このページの本文へ

FIXER cloud.config Tech Blog

クラウドリソースに簡単かつセキュアな接続、Azure Private Linkを知る

2019年10月15日 15時00分更新

文● 佐藤 紗都/FIXER

  • この記事をはてなブックマークに追加
  • シェア
  • 一覧
  • 本文印刷

 本記事はFIXERが提供する「cloud.config Tech Blog」に掲載された「ネットワークからプライベートかつ安全にデータとサービスに接続! Azure Private Link」を再編集したものです。

はじめに

 この記事はマイクロソフトのAnnouncing Azure Private Linkの要約記事です。

 先月、ネットワークからプライベートかつ安全にデータとサービスに接続するためのAzure Private Linkのプレビュー版が発表されました。

 その機能や役割について、この記事では紹介していきます。

 始めにAzure Private Linkの主要なハイライトについてまとめ、その後詳細について述べます。

Azure Private Linkの主要なハイライト

オンプレミスからのプライベート接続

 カスタマーのVNetのプライベートIPアドレスにPaaSリソースがマッピングされるため、Azure ExpressRouteのプライベートピアリングを介してアクセスできます。

 これはデータがオンプレミスからAzureへ完全にプライベートな接続をすることができるということです。

 また、企業のファイヤーウォールとルートテーブルの構成を簡素化して、プライベートIPアドレスのみアクセスできるようにすることができます。

データ流出保護

 Azure Private Linkの特徴的な点は他のクラウドサービスのようにサービス全体をマッピングするのではなく、特定のPaaSリソースをプライベートIPアドレスにマッピングすることです。

 そのため、同じプライベートエンドポイントを使用してデータを別アカウントに流出させるなどの攻撃を防ぐことができます。

 それによって、Azure Private Linkは組み込みデータの流出を防ぎます。

シンプルなセットアップ

 Azure Private Linkは最小限のネットワーク構成でセットアップすることができます。

 具体的にはPaaSリソースがプライベートエンドポイントにマッピングされれば、ルートテーブルやAzure Network Security Groups (NSGs)で追加の構成を行わなくても利用できます。

アドレス空間のオーバーラップ

 従来、複数のVNetを接続する仕組みとしてVNetピアリングが広く利用されていました。 VNetピアリングでは、VNetに重複しないアドレス空間が必要です。

 その一方で、実際のユースケースではIPアドレス空間が重複するネットワークがよく見られます。

 そこで、Azure Private LinkはIPアドレス空間が重複するVNetのアプリケーションをプライベートに接続する代替手法を提供しています。

 (画像はこちらから引用させていただきました)

Azure Private Linkとは

 Azure Private Linkは、Azureの利用者がAzure StorageやSQLなどのAzureサービス・MicrosoftパートナーサービスまたはAzure Virtual Network(VNet)からプライベートに独自のサービスを利用するための、安全かつ利用の増大に柔軟に対応できる拡張性を持つ通信方法です。

 その仕組みはプロバイダーとコンシューマーが両者ともにazureにホストされています。

 そして、接続が確立されると、プロバイダーとコンシューマーの間のすべてのデータはインターネットから分離され、Microsoft network上に残ります。

 サービスに接続するためにはゲートウェイ、そしてIPアドレスを変換するためのNATもパブリックIPアドレスも必要ありません。

 Azure Private LinkはカスタマーのプライベートVNet内にAzureサービスを提供します。 VNet上のリソースにアクセスするのと同じように、そのAzureサービスにプライベートIPアドレスを用いてアクセスすることができます。

 これによってアクセスルールを非公開にすることができるので、ネットワーク構成が大幅に簡素になります。

 (画像はこちらから引用させていただきました)

 以下3つのユースケースについて、詳細はcloud.config Tech Blogの元記事で紹介しています。

・Azure PaaSサービスへのプライベート接続
・独自のサービスへのプライベート接続
・SaaSサービスへのプライベート接続

おわりに

 現状、 Azure Private Linkのpreview版はEast US, West US, West Central USでしかすべての機能は使えないようです(参照)。

 2019/10/08時点でサポートしているサービスは以下のようです。

・Private Link services behind Standard Load Balancer
・Azure Storage
・Azure Data Lake Storage Gen2
・Azure SQL Database
・Azure SQL Data Warehouse

 Azure Private Linkのドキュメントはこちらです。

 奥山奈々さん並びに佐藤匠さん、翻訳や内容の校正にご協力いただき、ありがとうございました。

[転載元]
 ネットワークからプライベートかつ安全にデータとサービスに接続! Azure Private Link

■関連サイト

カテゴリートップへ

この記事の編集者は以下の記事をオススメしています