Azure Storage BLOB コネクタのネットワーク セキュリティを有効にする

この記事では、Azure Storage コネクタと統合されたストレージ リソースでネットワーク セキュリティを有効にする方法について詳しく説明します。 Azureネットワーク セキュリティ境界 (NSP) は、PaaS リソースの論理分離境界を作成するAzureネイティブ機能です。 ストレージ アカウントやデータベースなどのリソースを NSP に関連付けることにより、簡略化されたルール セットを使用してネットワーク アクセスを一元的に管理できます。 詳細については、「 ネットワーク セキュリティ境界の概念」を参照してください。

前提条件

ネットワーク セキュリティを有効にする前に、コネクタ リソースを作成します。 blob 作成イベントを Azure Storage キューにストリーミングするために使用される Event Grid システム トピックなど、「Microsoft SentinelにログをストリーミングするようにAzure Storage Connector を設定する」を参照してください。

このセットアップを完了するには、次のアクセス許可があることを確認します。

  • ネットワーク セキュリティ境界リソースを作成するためのサブスクリプション所有者または共同作成者。
  • ストレージ アカウントを NSP に関連付けるストレージ アカウント共同作成者。
  • ストレージ アカウント のユーザー アクセス管理者または所有者は、RBAC ロールを Event Grid マネージド ID に割り当てます。
  • マネージド ID を有効にし、イベント サブスクリプションを管理するための Event Grid 共同作成者。

ネットワーク セキュリティを有効にする

Azure Storage コネクタと統合されたストレージ リソースのネットワーク セキュリティを有効にするには、ネットワーク セキュリティ境界 (NSP) を作成し、ストレージ アカウントをそれに関連付け、Event Grid やその他の必要なソースからのトラフィックを許可する規則を構成し、未承認のアクセスをブロックします。 構成を完了するには、次の手順に従います。

ネットワーク セキュリティ境界を作成する

  1. Azure portalで、[ネットワーク セキュリティ境界] を検索します。

  2. [作成] を選択します。

  3. [サブスクリプション] と [リソース] グループを選択します。

  4. 「名前」と入力します(例:storageblob-connectors-nsp

  5. リージョンを選択 します。 リージョンは、ストレージ アカウントと同じリージョンである必要があります。

  6. プロファイル名を入力するか、既定値をそのまま使用します。 プロファイルは、関連付けられているリソースに適用される規則のセットを定義します。 1 つの NSP 内に複数のプロファイルを含め、必要に応じて異なるルールを異なるリソースに適用できます。

  7. [ 確認と作成 ] を選択し、[作成] を 選択します。

    Azure portalでのネットワーク セキュリティ境界の作成を示すスクリーンショット。

ストレージ アカウントをネットワーク セキュリティ境界に関連付ける

  1. Azure portalで新しく作成したネットワーク セキュリティ境界リソースを開きます。

  2. [ プロファイル] を選択し、NSP リソースの作成時に使用したプロファイル名を選択します。

  3. [ 関連付けられているリソース] を選択します。

  4. [追加] を選択します。

  5. ストレージ アカウントを検索して追加し、[選択] を 選択します。

  6. [ 関連付け] を選択します。

アクセス モードは既定で [遷移] に設定されているため、制限を適用する前に構成を検証できます。

ストレージ アカウントをAzure portalのネットワーク セキュリティ境界に関連付ける方法を示すスクリーンショット。

Event Grid システムトピックで System-Assigned ID を有効にする

  1. ストレージ アカウントから、[ イベント ] タブに移動します。

  2. BLOB 作成イベントをストレージ キューにストリーミングするために使用する システム トピック を選択します。

    Azure portalのストレージ アカウントの [イベント] タブを示すスクリーンショット。

  3. [ ID] を選択します

  4. [ システム割り当て ] タブで、[ 状態][オン] に設定します。

  5. [ 保存] を選択し、後で使用するためにマネージド ID の オブジェクト ID をコピーします。

    Azure portalでの Event Grid システム トピックのマネージド ID の作成を示すスクリーンショット。

ストレージ キューに RBAC アクセス許可を付与する

  1. ストレージ アカウントに移動します。

  2. [Access Control (IAM)] を選択します。

  3. [追加] を選択します。

  4. [ストレージ キュー データ メッセージ送信者] ロール (スコープ: ストレージ アカウント) を検索して選択します。

  5. [ メンバー ] タブを選択し、[ メンバーの選択] を選択します。

  6. [ メンバーの選択 ] ウィンドウで、前の手順で作成した Event Grid システム トピックマネージド ID のオブジェクト ID を貼り付けます。

  7. マネージド ID を選択し、[選択] を 選択します。

  8. [ 確認と割り当て] を選択して、ロールの割り当てを完了します。 Azure portalのマネージド ID へのストレージ キュー データ メッセージ送信者ロールの割り当てを示すスクリーンショット。

イベント サブスクリプションでマネージド ID を有効にする

  1. Event Grid システム トピックを開きます。

  2. キューを対象とするイベント サブスクリプションを選択します。

  3. [ その他の設定 ] タブを選択します。

  4. [マネージド ID の種類] を[システム割り当て] に設定します。

  5. [保存] を選択します。

  6. Event Grid サブスクリプション メトリックを確認して、この更新後にメッセージがストレージ キューに正常に発行されたことを検証します。

Azure portalでの Event Grid サブスクリプションのマネージド ID の有効化を示すスクリーンショット。

ネットワーク セキュリティ境界プロファイルで受信アクセス規則を構成する

Event Grid が未承認のアクセスをブロックしながらストレージ アカウントにメッセージを配信できるようにするには、次の規則が必要です。 ストレージ アカウントにデータを送信するか、ストレージ リソースにアクセスするシステムによっては、追加の受信規則を追加する必要がある場合があります。 シナリオとトラフィック パターンを確認して、必要なルールを安全に適用し、ルール伝達の時間を許可します。

規則 1: サブスクリプションを許可する (Event Grid 配信)

Event Grid の配信は、固定パブリック IP から発生したわけではありません。 NSP は、サブスクリプション ID を使用して配信を検証します。

  1. [ネットワーク セキュリティ境界] に移動し、NSP を選択します。

  2. [ プロファイル ] を選択し、ストレージ アカウントに関連付けられているプロファイルを選択します。

  3. [ 受信アクセス規則 ] を選択し、[ 追加] を選択します。

    Azure portalの [受信アクセス規則] ページを示すスクリーンショット。

  4. ルール名を入力します (例: Allow-Subscription)。

  5. [ソースの種類] ドロップダウンから [サブスクリプション] を選択します。

  6. [ 許可されるソース ] ドロップダウンからサブスクリプションを選択します。

  7. [ 追加] を 選択してルールを作成します。

    Azure portalでサブスクリプションを許可する受信アクセス規則の作成を示すスクリーンショット。

注:

作成後にルールが一覧に表示されるまでに数分かかることがあります。

規則 2: スキューバ サービスの IP 範囲を許可する

  1. 2 つ目の 受信アクセス規則を作成します。

  2. ルール名を入力します (例: Allow-Scuba)。

  3. [ソースの種類] ドロップダウンから [IP アドレス範囲] を選択します。

  4. サービス タグのダウンロード ページを開きます。

  5. クラウドを選択します (例: Azureパブリック)。

  6. [ ダウンロード ] ボタンを選択し、ダウンロードしたファイルを開いて IP 範囲の一覧を取得します。

  7. Scuba サービス タグを見つけて、関連付けられている IPv4 範囲をコピーします。

  8. 引用符と末尾のコンマを削除した後、IPv4 範囲を [許可されたソース] フィールドに貼り付けます。

  9. [ 追加] を 選択してルールを作成します。

    重要

    IP 範囲から引用符を削除し、最後のエントリに末尾のコンマがないことを確認してから、[ 許可されたソース ] フィールドに貼り付けます。 サービス タグの範囲は、時間の経過に伴って更新されます。ルールを最新の状態に保つために定期的に更新します。

    スキューバ サービス タグと IPv4 範囲が強調表示されたServiceTags_Public.json ファイルの一部を示すスクリーンショット。

検証と適用

ルールを構成した後、ネットワーク セキュリティ境界の診断ログを監視して、正当なトラフィックが許可され、中断がないことを検証します。 ルールが必要なトラフィックを正しく許可していることを確認したら、移行モードから強制モードに切り替えて、未承認のアクセスをブロックできます。

切り替えモード

ネットワーク セキュリティ境界診断ログを有効にし、収集されたテレメトリを確認して、適用前に通信パターンを検証します。 詳細については、「 ネットワーク セキュリティ境界の診断ログ」を参照してください。

適用モードを適用する

検証が成功したら、次のようにアクセス モードを [適用] に設定します。

  1. [ネットワーク セキュリティ境界] ページの [設定] で、[ 関連付けられているリソース] を選択します。

  2. ストレージ アカウントを選択します。

  3. [ アクセス モードの変更] を選択します

  4. [ 適用] を選択し、[ 保存] を選択します

    Azure portalのネットワーク セキュリティ境界に関連付けられているストレージ アカウントのアクセス モードを変更する方法を示すスクリーンショット。

適用後の検証

適用後、構成ミスを示す可能性があるブロックされたトラフィックがないか、環境を注意深く監視します。 Event Grid システム トピックのサブスクリプション メトリックを確認することで、Event Grid 構成が影響を受けないことを検証します。

診断ログを使用して、発生した問題を調査して解決します。 ストレージ アカウントのメトリック (キューのイングレスとエラー) と Event Grid (配信成功) を確認して、エラーを検証します。 中断が発生した場合は、移行モードにロールバックし、診断ログを使用して調査を繰り返します。

ストレージ アカウントで境界によってセキュリティ保護されたを設定する (省略可能)

ストレージ アカウントを [セキュリティで保護された境界] に設定すると、ストレージ アカウントへのすべてのトラフィックがネットワーク セキュリティ境界規則に照らして評価され、パブリック ネットワーク アクセスがブロックされます。

  1. ストレージ アカウントに移動します。

  2. [ セキュリティとネットワーク] で、[ ネットワーク] を選択します。

  3. [ パブリック ネットワーク アクセス] で、[管理] を選択 します

  4. [ 境界で保護された (最も制限あり)] を設定します。

  5. [保存] を選択します。

Azure portalでストレージ アカウントを [セキュリティで保護された境界] に設定する方法を示すスクリーンショット。

次の手順

この記事では、Azure Storage コネクタと統合されたストレージ リソースでネットワーク セキュリティを有効にする方法について説明しました。 詳細については、 ネットワーク セキュリティ境界に関 する記事を参照してください。

  • Last updated on