ポイントを速習!「Azureの基礎(AZ900)」をみんなで学ぶ 第9回
仮想ネットワーク(VNet)、サービスエンドポイント、ネットワークセキュリティグループ(NSG)を知る
Azureの基本的なネットワークサービスを理解する【前編】
2020年10月29日 08時00分更新
Azureサービスエンドポイント
「Azure SQL Database」や「Azure Storage」といったAzureのPaaSサービスは、インターネットからアクセス可能なエンドポイント(外部公開URL)を持っています。「Azureサービスエンドポイント」とは、これらのサービスに対するインターネットからの接続を禁止し、VNet内の特定のサブネットからのみにアクセスを制限できる機能です。これによって閉じた環境でPaaSを利用する事ができるため、セキュリティの強化につながります。
通常のファイアウォール(Azure Firewall)はIPアドレスに基づいてフィルタリングを行いますが、サービスエンドポイントの場合は「リソースID」でフィルタリングを行います。サービス エンドポイントを使用すると、パブリックIPアドレスを必要とせずに、VNet内からAzureのサービスに接続できます。
サービス エンドポイントを利用する場合は、以下の制限事項に注意する必要があります。
・「Azure Resource Manager」を使ってデプロイされた仮想ネットワークでのみ使用可能
・AzureのVNetに構成されたサブネット上でのみ有効(オンプレミスからAzureサービスへの接続には使用できない)
・リージョンによる制約(Azure SQL の場合、仮想ネットワークのリージョン内の Azure サービス トラフィックにのみ適用される)
Azureネットワークセキュリティグループ(NSG)
Azureネットワークセキュリティグループ(NSG)は、VNetのサブネットもしくは仮想マシンのNIC(ネットワークインタフェース)に適用できる、ファイアウォールのようなサービスです。VNet内外でレイヤー4(トランスポート層)での通信制御が行えます。1つのNSGを複数のサブネット、複数のNICに適用することもできます。より高いセキュリティを保ってネットワークを利用するうえでとても重要なものなので、ぜひ理解しておきましょう。
NSGはAzure Firewallによく似ていますが、上図のとおり、Azure FirewallがインターネットとVNetの境界で動作するのに対してNSGはサブネットの境界やNICで動作します。
また、NSGは「受信セキュリティ規則」「送信セキュリティ規則」というフィルタリングルールに基づいてトラフィックを制御します。NSGを作成すると、まず表のような規定のセキュリティ規則が作成され(これらは削除できません)、ここに送信元/宛先のIPアドレスやポート番号、プロトコル、トラフィックの許可/拒否などを指定する新しい規則を追加していきます。
そのほかにも、IPアドレスの代わりにサービス タグ名で送信元/宛先を指定したり、アプリケーション セキュリティ グループ(仮想マシンのグループ)でフィルタリングの規則をテンプレート化したりすることができます。
* * *
以上、今回の前編記事ではMicrosoft Azureの基本的なネットワークサービスについて説明しました。次回の後編記事では、ハンズオンで実際に2層アーキテクチャのWebサービスを構成するネットワークを作成し、ネットワークの構成方法やフィルタリングの実装を学習していきます。
■今回のポイントまとめ!
- Azureの仮想ネットワークサービスでは、パブリックIPアドレス、プラベートIPアドレスを取得することがき、インターネットや他のVNet、オンプレミスの環境に接続できる。
- 1つの仮想ネットワークを複数のサブネットに分割することができ、用途によってデプロイするリソースを分けることができる。
- サービスエンドポイントを使えば、Azureリソースへのインターネットからの接続を禁止し、仮想ネットワーク内の特定のサブネットからのみにアクセスを制限できる
- ネットワークセキュリティグループ(NSG)は、サブネットや仮想マシンのNICに取り付けることのできるファイアウォールのようなもの。
2020年新卒入社の河野。 学生時代は教育学と物理学の研究をしてましたが、クラウドの魅力に魅せられ、FIXERに飛び込みました ! K8sやDevOpsに興味があります!
この連載の記事
-
第13回
TECH
Azureのセキュリティで知っておきたいこと、対策の基礎【後編】 -
第12回
TECH
Azureのセキュリティで知っておきたいこと、対策の基礎【前編】 -
第11回
TECH
Azureの利用コストを管理、予測して支出を最適化する -
第10回
TECH
Azureの基本的なネットワークサービスを理解する【後編】 -
第8回
TECH
Azureのストレージサービスを理解し「SQL Database」に触れてみる -
第7回
TECH
「Azure VM」などAzureの幅広いコンピューティングサービスを知る -
第6回
TECH
Azureの主な管理ツールを知り、リソースを管理する【後編】 -
第5回
TECH
Azureの主な管理ツールを知り、リソースを管理する【前編】 -
第4回
TECH
Azureのインフラ構成とサービス可用性を高める仕組み -
第3回
TECH
Azureの代表的なサービスを知る/使ってみる【後編】 - この連載の一覧へ