仮想ネットワーク サービス エンドポイントについて説明する
シナリオ
組織は、データベース サーバーを含む既存のアプリを Azure 仮想マシンに移行します。 次に、コストと管理要件を減らすために、あなたは Azure PaaS (サービスとしてのプラットフォーム) のサービスを利用することを検討しています。 具体的には、エンジニアリング図など、大量のファイル資産が保管するためのストレージ サービスです。 このようなエンジニアリング図には特許情報が含まれ、無許可のアクセスから保護される必要があります。 このようなファイルには、特定のシステムからのみアクセスできるようにする必要があります。
同様の要件を持つその他のシナリオを次に示します。
- ピアリングされた仮想ネットワークまたは複数の仮想ネットワークにサービスを接続する。
- 仮想ネットワークに直接デプロイされたサービスへの Azure リソースのセキュリティ保護。
- 仮想ネットワークから Azure サービスへの送信トラフィックのフィルター処理。
- Azure 仮想マシンからのディスク トラフィックの管理。
仮想ネットワーク サービス エンドポイントとは
既定では、Azure サービスはすべてインターネットに直接アクセスするために設計されています。 すべての Azure リソースにはパブリック IP アドレスが与えられます。これには、Azure SQL Database や Azure Storage などの PaaS サービスも含まれます。 このようなサービスはインターネットに公開されるため、潜在的には誰でも自分の Azure サービスにアクセスできます。
Virtual Network (VNet) サービス エンドポイント は、Azure バックボーン ネットワーク経由で Azure サービスにセキュリティで保護された直接接続を提供します。 エンドポイントを使用することで、重要な Azure サービス リソースへのアクセスを仮想ネットワークのみに限定することができます。 サービス エンドポイントを使用すると、仮想ネットワーク内のプライベート IP アドレスが Azure サービスのエンドポイントに到達できます。
サービス エンドポイントは、特定のサービスを Azure のプライベート アドレス空間に直接接続できます。 Azure サービス エンドポイントは、次のような多くのサービスで使用できます。
- Azure Storage
- Azure SQL データベース
- Azure Cosmos DB (アジュール コスモス データベース)
- Azure Key Vault
- Azure Service Bus(アジュール サービス バス)
- Azure Data Lake
サービス エンドポイントの最適化とセキュリティ機能
このビデオでは、エンドポイントの最適化とセキュリティ機能について説明します。
サービス エンドポイント ポリシー
仮想ネットワーク サービス エンドポイント ポリシー サービス エンドポイント ポリシーを使用すると、サービス エンドポイント経由で、特定の Azure リソースへの仮想ネットワーク トラフィックをフィルター処理できます。 たとえば、エンドポイント ポリシーは、サービス エンドポイント経由で接続するときに、Azure Storage への仮想ネットワーク トラフィックに対してきめ細かいアクセス制御を提供できます。
注意
Microsoft では、Azure プラットフォームでホストされているサービスへのセキュリティで保護されたプライベート アクセスには、Azure Private Link とプライベート エンドポイントを使用することをお勧めします。 この情報については、次のユニットで説明します。
ヒント
ネットワーク セキュリティ グループとサービス エンドポイント モジュールを 使用して、Azure リソースへのアクセスをセキュリティで保護して分離するサービス エンドポイント の詳細について説明します。 このモジュールには、サービス エンドポイントを作成し、ネットワーク ルールを使用して Azure Storage へのアクセスを制限する演習が含まれています。