Azure PaaS サービスに安全に接続する方法

[[423609]]

[51CTO.com クイック翻訳]ご存知のとおり、PaaS ベースのサービスが Azure でプロビジョニングされると、パブリック エンドポイントが付属します。クラウド アーキテクトまたはセキュリティ エンジニアは、設計の観点からこのような PaaS ベースの接続が安全であることを確認する必要があります。つまり、パブリックエンドポイントにアクセスする際のセキュリティを確保するには、サービスエンドポイントを強化する必要があることがよくあります。

サービスエンドポイント

具体的には、仮想ネットワークの一部として、Azure バックボーン ネットワーク上の最適化されたルーティングを通じて、Azure サービスへの直接かつ安全な接続を提供する必要があります。その中で、サービス エンドポイントは、仮想ネットワーク (vnet) 内のプライベート IP アドレスが、vnet 上のパブリック IP アドレスを使用せずに Azure サービスのエンドポイントに到達できるようにします。

次の図は、仮想ネットワークで実行され、ストレージ アカウントにアクセスしようとしているプラ​​イベート仮想マシンを示しています。これを行うには、まず、実行中の VM の固有の仮想ネットワークでサービス エンドポイントを有効にする必要があります。

サービスエンドポイントを有効にする手順

手順 1: 必要に応じて仮想ネットワーク上のサービス エンドポイントを有効にします。エンドポイントのポリシーはオプションであるため、ニーズに応じて Azure サービスへの仮想ネットワーク トラフィックをフィルター処理できます。

ステップ 2: PaaS サービスのファイアウォールまたはネットワーク設定インターフェイスに入り、サービス エンドポイントを追加します。

ステップ 3: エンドポイント サービスが有効になっていることを確認します。

予防

1. サービス エンドポイントを設定する前に、IP ファイアウォールの対応するルールが許可されていることを確認します。

2. PaaS ベースのサービスに接続する場合、サービス エンドポイントはさまざまなローカル リソースをサポートしていないため、ローカル NAT IP または高速ルーティングを使用する必要があります。さらに、リソース IP ファイアウォール設定でこのようなパブリック IP アドレスを許可する必要があります。

3. サービス エンドポイントの場合、利用可能な PaaS ベースのサービスには、Azure Storage、Azure Database Service、Azure Synapse Analytics、Azure Key Vault、Azure Service Bus、Azure Event Hubs、Azure Data Lake Storage Gen 1、Azure App Service、Azure Cognitive Services が含まれます。

4. サービス エンドポイントを介して SQL および Data Lake サービスにアクセスするには、vnet サービスと PaaS サービスが同じリージョンに配置されている必要があります。

5. サービス エンドポイントが DNS クエリを解決できません。

サービス エンドポイントに対して追加料金を支払う必要がなく、作成できるサービス エンドポイントの数に制限がないことは注目に値します。

プライベートエンドポイント

サービス エンドポイントについて説明した後、プライベート エンドポイントについて見てみましょう。プライベート エンドポイントは、vnet のプライベート IP アドレスを使用して、PaaS ベースのサービスを仮想ネットワーク (vnet) に効果的に導入します。これは、Azure Private Link を利用したサービスに安全に接続できるネットワーク インターフェイスと考えることができます。

次の図は、仮想ネットワークで実行され、ストレージ アカウントにアクセスしようとしているプラ​​イベート仮想マシンを示しています。これを行うには、まず、VM が実行されている仮想ネットワークのプライベート エンドポイントを設定する必要があります。

プライベートエンドポイントを構成する手順

ステップ 1: PaaS サービスに入ると、「プライベート エンドポイント作成オプション」がファイアウォールとネットワーク セクションに表示されるか、別のセクションとして提供されます。

ステップ 2: Private Link では、Private Link サービス、SQL サーバー、Azure ストレージ アカウントなど、さまざまな Azure リソースのプライベート エンドポイントを作成するオプションが提供されます。プライベート エンドポイントが接続する必要がある特定のリソースを選択してください。

ステップ 3: ここで、仮想ネットワーク/サブネットを選択し、プライベート DNS と統合する必要があります。同時に、DNS レコードを介してプライベート エンドポイントに接続する必要があります。設定が完了したら、対応するサービスを作成できます。

ステップ 4: [サービス] -> [ネットワーク] の [仮想ネットワーク] セクションで、プライベート エンドポイント サービスが正常に作成され、適切に機能しているかどうかを確認できます。

上記の例では、Private Link は RBAC 権限に基づいて接続を自動的に承認します。もちろん、消費者にも接続を承認または拒否する権限があります。現在、プライベート エンドポイントには、承認済み (自動または手動の承認が提供される)、保留中 (承認が受信されていない)、拒否 (承認されていない)、切断済み (接続が削除されている) の 4 つの接続状態があります。

さらに、プライベート エンドポイントまたは Private Link サービスをデプロイするには、ユーザーに所有者、共同作成者、ネットワーク共同作成者などの組み込みロールのいずれかを割り当てる必要もあります。

これまでのところ、ストレージ アカウントの BLOB 用のプライベート エンドポイントのみを作成しました。ストレージ アカウント内の他のリソース (ファイル、テーブル、キューなど) に安全にアクセスする必要がある場合は、他の個別のプライベート エンドポイント接続も必要になります。

実際、プライベート エンドポイントはパブリック クラウドに限定されず、ハイブリッド クラウドなどの幅広い Azure サービスもサポートできます。たとえば、上記の例のローカル VM は、プロキシ ネットワークまたは Express ルーティングを介して Private Link を利用する Azure サービスに接続できます。

通常、各プライベート エンドポイントは、同じサブネット内に動的プライベート IP を持つ NIC を作成します。さらに、プライベート IP アドレスの値は、プライベート エンドポイントのライフ サイクル全体を通じて変更されません。

Azure サービス エンドポイントとは異なり、プライベート エンドポイントでは、エンドポイントの作成とスタック内外のデータの処理に対して料金が必要です。

もちろん、上で説明した各サービスには、次のような制限もあります。

1. IPv4 トラフィックのみがサポートされます。
2. TCP および UDP トラフィックを処理できます。
3. 基本的な Azure LB (ロード バランサー) はサポートされていません。

さらに、Azure セキュリティ ベンチマークを備えた Azure セキュリティ センターでは、Azure 上のさまざまなクラウド アプリケーションとリソースを保護する方法に関する推奨事項も提供されます。

まとめ

一般に、サービス エンドポイントにはパブリックにルーティング可能な IP アドレスがありますが、プライベート エンドポイントは仮想ネットワーク アドレス空間内のプライベート IP として構成できます。実際のプロジェクトのニーズに基づいて、サービス エンドポイントとプライベート エンドポイントの間で賢明な選択を行うことができます。 Azure PaaS サービスに安全に接続する方法について詳しく知りたい場合は、サービス デモ ビデオを参照してください。

元のタイトル: Azure PaaS サービスへの安全な接続、著者: Sagar Pawar

[51CTOによる翻訳。パートナーサイトに転載する場合は、元の翻訳者と出典を51CTO.comとして明記してください。