Azure Service Bus では 、 ネットワーク セキュリティ境界との統合がサポートされています。
ネットワーク セキュリティ境界は、Azure Service Bus と他のサービスとしてのプラットフォーム (PaaS) オファリング (Azure Key Vault など) 間のネットワーク トラフィックを保護するのに役立ちます。 ネットワーク セキュリティ境界は、通信を Azure リソースのみに限定することで、他のリソースへの未承認のアクセスをブロックします。
ネットワーク セキュリティ境界線がある場合:
- 特定の境界に関連付けられている PaaS リソースは、既定では、同じ境界内の他の PaaS リソースとのみ通信できます。
- 明示的なアクセス規則を設定することで、外部の受信と送信の通信をアクティブに許可できます。
- 診断ログ は、監査とコンプライアンスのために境界内の PaaS リソースに対して有効になります。
このフレームワーク内に Service Bus を統合すると、堅牢なセキュリティ対策を提供しながらメッセージング機能が強化されます。 この統合により、プラットフォームのスケーラビリティと信頼性が向上します。 また、不正アクセスやデータ侵害に関連するリスクを軽減するために、データ保護戦略を強化します。
Azure Private Link でサービスとして動作することで、ネットワーク セキュリティ境界により、仮想ネットワークの外部にデプロイされた PaaS サービスのセキュリティで保護された通信が容易になります。 これにより、境界内の PaaS サービス間のシームレスな対話が可能になり、慎重に構成されたアクセス規則を通じて外部リソースとの通信が容易になります。 また、カスタマー マネージド キー (CMK) 用の Azure Key Vault などの送信リソースもサポートしています。 このサポートにより、多様なクラウド環境での汎用性と有用性がさらに向上します。
Service Bus のネットワーク セキュリティ境界のシナリオ
Azure Service Bus では、他の PaaS リソースへのアクセスを必要とするシナリオがサポートされています。 CMK では、Azure Key Vault との通信が必要です。 詳細については、「Azure Service Bus の保存データを暗号化するためにカスタマー マネージド キーを構成する」を参照してください。
レガシ geo ディザスター リカバリー (エイリアス ベースのペアリング) の場合、プライマリ名前空間とセカンダリ名前空間の両方が同じネットワーク セキュリティ境界に関連付けられている必要があります。 プライマリのみが関連付けられている場合、ペアリングは失敗します。
ネットワーク セキュリティ境界規則では、 プライベート エンドポイントを介したプライベート リンク トラフィックは管理されません。
ネットワーク セキュリティ境界を作成する
Azure portal、Azure PowerShell、または Azure CLI を使用して、独自のネットワーク セキュリティ境界リソースを作成します。
Azure ポータルでService Busをネットワーク セキュリティ境界に関連付ける
Service Bus 名前空間は、Azure portal の Service Bus 名前空間から直接、ネットワーク セキュリティ境界に関連付けることができます。
Service Bus 名前空間のページで、[ 設定] で [ ネットワーク] を選択します。
[ パブリック アクセス ] タブを選択します。
[ ネットワーク セキュリティ境界 ] セクションで、[ 関連付け] を選択します。
[ ネットワーク セキュリティ境界の選択 ] ダイアログで、名前空間に関連付けるネットワーク セキュリティ境界を検索して選択します。
名前空間に関連付けるプロファイルを選択します。
関連付けを完了するには、[ 関連付け ] を選択します。
Azure CLI を使用して関連付けを確認する
名前空間がネットワーク セキュリティ境界に関連付けられていることを確認するには:
az servicebus namespace network-rule-set show \
--name <namespace-name> \
--resource-group <resource-group>
関連付けが存在する場合、 publicNetworkAccess フィールドに SecuredByPerimeterが表示されます。
Troubleshoot
使用可能な機能
ネットワーク セキュリティ境界の一部の機能では、機能フラグをサブスクリプションに登録する必要があります。 アクセス ルールまたは境界リンクを構成するときに "この機能を特定のサブスクリプションで使用できません" というエラーが発生した場合、またはネットワーク セキュリティ境界を構成するときに名前空間が関連付け可能なリソースの一覧に表示されない場合は、必要な機能フラグを登録し、ネットワーク プロバイダーを再登録します。
| 能力 | 機能フラグ | 登録コマンド |
|---|---|---|
| NSP リソースの関連付け | AllowNetworkSecurityPerimeter |
az feature register --namespace Microsoft.Network --name AllowNetworkSecurityPerimeter |
| クロス境界リンク | AllowNspLink |
az feature register --namespace Microsoft.Network --name AllowNspLink |
| サービス タグの受信規則 | EnableServiceTagsInNsp |
az feature register --namespace Microsoft.Network --name EnableServiceTagsInNsp |
登録後、変更を反映します。
az provider register -n Microsoft.Network
機能フラグの伝達には、最大で 15 分かかることがあります。
ネットワーク セキュリティ境界との名前空間の関連付け
従来の geo ディザスター リカバリー ペアリングを作成するときは、プライマリ名前空間とセカンダリ名前空間を同じネットワーク セキュリティ境界に関連付ける必要があります。 "DisasterRecoveryConfigSecondaryMustHaveAssociationsUnderSameNSP" エラーが発生した場合は、セカンダリ名前空間を同じ境界に関連付け、ペアリングを再試行します。