このページの本文へ

前へ 1 2 3 次へ

ポイントを速習!「Azureの基礎(AZ900)」をみんなで学ぶ 第10回

リソースへのネットワークアクセスを正しく制限してセキュリティを守る基礎を学ぶ

Azureの基本的なネットワークサービスを理解する【後編】

2020年11月26日 08時00分更新

文● 河野光司/FIXER 編集● 大塚/TECH.ASCII.jp

  • この記事をはてなブックマークに追加
  • 本文印刷

Azureサービスエンドポイントの作成

 前回記事でも説明したとおり、Azureサービスエンドポイントは外部公開できるサービスに対し、インターネットからの接続を禁止して特定サブネットからの接続のみを許可する機能です。

 まずは、今回作成したストレージアカウントの設定ページを開き、「ファイアウォールと仮想ネットワーク」の項目を編集していきます。「許可するアクセス元」を「選択されたネットワーク」に変更したうえで、「例外」の項目で「信頼されたMicrosoftサービスによるストレージアカウントに対するアクセスを許可します」にチェックを入れます。

 このファイアウォールの設定によって、このストレージアカウントにはあらかじめ許可されたネットワークからのみ接続できるよう制限されました。ただし「許可するネットワーク」を設定していませんから、すべてのネットワークからのアクセスが拒否されます。先ほどは画像ファイルにアクセスできた手元PCのブラウザ、Azure上の仮想マシンのブラウザからも、さらにはAzureポータル上からもアクセスできなくなります。

 続いて、Subnet1からのアクセスを許可するためのサービスエンドポイントの設定を行います。VNet1の設定画面を開き、1.サービスエンドポイントを選択し、2.追加をクリックして、接続先サービスの3.Microsoft.Storageと、アクセスを許可するサブネットの4.Subnet1を選択します。最後に「追加」をクリックすれば、新しいサービスエンドポイントが追加されます。

 サービスエンドポイントの設定はこれだけで完了です。あらためて手元PCのブラウザ、VM1のブラウザから画像ファイルのURLを叩いてみるとどうでしょうか。インターネット経由でアクセスしている手元PCでは画像が表示できませんが、Subnet1から接続しているVM1のブラウザでは表示できるようになりました。つまり次の図のような状態です。

 ファイアウォールの設定というと、一般的にはIPアドレス範囲で許可/拒否する接続元を指定しなければならないことが多く面倒です。「Subnet1」というサブネット名で簡単に指定できるのは、SDN(Software-Defined Network)ならではの便利さですね。

* * *

 以上で今回のハンズオンは終了です。仮想マシン上にIIS(Webサーバー)をインストールしてWebページやAPIをデプロイすれば、よりアプリケーションっぽくなりますので、ぜひトライしてみてください。なお冒頭にも書きましたが、今回のハンズオンで使用したVMやストレージアカウントは課金が発生しますので、使い終わったリソースは忘れずに削除しておきましょう。

■今回のポイントまとめ!

  • Azureの仮想ネットワークサービスでは、閉域網のネットワークを簡単に構築できる
  • IPアドレスベースではなく、サブネットなどのリソース名ベースで指定できて便利
  • ストレージの設定ミスで機密情報をインターネットに公開してまわないよう、ネットワークのセキュリティ設定は確実に

FIXER Inc. 河野 光司

 2020年新卒入社の河野。 学生時代は教育学と物理学の研究をしてましたが、クラウドの魅力に魅せられ、FIXERに飛び込みました ! K8sやDevOpsに興味があります!

前へ 1 2 3 次へ

カテゴリートップへ

この連載の記事