ポイントを速習！「Azureの基礎（AZ900）」をみんなで学ぶ 第9回

仮想ネットワーク（VNet）、サービスエンドポイント、ネットワークセキュリティグループ（NSG）を知る

Azureの基本的なネットワークサービスを理解する【前編】

Azureサービスエンドポイント

　「Azure SQL Database」や「Azure Storage」といったAzureのPaaSサービスは、インターネットからアクセス可能なエンドポイント（外部公開URL）を持っています。「Azureサービスエンドポイント」とは、これらのサービスに対するインターネットからの接続を禁止し、VNet内の特定のサブネットからのみにアクセスを制限できる機能です。これによって閉じた環境でPaaSを利用する事ができるため、セキュリティの強化につながります。

「Azureサービスエンドポイント」の概要

　通常のファイアウォール（Azure Firewall）はIPアドレスに基づいてフィルタリングを行いますが、サービスエンドポイントの場合は「リソースID」でフィルタリングを行います。サービス エンドポイントを使用すると、パブリックIPアドレスを必要とせずに、VNet内からAzureのサービスに接続できます。

　サービス エンドポイントを利用する場合は、以下の制限事項に注意する必要があります。

・「Azure Resource Manager」を使ってデプロイされた仮想ネットワークでのみ使用可能
・AzureのVNetに構成されたサブネット上でのみ有効（オンプレミスからAzureサービスへの接続には使用できない）
・リージョンによる制約（Azure SQL の場合、仮想ネットワークのリージョン内の Azure サービス トラフィックにのみ適用される）

Azureネットワークセキュリティグループ（NSG）

　Azureネットワークセキュリティグループ（NSG）は、VNetのサブネットもしくは仮想マシンのNIC（ネットワークインタフェース）に適用できる、ファイアウォールのようなサービスです。VNet内外でレイヤー4（トランスポート層）での通信制御が行えます。1つのNSGを複数のサブネット、複数のNICに適用することもできます。より高いセキュリティを保ってネットワークを利用するうえでとても重要なものなので、ぜひ理解しておきましょう。

　NSGはAzure Firewallによく似ていますが、上図のとおり、Azure FirewallがインターネットとVNetの境界で動作するのに対してNSGはサブネットの境界やNICで動作します。

　また、NSGは「受信セキュリティ規則」「送信セキュリティ規則」というフィルタリングルールに基づいてトラフィックを制御します。NSGを作成すると、まず表のような規定のセキュリティ規則が作成され（これらは削除できません）、ここに送信元／宛先のIPアドレスやポート番号、プロトコル、トラフィックの許可／拒否などを指定する新しい規則を追加していきます。

　そのほかにも、IPアドレスの代わりにサービス タグ名で送信元／宛先を指定したり、アプリケーション セキュリティ グループ（仮想マシンのグループ）でフィルタリングの規則をテンプレート化したりすることができます。

＊　＊　＊

　以上、今回の前編記事ではMicrosoft Azureの基本的なネットワークサービスについて説明しました。次回の後編記事では、ハンズオンで実際に2層アーキテクチャのWebサービスを構成するネットワークを作成し、ネットワークの構成方法やフィルタリングの実装を学習していきます。