仮想ネットワーク サービス エンドポイントについて説明する
- 10 分
シナリオ
組織は、データベース サーバーを含む既存のアプリをAzure仮想マシンに移行します。 ここで、コストと管理要件を削減するために、一部のAzure サービスとしてのプラットフォーム (PaaS) サービスの使用を検討しています。 具体的には、エンジニアリング図など、大量のファイル資産が保管するためのストレージ サービスです。 このようなエンジニアリング図には特許情報が含まれ、無許可のアクセスから保護される必要があります。 このようなファイルには、特定のシステムからのみアクセスできるようにする必要があります。
同様の要件を持つその他のシナリオを次に示します。
- ピアリングされた仮想ネットワークまたは複数の仮想ネットワークにサービスを接続する。
- Azureリソースを、仮想ネットワークに直接デプロイされたサービスにセキュリティで保護します。
- 仮想ネットワークからAzure サービスへの送信トラフィックのフィルター処理。
- Azure仮想マシンからのディスク トラフィックの管理。
Virtual Network サービス エンドポイントとは
既定では、Azure サービスはすべて、直接インターネット アクセス用に設計されています。 すべてのAzure リソースには、Azure SQL DatabaseやAzure Storageなどの PaaS サービスを含むパブリック IP アドレスがあります。 これらのサービスはインターネットに公開されているため、誰でもAzure サービスにアクセスできる可能性があります。
Virtual Network (VNet) サービス エンドポイント は、Azureバックボーン ネットワーク経由でAzure サービスに安全かつ直接接続できます。 エンドポイントを使用すると、重要なAzure サービス リソースを仮想ネットワークのみにセキュリティで保護できます。 サービス エンドポイントを使用すると、仮想ネットワーク内のプライベート IP アドレスが Azure サービスのエンドポイントに到達できます。
サービス エンドポイントは、特定のサービスを Azure 内のプライベート アドレス空間に直接接続できます。 Azure サービス エンドポイントは、次のような多くのサービスで使用できます。
- Azure Storage
- Azure SQL Database
- Azure Cosmos DB
- Azure Key Vault
- Azure Service Bus(アズール サービスバス)
- Azure Event Hubs
- Azure App Service
- Azure Container Registry
サービス エンドポイントの最適化とセキュリティ機能
このビデオでは、エンドポイントの最適化とセキュリティ機能について説明します。
サービス エンドポイント ポリシー
Virtual Network サービス エンドポイント ポリシー サービス エンドポイント ポリシーを使用すると、サービス エンドポイント経由で特定のAzure リソースへのvirtual networkトラフィックをフィルター処理できます。 たとえば、エンドポイント ポリシーでは、サービス エンドポイント経由で接続するときに、Azure Storageへの仮想ネットワーク トラフィックに対するきめ細かいアクセス制御を提供できます。
注
Microsoftでは、Azure プラットフォームでホストされているサービスへのセキュリティで保護されたプライベート アクセスには、Azure Private Linkエンドポイントとプライベート エンドポイントを使用することをお勧めします。 この情報については、次のユニットで説明します。
ヒント
「ネットワーク セキュリティ グループとサービス エンドポイントを使うことで Azure リソースへのアクセスをセキュリティで保護し、分離する」で、サービス エンドポイントについての詳細をご覧ください。 このモジュールには、サービス エンドポイントを作成し、ネットワーク ルールを使用してAzure Storageへのアクセスを制限する演習が含まれています。