成します。さらに、プライベート IP アドレスの値は、プライベート エンドポイントのライフ サイクル全体を通じて変更されません。 Azure サービス エンドポイントとは異なり、プライベート エンドポイントでは、エンドポイントの作成とスタック内外のデータの処理に対して料金が必要です。 もちろん、上で説明した各サービスには、次のような制限もあります。
さらに、Azure セキュリティ ベンチマークを備えた Azure セキュリティ センターでは、Azure 上のさまざまなクラウド アプリケーションとリソースを保護する方法に関する推奨事項も提供されます。 まとめ一般に、サービス エンドポイントにはパブリックにルーティング可能な IP アドレスがありますが、プライベート エンドポイントは仮想ネットワーク アドレス空間内のプライベート IP として構成できます。実際のプロジェクトのニーズに基づいて、サービス エンドポイントとプライベート エンドポイントの間で賢明な選択を行うことができます。 Azure PaaS サービスに安全に接続する方法について詳しく知りたい場合は、サービス デモ ビデオを参照してください。 元のタイトル: Azure PaaS サービスへの安全な接続、著者: Sagar Pawar [51CTOによる翻訳。パートナーサイトに転載する場合は、元の翻訳者と出典を51CTO.comとして明記してください。 |
<<: なぜ Docker は Kubernetes に「負けた」のでしょうか?
>>: 2020 年に IT プロフェッショナルが取得すべき 8 つの優れたクラウド セキュリティ認定資格
ZoroCloudは5月に新製品、US CUII(トリプルネットワークAS9929ハイエンドライン)...
以前の記事でも述べたように、Naihe は、ウェブサイト上のキーワードランキング コラム ページ (...
2018年最もホットなプロジェクト:テレマーケティングロボットがあなたの参加を待っていますハイ兄弟は...
2011年が過ぎ、2012年の新年がちょうど1週間前に到来しました。仕事の初日、新しいクライアントが...
spinservers の親会社はハードウェアを販売しているため、常に高構成で低価格のアメリカの独立...
皆さん、良い週末をお過ごしください。今朝、パソコンの電源を入れた時に、ある情報が目に入りました。マー...
彼女は自分の MSN アカウントがハッキングされたことに気付くと、すぐに携帯電話で 300 人以上の...
中国は長い間、インターネットユーザー数で世界最大の国であり、過去2年間で帯域幅が大幅に増加しました。...
2018年最もホットなプロジェクト:テレマーケティングロボットがあなたの参加を待っていますXiong...
デジタル変革の大きな波の中で、技術革新とビジネス変革を加速するためにクラウドコンピューティング技術を...
筆者の理解によれば、Surface Proは4月2日21時に発売され、Suning.comとMicr...
中国のSaaSには全く価値がないのでしょうか?実はこれは誤解です。私は中国のSaaSに価値がないと言...
Racknerd は、年間支払いが 10 ドル未満の新年 VPS プロモーションを開始しました。 U...
私はウェブ編集者として2年以上働いています。この職業は退屈すぎるという印象を持つ人が多いようです。ウ...
最近、私はアイウェア業界の小規模な電子商取引ウェブサイトを最適化していました。最適化の過程で、多くの...