この記事では、Azure Event Hubs で次のセキュリティ機能を使用する方法について説明します。
- サービス タグ
- IP ファイアウォール規則
- ネットワーク サービス エンドポイント
- プライベート エンドポイント
サービス タグ
サービス タグは、特定の Azure サービスからの IP アドレス プレフィックスのグループを表します。 サービス タグに含まれるアドレス プレフィックスの管理は Microsoft が行い、アドレスが変化するとサービス タグは自動的に更新されます。これにより、ネットワーク セキュリティ規則に対する頻繁な更新の複雑さを最小限に抑えられます。 サービス タグの詳細については、サービス タグの概要に関する記事を参照してください。
サービス タグを使用して、ネットワーク セキュリティ グループまたは Azure Firewall でのネットワーク アクセス制御を定義できます。 セキュリティ規則を作成するときに、特定の IP アドレスの代わりにサービス タグを使用します。 ルールの適切な送信元または宛先フィールドにサービス タグ名 (EventHub など) を指定することで、対応するサービスのトラフィックを許可または拒否できます。
| サービス タグ | 目的 | 受信または送信で使用できるか | 地域別になりますか? | Azure Firewall と共に使用できるか |
|---|---|---|---|---|
EventHub |
Azure Event Hubs。 | 送信 | イエス | イエス |
IP ファイアウォール
既定では、要求が有効な認証と承認を受けている限り、Event Hubs 名前空間にはインターネットからアクセスできます。 IP ファイアウォールを使用すると、これをさらに CIDR (クラスレス ドメイン間ルーティング) 表記の IPv4 や IPv6 のアドレスのセット、またはアドレス範囲のみに制限できます。
この機能は、Azure Event Hubs に特定の既知のサイトからのみアクセスできる必要があるシナリオで役立ちます。 ファイアウォール規則を使用すると、特定の IPv4 または IPv6 アドレスからのトラフィックを受け入れるように規則を構成できます。 たとえば、 Azure Express Route で Event Hubs を使用する場合は、オンプレミスのインフラストラクチャ IP アドレスからのトラフィックのみを許可する ファイアウォール規則 を作成できます。
IP ファイアウォール規則は、Event Hubs 名前空間レベルで適用されます。 したがって、規則は、サポートされているプロトコルを使用するクライアントからのすべての接続に適用されます。 Event Hubs 名前空間上の許可 IP 規則に合致しない IP アドレスからの接続試行はすべて、未承認として拒否されます。 その応答に、IP 規則に関する記述は含まれません。 IP フィルター規則は順に適用され、IP アドレスと一致する最初の規則に基づいて許可アクションまたは拒否アクションが決定されます。
詳細については、「 イベント ハブの IP ファイアウォールを構成する方法」を参照してください。
ネットワーク サービス エンドポイント
Event Hubs と Virtual Network (仮想ネットワーク) サービス エンドポイント の統合により、仮想ネットワークにバインドされている仮想マシンなどのワークロードからメッセージング機能に安全にアクセスでき、ネットワーク トラフィック パスは両端で保護されます。
少なくとも 1 つの仮想ネットワーク サブネット サービス エンドポイントにバインドするように構成されると、それぞれの Event Hubs 名前空間は、仮想ネットワーク内の承認されたサブネット以外の場所からのトラフィックを受け入れなくなります。 仮想ネットワークの観点から、Event Hubs 名前空間をサービス エンドポイントにバインドすると、仮想ネットワーク サブネットからメッセージング サービスへの分離されたネットワーク トンネルが構成されます。
その結果、メッセージング サービス エンドポイントの監視可能なネットワーク アドレスがパブリック IP 範囲内にあるにもかかわらず、サブネットにバインドされたワークロードとそれぞれの Event Hubs 名前空間の間のプライベートで分離された関係になります。 この動作には例外があります。 サービス エンドポイントを有効にすると、既定では、仮想ネットワークに関連付けられている IP ファイアウォールのdenyall規則がサービスによって有効になります。 特定の IP アドレスを IP ファイアウォールに追加して、Event Hubs パブリック エンドポイントへのアクセスを有効にすることができます。
Von Bedeutung
この機能は Basic サービス レベルではサポートされていません。
仮想ネットワークの統合によって有効になる高度なセキュリティのシナリオ
緊密でコンパートメント化されたセキュリティを必要とし、仮想ネットワーク サブネットがコンパートメント化されたサービス間のセグメント化を提供するソリューションでは、これらのコンパートメントに存在するサービス間の通信パスが必要です。
TCP/IP 上で HTTPS を搬送するものを含め、コンパートメント間の直接の IP ルートには、ネットワーク レイヤーから上のレイヤーの脆弱性を悪用されるリスクがあります。 メッセージング サービスでは、隔離された通信パスが提供され、そこではメッセージがパーティ間を移動するときにディスクにも書き込まれます。 同じ Event Hubs インスタンスにバインドされている 2 つの異なる仮想ネットワークのワークロードは、メッセージを介して効率的かつ確実に通信できますが、それぞれのネットワーク分離境界の整合性は維持されます。
つまり、セキュリティ対策されたクラウド ソリューションは、信頼性が高くスケーラブルな Azure の業界をリードする非同期メッセージング機能にアクセスできるだけでなく、メッセージングを使用して、セキュリティで保護されたソリューション コンパートメント間に通信パスを作成できます。この通信パスは、HTTPS やその他の TLS で保護されたソケット プロトコルを含むピアツーピア通信モードよりも本質的に安全です。
イベント ハブを仮想ネットワークにバインドする
仮想ネットワーク規則 は、Azure Event Hubs 名前空間が特定の仮想ネットワーク サブネットからの接続を受け入れるかどうかを制御するファイアウォール セキュリティ機能です。
仮想ネットワークへの Event Hubs 名前空間のバインドは、2 段階のプロセスです。 まず、仮想ネットワークのサブネット上に仮想ネットワーク サービス エンドポイントを作成し、サービス エンドポイントの概要に関する記事で説明されているように、Microsoft.EventHub で有効にする必要があります。 サービス エンドポイントを追加したら、 仮想ネットワーク 規則を使用して Event Hubs 名前空間をそれにバインドします。
仮想ネットワーク規則は、Event Hubs 名前空間と仮想ネットワーク サブネットの関連付けです。 ルールが存在する間、サブネットにバインドされているすべてのワークロードに Event Hubs 名前空間へのアクセスが許可されます。 Event Hubs 自体は送信接続を確立せず、アクセス権を取得する必要もないため、この規則を有効にしてサブネットへのアクセスを許可されることはありません。
詳細については、「 イベント ハブの仮想ネットワーク サービス エンドポイントを構成する方法」を参照してください。
プライベート エンドポイント
Azure Private Link サービス を使用すると、仮想ネットワーク内の プライベート エンドポイント 経由で Azure サービス (Azure Event Hubs、Azure Storage、Azure Cosmos DB など) と Azure でホストされている顧客/パートナー サービスにアクセスできます。
プライベート エンドポイントとは、Azure Private Link を使用するサービスにプライベートかつ安全に接続するネットワーク インターフェイスです。 プライベート エンドポイントでは、ご自分の仮想ネットワークからのプライベート IP アドレスを使用して、サービスを実質的に仮想ネットワークに取り込みます。 サービスへのすべてのトラフィックをプライベート エンドポイント経由でルーティングできるため、ゲートウェイ、NAT デバイス、ExpressRoute または VPN 接続、パブリック IP アドレスは必要ありません。 仮想ネットワークとサービスの間のトラフィックは、Microsoft のバックボーン ネットワークを経由して、パブリック インターネットからの公開を排除します。 最高レベルの細分性でアクセスを制御しながら Azure リソースのインスタンスに接続できます。
Von Bedeutung
この機能は Basic サービス レベルではサポートされていません。
詳細については、「 イベント ハブのプライベート エンドポイントを構成する方法」を参照してください。
次のステップ
次の記事をご覧ください。