SQL Azure のセキュリティ ガイドライン更新日: 2010 年 11 月 15 日 作成者: Dinakar Nethi 共同作成者: Michael Thomassy、Dustin Fraser テクニカル レビュー担当者: Tony Petrossian ダウンロード (XPS、483 KB | PDF、859 KB (もはや利用できます)) 概要SQL Azure Database は、マイクロソフトが提供するクラウド データベース サービスです。SQL Azure では、Web 接続型のデータベース機能をユーティリティ サービスとして提供します。SQL Azure のようなクラウドベースのデータベース ソリューションには、高速なプロビジョニング、コスト効率の高いスケーラビリティ、高可用性、および管理オーバーヘッドの削減といった多くのメリットがあります。このドキュメントでは、SQL Azure Database に接続するお客様、および SQL Azure 上でセキュアなアプリケーションを構築するお客様を対象に、セキュリティ ガイドラインの概要を示します。 著作権についてこのドキュメントは暫定版であり、ここに記載されているソフトウェアの最終的な製品版の発売時に実質的に変更される可能性があります。 このドキュメントに記載されている情報は、このドキュメントの発行時点における米国 Microsoft Corporation (以下、「マイクロソフト」) の見解を反映したものです。マイクロソフトは市場の変化に対応する必要があるため、このドキュメントの内容に関する責任をマイクロソフトは問われないものとします。また、発行日以降に発表される情報の正確性を保証できません。 このホワイト ペーパーは情報提供のみを目的としており、明示、黙示、または法令に基づく規定にかかわらず、これらの情報についてマイクロソフトはいかなる責任も負わないものとします。 お客様ご自身の責任において、適用されるすべての著作権関連法規に従ったご使用を願います。このドキュメントのいかなる部分も、米国 Microsoft Corporation の書面による許諾を受けることなく、その目的を問わず、どのような形態であっても、複製または譲渡することは禁じられています。ここでいう形態とは、複写や記録など、電子的な、または物理的なすべての手段を含みます。ただしこれは、著作権法上のお客様の権利を制限するものではありません。 マイクロソフトは、このドキュメントに記載されている内容に関し、特許、特許申請、商標、著作権、またはその他の無体財産権を有する場合があります。別途マイクロソフトのライセンス契約上に明示の規定のない限り、このドキュメントはこれらの特許、商標、著作権、またはその他の無体財産権に関する権利をお客様に許諾するものではありません。 © 2010 Microsoft Corporation. All rights reserved. Microsoft、ADO.NET Data Services、Cloud Services、Live Services、.NET Services、SharePoint Services、SQL Azure、SQL Azure Database、SQL Server、SQL Server Express、Sync Framework、Visual Studio、Windows Live、および Windows Server は、Microsoft グループ各社の商標です。 その他、記載されている会社名および商品名は、各社の商標または登録商標です。 このドキュメントでは、Microsoft SQL Azure への接続を確立するための、サーバー側およびクライアント側の両方の設定に関する基本的な要件を示します。 SQL Server および SQL Azure のすべてのツールとクライアント ライブラリは、サーバーに接続するために表形式データ ストリーム (TDS) プロトコルを使用します。SQL Azure サービスには、この TDS プロトコルで使用される、既定ポートの TCP/1433 からのみアクセスが可能です。お客様は、ポート TCP/1433 での送信方向の TCP 接続を許可し、アプリケーションおよびツールから SQL Azure に接続できるように環境を設定する必要があります。 Microsoft SQL Azure への接続は、いくつかの手順で構成されます。
SQL Azure に接続するには、各拠点の SQL Azure 仮想 IP アドレスに対して、TCP/1433 の送信方向のトラフィックを許可すれば十分です。 また、適用しているポリシーのレベルに応じて、マイクロソフトの VIP からお客様のネットワーク内に戻るリターン トラフィックを明示的に許可しなければならない場合があります。すなわち、SQL Azure の IP アドレスに対して送信方向の TCP/1433 トラフィックを許可する場合は、SQL Azure の IP アドレス (TCP/1433 のソース ポート) からお客様のネットワーク内に戻るリターン トラフィックも許可する必要があります。一部のネットワークでは、内部から開始された接続についてはすべてのリターン トラフィックが許可されますが、その他の制限付きネットワークでは、リターン トラフィックも、アクセス制御リスト (ACL) で明示的に指定された場合にのみ許可されます。下の例のように、送信方向の ACL に "established" タグを使用すると、お客様のサイト内で確立された接続に関し、お客様のサイトへのリターン トラフィックが許可されます。つまり、お客様のサイト内で開始されていない接続については、トラフィックが許可されません。 "送信方向" および "受信方向" とは、ルーターから見たトラフィックの方向を表しています。 受信方向の ACL (外部向けトラフィック): permit tcp any gt 1023 host <SQL Azure IP> 1433 送信方向の ACL (リターン トラフィック): permit tcp host <SQL Azure IP> 1433 any gt 1023 established SQL Azure の拠点を指定する代わりに、マイクロソフトの公衆ネットワークのアドレス範囲に対して TCP/1433 接続を許可する方が便利な場合があります。この方法は、より柔軟性が高く、SQL Azure の拠点の追加に伴って、お客様が ACL に再アクセスする必要が減ります。 たとえば、SQL Azure の米国中北部データ センターの TDS エンドポイントが data.ch1-1.database.windows.net で、IP アドレスが 207.46.203.22 であるとします。http://whois.arin.net/?queryinput=207.46.203.22 で検索を実行すると、この IP に対してマイクロソフトが割り当てているアドレス範囲が 207.46.0.0/16 であることがわかります。 次に示す ACL 設定の例では、Microsoft SQL Azure サービスで利用可能な IP アドレス範囲全体への接続が許可されます。 受信方向の ACL (外部向けトラフィック): permit tcp any gt 1023 207.46.0.0 0.0.255.255 eq 1433 送信方向の ACL (リターン トラフィック): permit tcp 207.46.0.0 0.0.255.255 eq 1433 any gt 1023 established その他のガイドライン
|
ページのトップへ