このページの本文へ

前へ 1 2 3 次へ

ポイントを速習!「Azureの基礎(AZ900)」をみんなで学ぶ 第9回

仮想ネットワーク(VNet)、サービスエンドポイント、ネットワークセキュリティグループ(NSG)を知る

Azureの基本的なネットワークサービスを理解する【前編】

2020年10月29日 08時00分更新

文● 河野光司/FIXER 編集● 大塚/TECH.ASCII.jp

  • この記事をはてなブックマークに追加
  • 本文印刷

Azureサービスエンドポイント

 「Azure SQL Database」や「Azure Storage」といったAzureのPaaSサービスは、インターネットからアクセス可能なエンドポイント(外部公開URL)を持っています。「Azureサービスエンドポイント」とは、これらのサービスに対するインターネットからの接続を禁止し、VNet内の特定のサブネットからのみにアクセスを制限できる機能です。これによって閉じた環境でPaaSを利用する事ができるため、セキュリティの強化につながります。

「Azureサービスエンドポイント」の概要

 通常のファイアウォール(Azure Firewall)はIPアドレスに基づいてフィルタリングを行いますが、サービスエンドポイントの場合は「リソースID」でフィルタリングを行います。サービス エンドポイントを使用すると、パブリックIPアドレスを必要とせずに、VNet内からAzureのサービスに接続できます。

 サービス エンドポイントを利用する場合は、以下の制限事項に注意する必要があります。

・「Azure Resource Manager」を使ってデプロイされた仮想ネットワークでのみ使用可能
・AzureのVNetに構成されたサブネット上でのみ有効(オンプレミスからAzureサービスへの接続には使用できない)
・リージョンによる制約(Azure SQL の場合、仮想ネットワークのリージョン内の Azure サービス トラフィックにのみ適用される)

Azureネットワークセキュリティグループ(NSG)

 Azureネットワークセキュリティグループ(NSG)は、VNetのサブネットもしくは仮想マシンのNIC(ネットワークインタフェース)に適用できる、ファイアウォールのようなサービスです。VNet内外でレイヤー4(トランスポート層)での通信制御が行えます。1つのNSGを複数のサブネット、複数のNICに適用することもできます。より高いセキュリティを保ってネットワークを利用するうえでとても重要なものなので、ぜひ理解しておきましょう。

 NSGはAzure Firewallによく似ていますが、上図のとおり、Azure FirewallがインターネットとVNetの境界で動作するのに対してNSGはサブネットの境界やNICで動作します。

 また、NSGは「受信セキュリティ規則」「送信セキュリティ規則」というフィルタリングルールに基づいてトラフィックを制御します。NSGを作成すると、まず表のような規定のセキュリティ規則が作成され(これらは削除できません)、ここに送信元/宛先のIPアドレスやポート番号、プロトコル、トラフィックの許可/拒否などを指定する新しい規則を追加していきます。

 そのほかにも、IPアドレスの代わりにサービス タグ名で送信元/宛先を指定したり、アプリケーション セキュリティ グループ(仮想マシンのグループ)でフィルタリングの規則をテンプレート化したりすることができます。

* * *

 以上、今回の前編記事ではMicrosoft Azureの基本的なネットワークサービスについて説明しました。次回の後編記事では、ハンズオンで実際に2層アーキテクチャのWebサービスを構成するネットワークを作成し、ネットワークの構成方法やフィルタリングの実装を学習していきます。

■今回のポイントまとめ!

  • Azureの仮想ネットワークサービスでは、パブリックIPアドレス、プラベートIPアドレスを取得することがき、インターネットや他のVNet、オンプレミスの環境に接続できる。
  • 1つの仮想ネットワークを複数のサブネットに分割することができ、用途によってデプロイするリソースを分けることができる。
  • サービスエンドポイントを使えば、Azureリソースへのインターネットからの接続を禁止し、仮想ネットワーク内の特定のサブネットからのみにアクセスを制限できる
  • ネットワークセキュリティグループ(NSG)は、サブネットや仮想マシンのNICに取り付けることのできるファイアウォールのようなもの。

FIXER Inc. 河野 光司

 2020年新卒入社の河野。 学生時代は教育学と物理学の研究をしてましたが、クラウドの魅力に魅せられ、FIXERに飛び込みました ! K8sやDevOpsに興味があります!

前へ 1 2 3 次へ

カテゴリートップへ

この連載の記事