$30 off During Our Annual Pro Sale. View Details »

AWS履修者のためのAzure入門

 AWS履修者のためのAzure入門

2023年8月に「AWS履修者のためのAzure入門」というタイトルで社内勉強会を開催しましたので、その時の資料を公開します。
今回はボリュームの関係から概念や権限・ユーザー管理周りとネットワークに関連するサービスのみ取り上げております。

何故勉強会を開催したかについては以下記事をご確認ください。
https://www.beex-inc.com/blog/aws-azure-entry-study-1

※本資料の内容は公式のドキュメントなどを元に整理しながら作成しておりますが、一部解釈などが間違っている可能性があります。
必要に応じて公式ドキュメントなども確認しながらご覧ください。

==2023/10/02追記==
スライド内でAzureのVMはデフォルトでインターネットへのアウトバウンド通信が可能と記載していますが、Microsoftから以下の発表があり、2025年9月30日をもってデフォルトのインターネットへのアウトバウンド通信が廃止されるようです。
2025年9月30日以降は明示的にインターネットへのアウトバウンド接続を設定する必要がありますので、ご注意ください。
https://azure.microsoft.com/en-us/updates/default-outbound-access-for-vms-in-azure-will-be-retired-transition-to-a-new-method-of-internet-access/

BeeX, Inc.

August 29, 2023
Tweet

More Decks by BeeX, Inc.

Other Decks in Technology

Transcript

  1. Copyright © 2023 BeeX Inc. All Rights Reserved. 2 自己紹介

    ⚫ 名前 半田 大樹(Handa Daiki) ⚫ 所属部署 バリューアッドコンサルティング本部 データインテリジェンス部 Data Management &Engineeringグループ ⚫ 最近の趣味 猫(ラグドール)を可愛がること DP-900
  2. Copyright © 2023 BeeX Inc. All Rights Reserved. 3 アジェンダ

    1. 本資料の目的と必要な前提知識 2. 本資料の注意点 3. 本文 • AWSとAzureの開始フローの違い • AWSとAzureの課金構成の違い • AWSとAzureのセキュリティ概念の違い • AWSとAzureの全体構成の違い • AWSとAzureの権限管理の違い • AWSとAzureの権限付与方法の違い • AWSとAzureのユーザー管理の違い • AWSとAzureのリソース管理の違い • AWSとAzureのリソース操作方法の違い • AWSとAzureのグローバルインフラの違い
  3. Copyright © 2023 BeeX Inc. All Rights Reserved. 4 アジェンダ

    3. 本文(続き) • AWSとAzureのネットワーク系サービスの違い • AWSとAzureのネットワークセキュリティ系サービスの違い
  4. Copyright © 2023 BeeX Inc. All Rights Reserved. 5 本資料の目的と必要な前提知識

    • 本資料はAWSをある程度触ったことがあるエンジニア向けにAzureとの違いを整理した資料になりま す。 • そのため、最低でもソリューションアーキテクトアソシエイト資格レベルの知識を持っていることを 前提とします。 • また、Azureにおける機能の詳細や利用上の制約などの細かい部分までは記載しておらず、あくまで AWSと比較することによるAzureの概念理解を目的としています。
  5. Copyright © 2023 BeeX Inc. All Rights Reserved. 6 本資料の注意点

    • 本資料ではスライド右上にスライド内に記載されているクラウドの名前が書かれたマークを載せており ます。 • どちらかにしかない機能・仕組みであれば、そのクラウドのマークのみ右上に記載されています。 • また、記載された内容は2023年7-8月時点のものになるため、閲覧する時期によっては最新のものでは ない内容が含まれている可能性があります。 • 本資料の内容は公式のドキュメントなどを元に整理した内容になりますため、一部解釈が間違っている 可能性があります。必要に応じて公式ドキュメントなども確認しながらご覧ください。 • 詳細な料金やサービスの機能までは詳細に取り上げません。 AWS Azure
  6. Copyright © 2023 BeeX Inc. All Rights Reserved. 7 本資料のゴール

    1 2 AWS←→Azureのサービスの読み替えができるようになる Azureの仕組みについて”少し”詳しくなる
  7. Copyright © 2023 BeeX Inc. All Rights Reserved. 8 [再掲]アジェンダ

    1. 本資料の目的と必要な前提知識 2. 本資料の注意点 3. 本文 • AWSとAzureの開始フローの違い • AWSとAzureの課金構成の違い • AWSとAzureのセキュリティ概念の違い • AWSとAzureの全体構成の違い • AWSとAzureの権限管理の違い • AWSとAzureの権限付与方法の違い • AWSとAzureのユーザー管理の違い • AWSとAzureのリソース管理の違い • AWSとAzureのリソース操作方法の違い • AWSとAzureのグローバルインフラの違い
  8. Copyright © 2023 BeeX Inc. All Rights Reserved. 10 AWSとAzureの利用フローの違い

    初めて各クラウドを利用する際の開始フローは以下になります。 (Azureは後述する課金方法MOSPを利用する場合) MSアカウントまたはGitHubアカウントの作成 Azureアカウントのサインアップ Azureアカウントへのサインイン・ログイン 「従量課金制」へのアップグレード AWSアカウントのサインアップ AWSアカウントへのサインイン・ログイン AWS Azure
  9. Copyright © 2023 BeeX Inc. All Rights Reserved. 11 [再掲]アジェンダ

    1. 本資料の目的と必要な前提知識 2. 本資料の注意点 3. 本文 • AWSとAzureの開始フローの違い • AWSとAzureの課金構成の違い • AWSとAzureのセキュリティ概念の違い • AWSとAzureの全体構成の違い • AWSとAzureの権限管理の違い • AWSとAzureの権限付与方法の違い • AWSとAzureのユーザー管理の違い • AWSとAzureのリソース管理の違い • AWSとAzureのリソース操作方法の違い • AWSとAzureのグローバルインフラの違い
  10. Copyright © 2023 BeeX Inc. All Rights Reserved. 13 AWSとAzureの課金構成の違い

    AWSは集約型か個別型、Azureは契約形態によって複数の種類があります。 MS Account or GitHub Account Azure Account Billing Account Billing Role Billing Profile Subscription Subscription Invoice Payment methods Invoice Payment methods Invoice Payment methods Account Management Account Account Invoice Payment methods Account Invoice Payment methods AWS Azure 集約 集約 集約型 個別型
  11. Copyright © 2023 BeeX Inc. All Rights Reserved. 14 AWSとAzureの課金構成の違い

    Azureは課金アカウントの種類が4種類あり、種類によって請求書や課金データの管理場所が異なります。 Account Management Account Account Invoice Payment methods Account Invoice Payment methods Azure Microsoft Online Services Program Enterprise Agreement Microsoft 顧客契約 Microsoft Partner Agreement Billing Account Subscription Invoice Payment methods Billing Account Invoice Payment methods Department Account Subscription Billing Account Billing Profile Invoice section Subscription Invoice Payment methods Billing Account Billing Profile Invoice Payment methods Customer Subscription 集約 集約 集約型 個別型
  12. Copyright © 2023 BeeX Inc. All Rights Reserved. 15 AWSとAzureの課金構成の違い

    Account Management Account Account Invoice Payment methods Account Invoice Payment methods Azure Microsoft Online Services Program Enterprise Agreement Microsoft 顧客契約 Microsoft Partner Agreement Billing Account Subscription Invoice Payment methods Billing Account Invoice Payment methods Department Account Subscription Billing Account Billing Profile Invoice section Subscription Invoice Payment methods Billing Account Billing Profile Invoice Payment methods Customer Subscription 個人や小規模組織が利用する場合はこちら MOSPでは、請求書やその他課金情報はサブスクリプションに紐づけられるようになっています。 集約 集約 集約型 個別型
  13. Copyright © 2023 BeeX Inc. All Rights Reserved. 16 AWSとAzureの課金構成の違い

    Account Management Account Account Invoice Payment methods Account Invoice Payment methods Azure Microsoft Online Services Program Enterprise Agreement Microsoft 顧客契約 Microsoft Partner Agreement Billing Account Subscription Invoice Payment methods Billing Account Invoice Payment methods Department Account Subscription Billing Account Billing Profile Invoice section Subscription Invoice Payment methods Billing Account Billing Profile Invoice Payment methods Customer Subscription 大規模組織がEAを締結して利用する場合はこちら ※EA:Enterprise Agreement EAでは、1つ以上の部署やアカウントの課金情報が課金アカウントに紐づけられます。 集約 集約 集約型 個別型
  14. Copyright © 2023 BeeX Inc. All Rights Reserved. 17 AWSとAzureの課金構成の違い

    顧客契約(MCA)では、課金プロファイルに請求や課金情報が紐づけられ、セクションを作成して課金対象を まとめることが可能です。また、課金アカウントは1つ以上の課金プロファイルを含みます。 Account Management Account Account Invoice Payment methods Account Invoice Payment methods Azure Microsoft Online Services Program Enterprise Agreement Microsoft 顧客契約 Microsoft Partner Agreement Billing Account Subscription Invoice Payment methods Billing Account Invoice Payment methods Department Account Subscription Billing Account Billing Profile Invoice section Subscription Invoice Payment methods Billing Account Billing Profile Invoice Payment methods Customer Subscription 中小規模組織がCAを締結して利用する場合はこちら ※CA:Customer Agreement 集約 集約 集約型 個別型
  15. Copyright © 2023 BeeX Inc. All Rights Reserved. 18 AWSとAzureの課金構成の違い

    Account Management Account Account Invoice Payment methods Account Invoice Payment methods Azure Microsoft Online Services Program Enterprise Agreement Microsoft 顧客契約 Microsoft Partner Agreement Billing Account Subscription Invoice Payment methods Billing Account Invoice Payment methods Department Account Subscription Billing Account Billing Profile Invoice section Subscription Invoice Payment methods Billing Account Billing Profile Invoice Payment methods Customer Subscription MSパートナーがリセールする場合はこちら MPAでは、MCAと同じく課金プロファイルに請求や課金情報が紐づけられ、セクションではなくリセール する顧客ごとに課金対象をまとめられます。課金アカウントは1つ以上の課金プロファイルを含みます。 集約 集約 集約型 個別型
  16. Copyright © 2023 BeeX Inc. All Rights Reserved. 19 [再掲]アジェンダ

    1. 本資料の目的と必要な前提知識 2. 本資料の注意点 3. 本文 • AWSとAzureの開始フローの違い • AWSとAzureの課金構成の違い • AWSとAzureのセキュリティ概念の違い • AWSとAzureの全体構成の違い • AWSとAzureの権限管理の違い • AWSとAzureの権限付与方法の違い • AWSとAzureのユーザー管理の違い • AWSとAzureのリソース管理の違い • AWSとAzureのリソース操作方法の違い • AWSとAzureのグローバルインフラの違い
  17. Copyright © 2023 BeeX Inc. All Rights Reserved. 21 AWSとAzureのセキュリティ概念の違い

    クラウドにおけるセキュリティの概念としては、AWSとAzureでそこまで大きい違いはありません。 AWSやAzureがどこまでのセキュリティを担保するかは提供するサービスモデルによって異なります。 AWS Azure 責任共有モデル 共同責任モデル
  18. Copyright © 2023 BeeX Inc. All Rights Reserved. 22 AWSとAzureのセキュリティ概念の違い

    大まかに分類したサービスモデルごとの責任範囲は以下の通りです。 サービスによっては、1つのレイヤー内で更にユーザーとAWS/Azureで責任範囲を分担しているものもあり ますが、以下表では割愛します。 レイヤー SaaS PaaS FaaS DaaS DBaaS MLaaS CaaS IaaS ユーザーデータ ユーザー ユーザー ユーザー ユーザー ユーザー ユーザー ユーザー ユーザー IDとアクセス管理 ユーザー ユーザー ユーザー ユーザー ユーザー ユーザー ユーザー ユーザー アプリケーション AWS Azure ユーザー ユーザー ユーザー ユーザー ユーザー ユーザー ユーザー ゲストOS AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure ユーザー ユーザー ネットワーク設定 AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure ユーザー ユーザー 仮想ネットワーク AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure 仮想マシン AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure 物理ホスト AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure データセンター AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure
  19. Copyright © 2023 BeeX Inc. All Rights Reserved. 23 AWSとAzureのセキュリティ概念の違い

    参考までに各サービスモデル間の構成と各クラウドでの該当サービス例を以下に記載します。 IaaS CaaS PaaS FaaS DBaaS MLaaS DaaS SaaS EC2 ECS Beanstalk Lambda RDS SageMaker WorkSpaces WorkDocs VM AKS App Service Functions SQL Database Machine Learning Virtual Desktop OneDrive 抽象度 高 包括関係 AWS Azure
  20. Copyright © 2023 BeeX Inc. All Rights Reserved. 24 [再掲]アジェンダ

    1. 本資料の目的と必要な前提知識 2. 本資料の注意点 3. 本文 • AWSとAzureの開始フローの違い • AWSとAzureの課金構成の違い • AWSとAzureのセキュリティ概念の違い • AWSとAzureの全体構成の違い • AWSとAzureの権限管理の違い • AWSとAzureの権限付与方法の違い • AWSとAzureのユーザー管理の違い • AWSとAzureのリソース管理の違い • AWSとAzureのリソース操作方法の違い • AWSとAzureのグローバルインフラの違い
  21. Copyright © 2023 BeeX Inc. All Rights Reserved. 26 AWSとAzureの全体構成の違い

    以下にAWSとAzureの構成について記載します。 Organizations Root Organizational unit Account Subscriptions Root Management Groups Resource Groups Azure Account Tenant (MS Entra ID) MS Account or GitHub Account Root User Root User 1 N N N 1 N N N 1 Management Account 1 1 1 1 Management Groups N 1 N N N 1 1 N 1 N N N 1 AWS Azure
  22. Copyright © 2023 BeeX Inc. All Rights Reserved. 27 AWSとAzureの全体構成の違い

    請求はAzureのほうがより細かい単位で設定できるようになっています。(MOSPの場合) Organizations Root Organizational unit Account Subscriptions Root Management Groups Resource Groups Azure Account MS Account or GitHub Account Root User Root User 1 N N N 1 N N N 1 Management Account 1 1 1 1 Management Groups N 1 N N N 1 1 N 1 N N N 1 AWS Azure Tenant (MS Entra ID)
  23. Copyright © 2023 BeeX Inc. All Rights Reserved. 28 AWSとAzureの全体構成の違い

    最小のリソースをまとめる単位はAWSはAccount、AzureはResourceGroupとなります。 Organizations Root Organizational unit Account Subscriptions Root Management Groups Resource Groups Azure Account MS Account or GitHub Account Root User Root User 1 N N N 1 N N N 1 Management Account 1 1 1 1 Management Groups N 1 N N N 1 1 N 1 N N N 1 AWS Azure Tenant (MS Entra ID)
  24. Copyright © 2023 BeeX Inc. All Rights Reserved. 29 AWSとAzureの全体構成の違い

    環境ごとや組織体制に併せてグルーピングするにはAWSはOU、AzureはMGを利用します。 Organizations Root Organizational unit Account Subscriptions Root Management Groups Resource Groups Azure Account MS Account or GitHub Account Root User Root User 1 N N N 1 N N N 1 Management Account 1 1 1 1 Management Groups N 1 N N N 1 1 N 1 N N N 1 AWS Azure Tenant (MS Entra ID)
  25. Copyright © 2023 BeeX Inc. All Rights Reserved. 30 AWSとAzureの全体構成の違い

    ユーザ管理はAzureはIDに集約、AWSは各アカウント内のIAMユーザーかIdentity Center(SSO)を利用します。 Organizations Root Organizational unit Account Subscriptions Root Management Groups Resource Groups Azure Account MS Account or GitHub Account Root User Root User 1 N N N 1 N N N 1 Management Account 1 1 1 1 Management Groups N 1 N N N 1 1 N 1 N N N 1 Identity Center AWS Azure Tenant (MS Entra ID)
  26. Copyright © 2023 BeeX Inc. All Rights Reserved. 31 [再掲]アジェンダ

    1. 本資料の目的と必要な前提知識 2. 本資料の注意点 3. 本文 • AWSとAzureの開始フローの違い • AWSとAzureの課金構成の違い • AWSとAzureのセキュリティ概念の違い • AWSとAzureの全体構成の違い • AWSとAzureの権限管理の違い • AWSとAzureの権限付与方法の違い • AWSとAzureのユーザー管理の違い • AWSとAzureのリソース管理の違い • AWSとAzureのリソース操作方法の違い • AWSとAzureのグローバルインフラの違い
  27. Copyright © 2023 BeeX Inc. All Rights Reserved. 33 AWSとAzureの権限管理

    AWSはアカウント単位で許可が可能、Azureは管理グループ単位から許可が可能となっています。 ユーザー アクセス ユーザー アクセス方法 アクセス許可先 User IAM User SSO User User ID User IAM Role Account Resouce Account Resouce IAM Policy IAM Policy 権限付与方法 Azure Role Subscriptions Resource Groups Resources アクセス制限 SCP Azure Policy Permissions boundary AWS Azure Management Groups
  28. Copyright © 2023 BeeX Inc. All Rights Reserved. 34 AWSとAzureの権限管理

    IAM UserからIAMロールのスイッチロールを使用してアカウントにアクセスを行うことも可能です。 ユーザー アクセス ユーザー アクセス方法 アクセス許可先 User IAM User SSO User User ID User IAM Role Account Resouce Account Resouce IAM Policy IAM Policy 権限付与方法 Azure Role Subscriptions Resource Groups Resources アクセス制限 SCP Azure Policy Permissions boundary AWS Management Groups IAM Role
  29. Copyright © 2023 BeeX Inc. All Rights Reserved. 35 AWSとAzureの権限管理

    AWSのIAM Policy(Role含む)とAzureのAzure ロールは同じ役割(ユーザーへの権限の付与)を持っています。 ユーザー アクセス ユーザー アクセス方法 アクセス許可先 User IAM User SSO User User ID User IAM Role Account Resouce Account Resouce IAM Policy IAM Policy 権限付与方法 Azure Role アクセス制限 SCP Azure Policy Permissions boundary AWS Azure Subscriptions Resource Groups Resources Management Groups
  30. Copyright © 2023 BeeX Inc. All Rights Reserved. 36 AWSとAzureの権限管理

    AWSのSCP・Permissions boundaryとAzureのAzure Policyは同じ役割(アクセス制限)を持っています。 ユーザー アクセス ユーザー アクセス方法 アクセス許可先 User IAM User SSO User User ID User IAM Role Account Resouce Account Resouce IAM Policy IAM Policy 権限付与方法 Azure Role アクセス制限 SCP Azure Policy Permissions boundary AWS Azure Subscriptions Resource Groups Resources Management Groups
  31. Copyright © 2023 BeeX Inc. All Rights Reserved. 37 AWSとAzureの権限管理

    アクセス制限を行うポリシーは、構成の上にあるリソースから下にあるリソースに対して権限を継承します。 SCP Permissions boundary Organizational unit Account IAM User SSO User SCP IAM Policy IAM Policy 上から下に 継承 Management Groups Subscriptions Resource Groups ID User SCP Azure Policy Azure Policy Azure Policy Azure ロール Organizations Root Resources Resources Azure Policy AWS Azure
  32. Copyright © 2023 BeeX Inc. All Rights Reserved. 38 AWSとAzureの権限管理

    全ての権限をAND条件で判定し、許可された範囲のみ操作を行うことができます。(拒否・除外について) SCP Permissions boundary Organizational unit Account IAM User SSO User SCP IAM Policy IAM Policy 上から下に 継承 Management Groups Subscriptions Resource Groups ID User SCP Azure Policy Azure Policy Azure Policy Azure ロール Organizations Root Resources Resources Azure Policy すべて許可 すべて許可 EC2以外拒否 EC2のみ操作可 すべて許可 すべて許可 東京リージョン のみ可 東京リージョン のみ操作可 すべて許可 AWS Azure メモ 許可よりも拒否のほうが上になる
  33. Copyright © 2023 BeeX Inc. All Rights Reserved. 39 AWSとAzureの権限管理

    AWSはアカウント配下のリソース、Azureは許可したスコープ配下のリソースに対してアクセスを許可します。 SCP Permissions boundary Organizational unit Account IAM User SSO User SCP IAM Policy IAM Policy 上から下に 継承 Management Groups Subscriptions Resource Groups ID User SCP Azure Policy Azure Policy Azure Policy Azure ロール Organizations Root Resources Resources Azure Policy AWS Azure
  34. Copyright © 2023 BeeX Inc. All Rights Reserved. 40 AWSとAzureの権限管理

    AWSとAzureそれぞれで、デフォルトで準備されているポリシーと手動作成ポリシーの2種類があります。 SCP Permissions boundary Organizational unit Account IAM User SSO User SCP IAM Policy IAM Policy 上から下に 継承 Management Groups Subscriptions Resource Groups ID User SCP Azure Policy Azure Policy Azure Policy Azure ロール Organizations Root Resources Resources Azure Policy AWS管理 ポリシー カスタム管理 ポリシー 組み込み ポリシー カスタム ポリシー AWS Azure
  35. Copyright © 2023 BeeX Inc. All Rights Reserved. 41 AWSとAzureの権限管理

    ユーザーに対して権限を付与するPolicy/ロールにもデフォルトとカスタムがあります。 SCP Permissions boundary Organizational unit Account IAM User SSO User SCP IAM Policy IAM Policy 上から下に 継承 Management Groups Subscriptions Resource Groups ID User SCP Azure Policy Azure Policy Azure Policy Azure ロール Organizations Root Resources Resources Azure Policy AWS管理 ポリシー カスタム管理 ポリシー 組み込み ポリシー カスタム ポリシー AWS管理ポリシー カスタム管理ポリシー インラインポリシー 組み込みロール カスタムロール AWS Azure
  36. Copyright © 2023 BeeX Inc. All Rights Reserved. 42 AWSとAzureの権限管理

    AWSは更に追加でUserに1対1で紐づくインラインポリシーというものもあります。 SCP Permissions boundary Organizational unit Account IAM User SSO User SCP IAM Policy IAM Policy 上から下に 継承 Management Groups Subscriptions Resource Groups ID User SCP Azure Policy Azure Policy Azure Policy Azure ロール Organizations Root Resources Resources Azure Policy AWS管理 ポリシー カスタム管理 ポリシー 組み込み ポリシー カスタム ポリシー AWS管理ポリシー カスタム管理ポリシー インラインポリシー 組み込みロール カスタムロール AWS
  37. Copyright © 2023 BeeX Inc. All Rights Reserved. 43 AWSとAzureの権限管理

    尚、AWSにはリソースに対してアタッチできるリソースベースポリシーというものも存在します。 SCP Permissions boundary Organizational unit Account IAM User SSO User SCP IAM Policy IAM Policy 上から下に 継承 Management Groups Subscriptions Resource Groups ID User SCP Azure Policy Azure Policy Azure Policy Azure ロール Organizations Root Resources Resources Azure Policy AWS管理 ポリシー カスタム管理 ポリシー 組み込み ポリシー カスタム ポリシー AWS Resource base policy
  38. Copyright © 2023 BeeX Inc. All Rights Reserved. 44 AWSとAzureの権限管理

    そのため、厳密にはAWSのアクセス制限方法は全部で3種類あります。 ユーザー アクセス ユーザー アクセス方法 アクセス許可先 User IAM User SSO User User ID User IAM Role Account Resouce Account Resouce IAM Policy IAM Policy 権限付与方法 Azure Role アクセス制限 SCP Azure Policy Permissions boundary AWS Resource base policy Subscriptions Resources Management Groups
  39. Copyright © 2023 BeeX Inc. All Rights Reserved. 45 AWSとAzureの権限管理

    AzureにはAzure Policyを1つにまとめることができる、イニシアチブ定義というものが存在します。 SCP Permissions boundary Organizational unit Account IAM User SSO User SCP IAM Policy IAM Policy 上から下に 継承 Management Groups Subscriptions Resource Groups ID User SCP Azure Policy Azure Policy Initiative definition Azure ロール Organizations Root Resources Resources Azure Policy AWS管理 ポリシー カスタム管理 ポリシー 組み込み ポリシー カスタム ポリシー Azure Resource base policy
  40. Copyright © 2023 BeeX Inc. All Rights Reserved. 46 [再掲]アジェンダ

    1. 本資料の目的と必要な前提知識 2. 本資料の注意点 3. 本文 • AWSとAzureの開始フローの違い • AWSとAzureの課金構成の違い • AWSとAzureのセキュリティ概念の違い • AWSとAzureの全体構成の違い • AWSとAzureの権限管理の違い • AWSとAzureの権限付与方法の違い • AWSとAzureのユーザー管理の違い • AWSとAzureのリソース管理の違い • AWSとAzureのリソース操作方法の違い • AWSとAzureのグローバルインフラの違い
  41. Copyright © 2023 BeeX Inc. All Rights Reserved. 48 AWSとAzureの権限付与方法の違い

    AWSは特定のアカウントに対して操作を許可し、Azureは特定のスコープに対して役割(ロール)で許可します。 User User IAM User ID User Account IAM Policy Azure Role Subscriptions Resource Groups Resources アクセス元 アクセス ユーザー 操作スコープ 許可する操作 AWS管理 ポリシー カスタム管理 ポリシー インライン ポリシー 組み込みロール カスタムロール AWS Azure ロール Account Resource Resources 操作対象 Management Groups
  42. Copyright © 2023 BeeX Inc. All Rights Reserved. 49 AWSとAzureの権限付与方法の違い

    AWSとAzureのどちらも権限設計時は役割で整理する必要があるため、以下に役割ごとの図を記載します。 アクセス元 User User 役割単位 IAM User IAM Group IAM User ID User ID Group ID User 権限付与方法 Azure Role Azure Role IAM Policy IAM Policy AWS Azure 継承 継承 権限許可単位 ・・・ ・・・
  43. Copyright © 2023 BeeX Inc. All Rights Reserved. 50 AWSとAzureの権限付与方法の違い

    AWSとAzureのどちらもユーザーに直接権限を付与する方法とグループを介する方法があります。 アクセス元 User User 役割単位 IAM User IAM Group IAM User ID User ID Group ID User 権限付与方法 Azure Role Azure Role IAM Policy IAM Policy AWS Azure 継承 継承 権限許可単位 ・・・ ・・・
  44. Copyright © 2023 BeeX Inc. All Rights Reserved. 51 AWSとAzureの権限付与方法の違い

    AWSはサービス単位の権限設計、Azureはサービスも含めたスコープ単位の権限設計が必要になります。 アクセス元 User User 役割単位 IAM User IAM Group IAM User ID User ID Group ID User 権限付与方法 Azure Role Azure Role IAM Policy IAM Policy AWS Azure 継承 継承 権限許可単位 ・・・ ・・・ サービスごとの権限設計が必要 スコープごとの権限設計が必要
  45. Copyright © 2023 BeeX Inc. All Rights Reserved. 52 AWSとAzureの権限付与方法の違い

    AWSのIdentity Centerを利用時、権限の付与はIAMロールに対して行います。(権限セットの説明は割愛) アクセス元 User User 役割単位 IAM User IAM Group IAM User ID User ID Group ID User 権限付与方法 Azure Role Azure Role IAM Policy IAM Policy AWS 継承 継承 権限許可単位 ・・・ ・・・ SSO User/Group IAM Role IAM Policy
  46. Copyright © 2023 BeeX Inc. All Rights Reserved. 53 AWSとAzureの権限付与方法の違い

    操作権限を付与できる対象は決まっており、AWSは3種類、Azureは4種類の付与対象が存在します。 Azure Role IAM Policy 権限付与方法 権限種類 Managed Policy Custom Policy Inline Policy built-in Role Custom Role IAM User IAM Group IAM Role ID Group ID User Managed ID Service Principal 権限付与対象 AWS Azure
  47. Copyright © 2023 BeeX Inc. All Rights Reserved. 54 AWSとAzureの権限付与方法の違い

    その中でも一部の付与対象はAWSとAzureの各サービスから利用することも可能です。 Azure Role IAM Policy 権限付与方法 権限種類 Managed Policy Custom Policy Inline Policy built-in Role Custom Role IAM User IAM Group IAM Role ID Group ID User Managed ID Service Principal 権限付与対象 AWS Azure
  48. Copyright © 2023 BeeX Inc. All Rights Reserved. 55 AWSとAzureの権限付与方法の違い

    サービスで利用する場合は、AWSはロールをリソースに直接紐づけ、AzureはEntra IDのIDに紐づけられます。 Azure Role IAM Policy 権限付与方法 権限種類 Managed Policy Custom Policy Inline Policy built-in Role Custom Role IAM Role System Managed ID 権限付与対象 AWS Azure ・ ・ ・ ・ ・ ・ アタッチ アタッチ User Managed ID Service Principal
  49. Copyright © 2023 BeeX Inc. All Rights Reserved. 56 AWSとAzureの権限付与方法の違い

    AzureのManaged IDには2種類あり、リソース作成時に自動作成されるものとユーザー作成のものがあります。 Azure Role IAM Policy 権限付与方法 権限種類 Managed Policy Custom Policy Inline Policy built-in Role Custom Role IAM Role System Managed ID 権限付与対象 Azure ・ ・ ・ ・ ・ ・ アタッチ アタッチ User Managed ID Service Principal
  50. Copyright © 2023 BeeX Inc. All Rights Reserved. 57 AWSとAzureの権限付与方法の違い

    サービスから利用する場合の仕組みは以下になります。 IAM Role EC2 STS ・ ・ ・ アクセス許可 紐づけリソース アクセス先 認証サービス AWS Azure VM Managed ID 信頼関係確立 AssumeRole 一時的な認証情報発行 一時的な認証情報でアクセス ・ ・ ・ 紐づけ Access Token Request Access Token Access Tokenでアクセス Entra ID Service Principal Application
  51. Copyright © 2023 BeeX Inc. All Rights Reserved. 58 AWSとAzureの権限付与方法の違い

    AWSはSTSサービスが一時認証情報を発行し、AzureではMS Entra IDがAccess Tokenを発行します。 IAM Role EC2 STS ・ ・ ・ アクセス許可 紐づけリソース アクセス先 認証サービス AWS Azure VM Managed ID 信頼関係確立 AssumeRole 一時的な認証情報発行 一時的な認証情報でアクセス ・ ・ ・ 紐づけ Access Token Request Access Token Access Tokenでアクセス Entra ID Service Principal Application
  52. Copyright © 2023 BeeX Inc. All Rights Reserved. 59 AWSとAzureの権限付与方法の違い

    Azureのロールの付与は厳密にはManaged IDではなく、Entra ID内のService Principalに対して付与されます。 IAM Role EC2 STS ・ ・ ・ アクセス許可 紐づけリソース アクセス先 認証サービス Azure VM Managed ID 信頼関係確立 AssumeRole 一時的な認証情報発行 一時的な認証情報でアクセス ・ ・ ・ 紐づけ Access Token Request Access Token Access Tokenでアクセス Entra ID Service Principal Application
  53. Copyright © 2023 BeeX Inc. All Rights Reserved. 60 AWSとAzureの権限付与方法の違い

    Azureのロールの付与は厳密にはManaged IDではなく、Entra ID内のService Principalに対して付与されます。 IAM Role EC2 STS ・ ・ ・ アクセス許可 紐づけリソース アクセス先 認証サービス Azure VM Managed ID 信頼関係確立 AssumeRole 一時的な認証情報発行 一時的な認証情報でアクセス ・ ・ ・ 紐づけ Access Token Request Access Token Access Tokenでアクセス Entra ID Service Principal Application
  54. Copyright © 2023 BeeX Inc. All Rights Reserved. 61 AWSとAzureの権限付与方法の違い

    そのため、アクセス許可を与えているというよりは、認証リクエスト元と呼称するのが適切かもしれません。 IAM Role EC2 STS ・ ・ ・ 認証リクエスト元 紐づけリソース アクセス先 認証サービス Azure VM Managed ID 信頼関係確立 AssumeRole 一時的な認証情報発行 一時的な認証情報でアクセス ・ ・ ・ 紐づけ Access Token Request Access Token Access Tokenでアクセス Entra ID Service Principal Application
  55. Copyright © 2023 BeeX Inc. All Rights Reserved. 62 AWSとAzureの権限付与方法の違い

    Managed IDを利用しない場合は、Entra IDにService PrincipalとApplicationを登録して利用も可能です。 IAM Role EC2 STS ・ ・ ・ 紐づけリソース アクセス先 認証サービス Azure User 信頼関係確立 AssumeRole 一時的な認証情報発行 一時的な認証情報でアクセス ・ ・ ・ Access Token Request (ID/Secrets/証明書付加) Access Token Access Tokenでアクセス Entra ID Service Principal Application Onpre Application Azure CLI Application 認証リクエスト元
  56. Copyright © 2023 BeeX Inc. All Rights Reserved. 63 [再掲]アジェンダ

    1. 本資料の目的と必要な前提知識 2. 本資料の注意点 3. 本文 • AWSとAzureの開始フローの違い • AWSとAzureの課金構成の違い • AWSとAzureのセキュリティ概念の違い • AWSとAzureの全体構成の違い • AWSとAzureの権限管理の違い • AWSとAzureの権限付与方法の違い • AWSとAzureのユーザー管理の違い • AWSとAzureのリソース管理の違い • AWSとAzureのリソース操作方法の違い • AWSとAzureのグローバルインフラの違い
  57. Copyright © 2023 BeeX Inc. All Rights Reserved. 65 [再掲]AWSとAzureの全体構成の違い

    ユーザ管理はAzureはIDに集約、AWSは各アカウント内のIAMユーザーかIdentity Center(SSO)を利用します。 Organizations Root Organizational unit Account Subscriptions Root Management Groups Resource Groups Azure Account MS Account or GitHub Account Root User Root User 1 N N N 1 N N N 1 Management Account 1 1 1 1 Management Groups N 1 N N N 1 1 N 1 N N N 1 Identity Center AWS Azure Tenant (MS Entra ID)
  58. Copyright © 2023 BeeX Inc. All Rights Reserved. 66 [再掲]AWSとAzureの権限管理

    AWSはアカウント単位で許可が可能、Azureは管理グループ単位から許可が可能となっています。 ユーザー アクセス ユーザー アクセス方法 アクセス許可先 User IAM User SSO User User ID User IAM Role Account Resouce Account Resouce IAM Policy IAM Policy 権限付与方法 Azure Role Subscriptions Resource Groups Resources アクセス制限 SCP Azure Policy Permissions boundary AWS Azure Management Groups
  59. Copyright © 2023 BeeX Inc. All Rights Reserved. 67 AWSとAzureのユーザー管理の違い

    AWSはAccount内のIAM UserかIdentity Center(SSO)で管理され、AzureはMS Entra IDで一括管理されます。 ユーザー User User Management Console login Identity Center login Microsoft Azure login Account Identity Center MS Entra ID IAM User SSO User ID User Management Console Management Console Azure Portal 認証情報入力 ログインユーザー ユーザ管理 ログイン方法 操作対象 許可されている アカウント内リソース IAM Userがある アカウント内リソース 許可されている スコープ内リソース AWS Azure
  60. Copyright © 2023 BeeX Inc. All Rights Reserved. 68 AWSとAzureのユーザー管理の違い

    AWSのIAM Userは特定Accountに対してのみログインでき、それ以外のAccountにはログインができません。 ※IAMロールのスイッチロールを利用する場合を除く ユーザー User User Identity Center login Microsoft Azure login Account Identity Center MS Entra ID IAM User SSO User ID User Management Console Management Console Azure Portal 認証情報入力 ログインユーザー ユーザ管理 ログイン方法 操作対象 許可されている アカウント内リソース IAM Userがある アカウント内リソース 許可されている スコープ内リソース AWS Management Console login
  61. Copyright © 2023 BeeX Inc. All Rights Reserved. 69 AWSとAzureのユーザー管理の違い

    AWSのIdentity Centerは複数のAWS Accountに対してIAMロールのスイッチロールでログインができます。 ユーザー User User Identity Center login Microsoft Azure login Account Identity Center MS Entra ID IAM User SSO User ID User Management Console Management Console Azure Portal 認証情報入力 ログインユーザー ユーザ管理 ログイン方法 操作対象 許可されている アカウント内リソース IAM Userがある アカウント内リソース 許可されている スコープ内リソース AWS Management Console login
  62. Copyright © 2023 BeeX Inc. All Rights Reserved. 70 AWSとAzureのユーザー管理の違い

    AzureはEntra IDでユーザー管理され、ログイン後の操作対象は付与された権限で制御されます。 ユーザー User User Identity Center login Microsoft Azure login Account Identity Center MS Entra ID IAM User SSO User ID User Management Console Management Console Azure Portal 認証情報入力 ログインユーザー ユーザ管理 ログイン方法 操作対象 許可されている アカウント内リソース IAM Userがある アカウント内リソース 許可されている スコープ内リソース Management Console login Azure
  63. Copyright © 2023 BeeX Inc. All Rights Reserved. 71 AWSとAzureのユーザー管理の違い

    MS Entra IDはAzure専用のサービスではないため、M365へのログイン等でも利用されます。 ユーザー User User Identity Center login Microsoft Azure login Account Identity Center MS Entra ID IAM User SSO User ID User Management Console Management Console Azure Portal 認証情報入力 ログインユーザー ユーザ管理 ログイン方法 操作対象 許可されている アカウント内リソース IAM Userがある アカウント内リソース 許可されている スコープ内リソース Azure Microsoft 365 オンプレミス システム Management Console login
  64. Copyright © 2023 BeeX Inc. All Rights Reserved. 72 [再掲]アジェンダ

    1. 本資料の目的と必要な前提知識 2. 本資料の注意点 3. 本文 • AWSとAzureの開始フローの違い • AWSとAzureの課金構成の違い • AWSとAzureのセキュリティ概念の違い • AWSとAzureの全体構成の違い • AWSとAzureの権限管理の違い • AWSとAzureの権限付与方法の違い • AWSとAzureのユーザー管理の違い • AWSとAzureのリソース管理の違い • AWSとAzureのリソース操作方法の違い • AWSとAzureのグローバルインフラの違い
  65. Copyright © 2023 BeeX Inc. All Rights Reserved. 74 [再掲]AWSとAzureの全体構成の違い

    最小のリソースをまとめる単位はAWSはAccount、AzureはResourceGroupとなります。 Organizations Root Organizational unit Account Subscriptions Root Management Groups Resource Groups Azure Account MS Account or GitHub Account Root User Root User 1 N N N 1 N N N 1 Management Account 1 1 1 1 Management Groups N 1 N N N 1 1 N 1 N N N 1 AWS Azure Tenant (MS Entra ID)
  66. Copyright © 2023 BeeX Inc. All Rights Reserved. 75 AWSとAzureのリソース管理の違い

    AWSは課金とリソース管理が纏められており、Azureは課金単位とリソース管理単位が別々になっています。 AWS Azure Root Management Groups 工場部門 情シス部門 本番用 本番用 開発用 ・・・ ・・・ ・・・ ・・・ Aシステム Bシステム Cシステム PoC Organizations Root Resource Sandbox 工場部門 本番用 Aシステム ・・・ 工場部門 本番用 Bシステム ・・・ 情シス部門 PoC ・・・
  67. Copyright © 2023 BeeX Inc. All Rights Reserved. 76 AWSとAzureのリソース管理の違い

    Azureではリソースグループを削除すると、紐づくすべてのリソースが同時に削除されます。 Azure Root Management Groups 工場部門 情シス部門 本番用 本番用 開発用 ・・・ ・・・ ・・・ ・・・ Aシステム Bシステム Cシステム PoC Organizations Root Resource Sandbox 工場部門 本番用 Aシステム ・・・ 工場部門 本番用 Bシステム ・・・ 情シス部門 PoC ・・・
  68. Copyright © 2023 BeeX Inc. All Rights Reserved. 77 AWSとAzureのリソース管理の違い

    AWSではアカウントを削除しても全てのリソースが自動的に削除されるわけではありません。 AWS Root Management Groups 工場部門 情シス部門 本番用 本番用 開発用 ・・・ ・・・ ・・・ ・・・ Aシステム Bシステム Cシステム PoC Organizations Root Resource Sandbox 工場部門 本番用 Aシステム ・・・ 工場部門 本番用 Bシステム ・・・ 情シス部門 PoC ・・・
  69. Copyright © 2023 BeeX Inc. All Rights Reserved. 78 AWSとAzureのリソース管理の違い

    AWSにはCloudFormation等の関連リソースを一括作成・削除・管理できる仕組みが別途存在します。 AWS Root Management Groups 工場部門 情シス部門 本番用 本番用 開発用 ・・・ ・・・ ・・・ ・・・ Aシステム Bシステム Cシステム PoC Organizations Root Resource Sandbox 工場部門 本番用 Aシステム ・・・ 工場部門 本番用 Bシステム ・・・ 情シス部門 PoC ・・・ CloudFormation CloudFormation CloudFormation
  70. Copyright © 2023 BeeX Inc. All Rights Reserved. 79 AWSとAzureのリソース管理の違い

    CloudFormationを削除することで、アカウントを削除せずにリソースをまとめて削除することができます。 AWS Root Management Groups 工場部門 情シス部門 本番用 本番用 開発用 ・・・ ・・・ ・・・ ・・・ Aシステム Bシステム Cシステム PoC Organizations Root Resource Sandbox 工場部門 本番用 Aシステム ・・・ 工場部門 本番用 Bシステム ・・・ 情シス部門 PoC ・・・ CloudFormation CloudFormation CloudFormation
  71. Copyright © 2023 BeeX Inc. All Rights Reserved. 80 AWSとAzureのリソース管理の違い

    Azureにも別途CloudFormationに相当する仕組みがあり、ARM Templateを使用すると同様のことが可能です。 Root Management Groups 工場部門 情シス部門 本番用 本番用 開発用 ・・・ Aシステム Organizations Root Resource Sandbox 工場部門 本番用 Aシステム ・・・ 工場部門 本番用 Bシステム ・・・ 情シス部門 PoC ・・・ CloudFormation CloudFormation CloudFormation ARM Template ・・・ Bシステム ARM Template ・・・ Cシステ ム ARM Template ・・・ PoC ARM Template Azure
  72. Copyright © 2023 BeeX Inc. All Rights Reserved. 81 AWSとAzureのリソース管理の違い

    AWSはAccountで課金単位とリソース管理単位を兼ねているため、リソースのみの扱いが若干複雑ですが、 AzureはResource Groupで管理単位が分離されているため、リソース管理がしやすい構成となっています。 Root Management Groups 工場部門 情シス部門 本番用 本番用 開発用 ・・・ Aシステム Organizations Root Resource Sandbox 工場部門 本番用 Aシステム ・・・ 工場部門 本番用 Bシステム ・・・ 情シス部門 PoC ・・・ CloudFormation CloudFormation CloudFormation ARM Template ・・・ Bシステム ARM Template ・・・ Cシステ ム ARM Template ・・・ PoC ARM Template Azure AWS
  73. Copyright © 2023 BeeX Inc. All Rights Reserved. 82 [再掲]アジェンダ

    1. 本資料の目的と必要な前提知識 2. 本資料の注意点 3. 本文 • AWSとAzureの開始フローの違い • AWSとAzureの課金構成の違い • AWSとAzureのセキュリティ概念の違い • AWSとAzureの全体構成の違い • AWSとAzureの権限管理の違い • AWSとAzureの権限付与方法の違い • AWSとAzureのユーザー管理の違い • AWSとAzureのリソース管理の違い • AWSとAzureのリソース操作方法の違い • AWSとAzureのグローバルインフラの違い
  74. Copyright © 2023 BeeX Inc. All Rights Reserved. 84 AWSとAzureのリソース操作方法の違い

    AWSとAzureのどちらも、ブラウザでのGUI・CUI操作とローカルPC等からのコマンド操作に対応しています。 Azure Portal Azure Cloud Shell Azure PowerShell / Azure CLI AWS Management Console AWS CloudShell AWS Command Line Interface (AWS CLI) ブラウザでのGUI操作対応 ブラウザでのCUI操作対応 場所を限定しない コマンド操作対応 AWS Azure
  75. Copyright © 2023 BeeX Inc. All Rights Reserved. 85 AWSとAzureのリソース操作方法の違い

    リソースの操作方法で分類すると以下のようになります。 API操作はJsonファイルやプログラム言語などでAPIを直接操作するものを対象として記載しています。 GUI操作 コマンド操作 API操作 Azure Portal Azure Cloud Shell AWS Management Console AWS CloudShell Azure PowerShell / Azure CLI AWS Command Line Interface (AWS CLI) AWS Tools and SDKs AWS CloudFormation Azure SDK Azure Resource Manager Template AWS Azure
  76. Copyright © 2023 BeeX Inc. All Rights Reserved. 86 [再掲]アジェンダ

    1. 本資料の目的と必要な前提知識 2. 本資料の注意点 3. 本文 • AWSとAzureの開始フローの違い • AWSとAzureの課金構成の違い • AWSとAzureのセキュリティ概念の違い • AWSとAzureの全体構成の違い • AWSとAzureの権限管理の違い • AWSとAzureの権限付与方法の違い • AWSとAzureのユーザー管理の違い • AWSとAzureのリソース管理の違い • AWSとAzureのリソース操作方法の違い • AWSとAzureのグローバルインフラの違い
  77. Copyright © 2023 BeeX Inc. All Rights Reserved. 88 AWSとAzureのグローバルインフラの違い

    AWSとAzureは世界中にあるDCとそれを結ぶネットワークで構成されています。 DCはリージョンとAZという概念で論理的にまとめられており、物理的に冗長化されています。 AWS Azure AWS Cloud Tokyo Region Osaka Region Availability Zone A Availability Zone C Availability Zone D Availability Zone A Availability Zone B Availability Zone C Azure Eastern Japan Region Western Japan Region Availability Zone 1 Availability Zone 2 Availability Zone 3 Availability Zone 1 Availability Zone 2
  78. Copyright © 2023 BeeX Inc. All Rights Reserved. 89 AWSとAzureのグローバルインフラの違い

    AWSとAzureともに1つのリージョンには1つ以上のAZが含まれるように構成されており、 AZを使用してリソースの冗長化を行うことができます。 AWS Azure AWS Cloud Tokyo Region Osaka Region Availability Zone A Availability Zone C Availability Zone D Availability Zone A Availability Zone B Availability Zone C Azure Eastern Japan Region Western Japan Region Availability Zone 1 Availability Zone 2 Availability Zone 3 Availability Zone 1 Availability Zone 2
  79. Copyright © 2023 BeeX Inc. All Rights Reserved. 90 AWSとAzureのグローバルインフラの違い

    Azureで特定のAZを指定してリソースを構築する場合、最低でもリージョンに3つのAZが存在する必要があるた め、2023年7月時点では西日本リージョンでAZを指定することができません。(Availability Setは利用可能) Azure AWS Cloud Tokyo Region Osaka Region Availability Zone A Availability Zone C Availability Zone D Availability Zone A Availability Zone B Availability Zone C Azure Eastern Japan Region Western Japan Region Availability Zone 1 Availability Zone 2 Availability Zone 3 Availability Zone 1 Availability Zone 2
  80. Copyright © 2023 BeeX Inc. All Rights Reserved. 91 AWSとAzureのグローバルインフラの違い

    また、 AWSとAzure共にAZの冗長化以外にもリージョンを跨いで冗長化を行うことも可能です。 AWS Azure AWS Cloud Tokyo Region Osaka Region Availability Zone A Availability Zone C Availability Zone D Availability Zone A Availability Zone B Availability Zone C Azure Eastern Japan Region Western Japan Region Availability Zone 1 Availability Zone 2 Availability Zone 3 Availability Zone 1 Availability Zone 2
  81. Copyright © 2023 BeeX Inc. All Rights Reserved. 92 AWSとAzureのグローバルインフラの違い

    Azureは地域ごとにリージョンがペアで構成されており、1つのリージョンに別のリージョンがペアとして登録 されています。リージョンペア間であれば、低遅延の通信や自動レプリケーションを行うことができます。 Azure AWS Cloud Tokyo Region Osaka Region Availability Zone A Availability Zone C Availability Zone D Availability Zone A Availability Zone B Availability Zone C Azure Eastern Japan Region Western Japan Region Availability Zone 1 Availability Zone 2 Availability Zone 3 Availability Zone 1 Availability Zone 2
  82. Copyright © 2023 BeeX Inc. All Rights Reserved. 93 AWSとAzureのグローバルインフラの違い

    AzureではAvailability Setという、DC内のサーバーラックを分散できる機能があり、 これを使用すると1つのDCのサーバーラック単位でリソースを冗長化させることができます。 Azure AWS Cloud Tokyo Region Osaka Region Availability Zone A Availability Zone C Availability Zone D Availability Zone A Availability Zone B Availability Zone C Azure Eastern Japan Region Western Japan Region Availability Zone 1 Availability Zone 2 Availability Zone 3 Availability Zone 1 Availability Zone 2
  83. Copyright © 2023 BeeX Inc. All Rights Reserved. 94 AWSとAzureのグローバルインフラの違い

    AWSでは異なるサーバーラックでのリソース構築やリージョンペアのような概念はないため、 AZ単位での冗長や各サービスを組み合わせたリージョン間同期パイプラインを別途構築する必要があります。 AWS AWS Cloud Tokyo Region Osaka Region Availability Zone A Availability Zone C Availability Zone D Availability Zone A Availability Zone B Availability Zone C Azure Eastern Japan Region Western Japan Region Availability Zone 1 Availability Zone 2 Availability Zone 3 Availability Zone 1 Availability Zone 2
  84. Copyright © 2023 BeeX Inc. All Rights Reserved. 95 [再掲]アジェンダ

    3. 本文(続き) • AWSとAzureのネットワーク系サービスの違い • AWSとAzureのネットワークセキュリティ系サービスの違い
  85. Copyright © 2023 BeeX Inc. All Rights Reserved. 97 ネットワーク系サービスの違い

    AWSはVPCとSubnetを利用してAWS上に仮想ネットワークを構築するようになっており、 AzureはVNetとSubnetを利用してAzure上に仮想ネットワークを構築するようになっています。 VPC Private subnet Public subnet AWS Cloud Azure VNet Subnet Subnet Internet gateway AWS Azure
  86. Copyright © 2023 BeeX Inc. All Rights Reserved. 98 ネットワーク系サービスの違い

    AWSでは明示的にPublicなSubnetとPrivateなSubnetが定義されていますが、Azureは明示的にPublicと Privateの定義がされていないため、Subnet内に構築されているリソースでの判断が必要です。 VPC Private subnet Public subnet AWS Cloud Azure VNet Subnet Subnet Internet gateway AWS Azure
  87. Copyright © 2023 BeeX Inc. All Rights Reserved. 99 ネットワーク系サービスの違い

    具体的には、AWSはIGWの有無によってInternetとの通信の有無を制御しますが、Azureは標準でInternetへ の外部送信が可能で、Public IPの有無によって受信側の通信制御を行います。 VPC Private subnet Public subnet AWS Cloud Azure VNet Subnet Subnet Internet gateway Public IPアドレス Public IPアドレス 暗黙的NAT Public IPアドレス Public IPアドレス AWS Azure ※IPv4を前提として記載しています
  88. Copyright © 2023 BeeX Inc. All Rights Reserved. 100 ネットワーク系サービスの違い

    Public IPアドレスには静的に設定できるものと動的に設定されるものがあり、AWSとAzure共に静的と動的 のどちらも設定が可能となっています。 VPC Private subnet Public subnet AWS Cloud Azure VNet Subnet Subnet Internet gateway Public IPアドレス Public IPアドレス 暗黙的NAT Public IPアドレス Public IPアドレス AWS Azure 静的 動的 静的 動的 ※IPv4を前提として記載しています
  89. Copyright © 2023 BeeX Inc. All Rights Reserved. 101 ネットワーク系サービスの違い

    AWSは動的なPublic IPアドレスであれば無料で利用できますが、Azureは動的Public IPアドレスであっても 有料で利用するようになっています。 VPC Private subnet Public subnet AWS Cloud Azure VNet Subnet Subnet Internet gateway Public IPアドレス Public IPアドレス 暗黙的NAT Public IPアドレス Public IPアドレス AWS Azure 静的 動的 静的 動的 EC2作成時に自動割当可能 無料で利用可能 VM作成時に自動割当可能 有料で利用可能 ※IPv4を前提として記載しています
  90. Copyright © 2023 BeeX Inc. All Rights Reserved. 102 ネットワーク系サービスの違い

    ただ、現在ではAzureの動的IPアドレスは利用不可になっており、2025年9月30日に動的IPアドレスは完全 に廃止される計画が立てられています。 VPC Private subnet Public subnet AWS Cloud Azure VNet Subnet Subnet Internet gateway Public IPアドレス Public IPアドレス 暗黙的NAT Public IPアドレス Public IPアドレス Azure 静的 動的 静的 動的 EC2作成時に自動割当可能 無料で利用可能 VM作成時に自動割当可能 有料で利用可能 ※IPv4を前提として記載しています
  91. Copyright © 2023 BeeX Inc. All Rights Reserved. 103 ネットワーク系サービスの違い

    AWSの静的Public IPアドレスはEC2作成後のみ割り当てができるようになっており、AzureはVM作成時に割 り当てができます。コスト的にはAWS・Azureで同じ料金設定となっています。 VPC Private subnet Public subnet AWS Cloud Azure VNet Subnet Subnet Internet gateway Public IPアドレス Public IPアドレス 暗黙的NAT Public IPアドレス Public IPアドレス AWS Azure 静的 動的 静的 動的 EC2作成後に割当可能 1つあたり$0.005/h VM作成時に割当可能 1つあたり$0.005/h ※IPv4を前提として記載しています
  92. Copyright © 2023 BeeX Inc. All Rights Reserved. 104 ネットワーク系サービスの違い

    AWSではこれまで利用中の静的なIPに対しては料金が発生しません(EC2のセカンダリIPは除く)でしたが、 2024/2/1より有料で提供されるように変更になると2023年7月に発表がありました。 VPC Private subnet Public subnet AWS Cloud Azure VNet Subnet Subnet Internet gateway Public IPアドレス Public IPアドレス 暗黙的NAT Public IPアドレス Public IPアドレス AWS 静的 動的 静的 動的 EC2作成後に割当可能 1つあたり$0.005/h VM作成時に割当可能 1つあたり$0.005/h ※IPv4を前提として記載しています
  93. Copyright © 2023 BeeX Inc. All Rights Reserved. 105 ネットワーク系サービスの違い

    仮想ネットワーク間の通信を行う場合の構成例を以下に記載します。 AWS Cloud Azure VPC VNet VPC VPC VNet VNet VPC Peering VPC Peering VPC Peering VPC Peering Virtual network Peering Virtual network Peering AWS Azure
  94. Copyright © 2023 BeeX Inc. All Rights Reserved. 106 ネットワーク系サービスの違い

    仮想ネットワーク間の通信を行いたい場合、AWSであればVPC Peeringを利用すると相互に通信でき、 Azureであれば仮想ネットワークピアリングを利用することでVnet間の通信を行うことができます。 AWS Cloud Azure VPC VNet VPC VPC VNet VNet VPC Peering VPC Peering VPC Peering VPC Peering Virtual network Peering Virtual network Peering AWS Azure
  95. Copyright © 2023 BeeX Inc. All Rights Reserved. 107 ネットワーク系サービスの違い

    AWSとAzure共に、仮想ネットワーク同士のPeeringはアカウント/サブスクリプション跨ぎ、リージョン跨 ぎなどのケースにも対応しているため、インターネットを経由せずにネットワーク間通信が可能です。 AWS Account A Azure Subscription A VPC VNet VNet VPC Peering AWS Azure AWSAccount B VPC VPC Peering Eastern Japan Region Tokyo Region Osaka Region Western Japan Region Azure Subscription B Virtual network Peering
  96. Copyright © 2023 BeeX Inc. All Rights Reserved. 108 ネットワーク系サービスの違い

    AWSではリージョンを跨いだPeeringの場合でも同リージョン間と同じVPC Peeringが可能ですが、 Azureでリージョン跨ぎでPeeringするためにはGlobal Vnet Peeringを使用する必要があります。 AWS Account A Azure Subscription A VPC VNet VNet VPC Peering Azure AWSAccount B VPC VPC Peering Eastern Japan Region Tokyo Region Osaka Region Western Japan Region Azure Subscription B Virtual network Peering
  97. Copyright © 2023 BeeX Inc. All Rights Reserved. 109 ネットワーク系サービスの違い

    Peeringの共通制約として、直接Peeringした仮想ネットワーク同士であれば通信が可能ですが、直接 Peeringしていない仮想ネットワークに対してはネットワークを跨いで通信をすることはできません。 AWS Cloud Azure VPC VNet VPC VPC VNet VNet VPC Peering VPC Peering VPC Peering VPC Peering Virtual network Peering Virtual network Peering AWS Azure
  98. Copyright © 2023 BeeX Inc. All Rights Reserved. 110 ネットワーク系サービスの違い

    Azureの場合は、VNet Peeringの設定でRemote Gateway Tiransitを有効にすることで、直接Peeringしてい ないVNet間でもVPN Gateway経由でトラフィックが転送され、通信が可能となります。 AWS Cloud Azure VPC VNet VPC VPC VNet VNet VPC Peering VPC Peering VPC Peering VPC Peering Virtual network Peering Virtual network Peering Azure
  99. Copyright © 2023 BeeX Inc. All Rights Reserved. 111 ネットワーク系サービスの違い

    AWSでVPCを跨いだ通信を行う方法として、Transit VPCオプションを利用する方法があります。この場合、 ハブとなるVPCにCisco CSR等の仮想ルーターをデプロイし、VGWとの接続を確立する必要があります。 AWS Cloud Azure VPC VNet VPC VPC VNet VNet VPN Gateway VPN Gateway Virtual network Peering Virtual network Peering AWS VPN VPN
  100. Copyright © 2023 BeeX Inc. All Rights Reserved. 112 ネットワーク系サービスの違い

    接続するネットワークが増加した場合、個別のPeeringやVPN接続の方法だと管理できなくなります。 そのため、大規模ネットワークに対応したサービスのTransit GatewayやWANを利用する方法があります。 AWS Cloud Azure VPC VNet VPC VPC VNet VNet TGW Attachment AWS Azure WAN TGW Attachment TGW Attachment Transit Gateway
  101. Copyright © 2023 BeeX Inc. All Rights Reserved. 113 AWS

    Cloud AWS Direct Connect Location ネットワーク系サービスの違い オンプレネットワークとクラウドネットワークを接続する構成を以下に記載します。 On-Premis Azure VNet Partner edge Microsoft edge ExpressRoute回線 Subnet Local Network Gateway VPN Gateway VPN Gateway Express Route IPsec/IKE VPN ExpressRoute Gateway VPC Private subnet BGP Router Virtual Private Gateway Customer Gateway VPN Connection Transit Gateway Virtual Private Gateway Partner Cage AWS Cage Customer Gateway AWS Azure
  102. Copyright © 2023 BeeX Inc. All Rights Reserved. 114 AWS

    Cloud AWS Direct Connect Location ネットワーク系サービスの違い オンプレネットワークと各クラウド間を接続するには、Site to Site VPNを使用する方法と各クラウドネット ワークとオンプレネットワークを直接接続する方法の2つがあります。 ※Point to Site VPNはクライアントネットワークからの接続になるため、説明を割愛します。 On-Premis Azure VNet Partner edge Microsoft edge ExpressRoute回線 Subnet Local Network Gateway VPN Gateway VPN Gateway Express Route IPsec/IKE VPN ExpressRoute Gateway VPC Private subnet BGP Router Virtual Private Gateway Customer Gateway VPN Connection Transit Gateway Virtual Private Gateway Partner Cage AWS Cage Customer Gateway AWS Azure
  103. Copyright © 2023 BeeX Inc. All Rights Reserved. 115 AWS

    Cloud AWS Direct Connect Location ネットワーク系サービスの違い Site to Site VPNを使用する方法の場合は、AzureはAzure VPN Gateway、AWSはAWS Site-to-Site VPNを 利用します。どちらの場合もIPSecトンネルを使用して安全な接続を確立します。 On-Premis Azure VNet Partner edge Microsoft edge ExpressRoute回線 Subnet Local Network Gateway VPN Gateway VPN Gateway Express Route IPsec/IKE VPN ExpressRoute Gateway VPC Private subnet BGP Router Virtual Private Gateway Customer Gateway VPN Connection Transit Gateway Virtual Private Gateway Partner Cage AWS Cage Customer Gateway AWS Azure
  104. Copyright © 2023 BeeX Inc. All Rights Reserved. 116 AWS

    Cloud AWS Direct Connect Location ネットワーク系サービスの違い 各クラウドネットワークとオンプレネットワークを直接接続する方法の場合は、AzureはExpressRoute、 AWSはDirect Connectを利用し、どちらの場合も指定されたパートナーネットワークを介して閉域接続を確 立します。 On-Premis Azure VNet Partner edge Microsoft edge ExpressRoute回線 Subnet Local Network Gateway VPN Gateway VPN Gateway Express Route IPsec/IKE VPN ExpressRoute Gateway VPC Private subnet BGP Router Virtual Private Gateway Customer Gateway VPN Connection Transit Gateway Virtual Private Gateway Partner Cage AWS Cage Customer Gateway AWS Azure
  105. Copyright © 2023 BeeX Inc. All Rights Reserved. 117 ネットワーク系サービスの違い

    各クラウドのロードバランサ―サービス例を以下に記載します。AWSのCLBやGLBについては後方互換性の ためや、セキュリティアプライアンスとの通信を行うために利用されるので、今回は割愛します。 VPC AWS Cloud Azure VNet Private subnet Public subnet Subnet Subnet Internet gateway Application Load Balancer Network Load Balancer Load Balancer Application Gateway Auto Scaling group EC2 EC2 VM VM Scale Sets VM PIP PIP : Public IP AWS Azure PIP
  106. Copyright © 2023 BeeX Inc. All Rights Reserved. 118 ネットワーク系サービスの違い

    AWSでロードバランサ―と名の付くサービスはALB/NLB/GLB/CLBの4種類がありますが、AzureではAzure Load Balancerの1種類しかありません。AzureのロードバランサーはL4レイヤーでの振り分けを行います。 VPC AWS Cloud Azure VNet Private subnet Public subnet Subnet Subnet Internet gateway Application Load Balancer Network Load Balancer Load Balancer Application Gateway Auto Scaling group EC2 EC2 VM VM Scale Sets VM PIP PIP : Public IP Azure PIP
  107. Copyright © 2023 BeeX Inc. All Rights Reserved. 119 ネットワーク系サービスの違い

    AWSのApplication Load Balancerと同じ役割を持つAzureのサービスはApplication Gatewayが該当します。 ALBはIPの固定化はできませんが、AGWはIPの固定化を行うことが可能です。 VPC AWS Cloud Azure VNet Private subnet Public subnet Subnet Subnet Internet gateway Application Load Balancer Network Load Balancer Load Balancer Application Gateway Auto Scaling group EC2 EC2 VM VM Scale Sets VM PIP PIP : Public IP AWS Azure PIP
  108. Copyright © 2023 BeeX Inc. All Rights Reserved. 120 ネットワーク系サービスの違い

    Azure Load Balancerと同じような役割を持つAWSのサービスはNetwork Load Balancerが該当します。 AWSのNLBはALBの前段に置けますが、Azure LBはApplication Gatewayの前段に置けません。 VPC AWS Cloud Azure VNet Private subnet Public subnet Subnet Subnet Internet gateway Application Load Balancer Network Load Balancer Load Balancer Application Gateway Auto Scaling group EC2 EC2 VM VM Scale Sets VM PIP PIP : Public IP AWS Azure PIP
  109. Copyright © 2023 BeeX Inc. All Rights Reserved. 121 ネットワーク系サービスの違い

    Azure Load BarancerもApplication Gatewayと同じようにIPを固定化することができます。 Azure NAT Gatewayがリリースされるまでは、NAT GWの代わりとして利用することもあったようです。 VPC AWS Cloud Azure VNet Private subnet Public subnet Subnet Subnet Internet gateway Application Load Balancer Network Load Balancer Load Balancer Application Gateway Auto Scaling group EC2 EC2 VM VM Scale Sets VM PIP PIP : Public IP Azure PIP PIP
  110. Copyright © 2023 BeeX Inc. All Rights Reserved. 122 ネットワーク系サービスの違い

    各クラウドのエンドポイントサービスを以下に記載します。 AWSとAzure共に2種類のエンドポイントサービスが存在し、用途に合わせて使い分けることが可能です。 VPC AWS Cloud Azure VNet Private subnet Subnet VPC VNet Private subnet Subnet EC2 VPC Endpoint (Interface/Gateway) Network Load Balancer EC2 Private Link VPC Endpoint (Interface) VPC Endpoint Service S3 DynamoDB KMS Storage Cosmos DB Key Vault Service Endpoint (Gateway) VM Load Balancer VM Storage Private Link Private Endpoint (Interface) Private Link Service AWS Azure
  111. Copyright © 2023 BeeX Inc. All Rights Reserved. 123 ネットワーク系サービスの違い

    PaaS等の各クラウド上で稼働するサービスに対して、インターネットを経由せずクラウドのグローバルネッ トワークを経由する方法として、AWSはVPC Endpoint、AzureはService Endpointがあります。 VPC AWS Cloud Azure VNet Private subnet Subnet VPC VNet Private subnet Subnet EC2 VPC Endpoint (Interface/Gateway) Network Load Balancer EC2 Private Link VPC Endpoint (Interface) VPC Endpoint Service S3 DynamoDB KMS Storage Cosmos DB Key Vault Service Endpoint (Gateway) VM Load Balancer VM Storage Private Link Private Endpoint (Interface) Private Link Service AWS Azure
  112. Copyright © 2023 BeeX Inc. All Rights Reserved. 124 ネットワーク系サービスの違い

    AWSのVPC EndpointはVPCコンソール画面から作成する必要があるのに対して、AzureのService Endpoint は各サービスのポータル画面で設定することで自動的に作成されます。 VPC AWS Cloud Azure VNet Private subnet Subnet VPC VNet Private subnet Subnet EC2 VPC Endpoint (Interface/Gateway) Network Load Balancer EC2 Private Link VPC Endpoint (Interface) VPC Endpoint Service S3 DynamoDB KMS Storage Cosmos DB Key Vault Service Endpoint (Gateway) VM Load Balancer VM Storage Private Link Private Endpoint (Interface) Private Link Service AWS Azure
  113. Copyright © 2023 BeeX Inc. All Rights Reserved. 125 ネットワーク系サービスの違い

    AWSのVPC EndpointにはInterface型とGateway型の2種類があり、Interface型の場合はSubnet内にENIが作 成され、エンドポイントとENIが1対1で紐づきます。Gateway型の場合はVPCに直接紐づけられます。 VPC AWS Cloud Azure VNet Private subnet Subnet VPC VNet Private subnet Subnet EC2 VPC Endpoint (Interface/Gateway) Network Load Balancer EC2 Private Link VPC Endpoint (Interface) VPC Endpoint Service S3 DynamoDB KMS Storage Cosmos DB Key Vault Service Endpoint (Gateway) VM Load Balancer VM Storage Private Link Private Endpoint (Interface) Private Link Service AWS
  114. Copyright © 2023 BeeX Inc. All Rights Reserved. 126 ネットワーク系サービスの違い

    AzureのService Endpointは(AWSで言うところの)Gateway型しかありませんが、Firewall機能も統合されて いるため、アクセス元の制限等が可能です。ただ、Subnet経由で別のネットワークからの利用はできません。 VPC AWS Cloud Azure VNet Private subnet Subnet VPC VNet Private subnet Subnet EC2 VPC Endpoint (Interface/Gateway) Network Load Balancer EC2 Private Link VPC Endpoint (Interface) VPC Endpoint Service S3 DynamoDB KMS Storage Cosmos DB Key Vault Service Endpoint (Gateway) VM Load Balancer VM Storage Private Link Private Endpoint (Interface) Private Link Service Azure
  115. Copyright © 2023 BeeX Inc. All Rights Reserved. 127 ネットワーク系サービスの違い

    ユーザー側で構築したアプリケーション等を異なるネットワーク上にプライベートなネットワーク経由で提 供したい場合、Private Linkを利用します。こちらはAWSとAzureで同じ名前となっています。 VPC AWS Cloud Azure VNet Private subnet Subnet VPC VNet Private subnet Subnet EC2 VPC Endpoint (Interface/Gateway) Network Load Balancer EC2 Private Link VPC Endpoint (Interface) VPC Endpoint Service S3 DynamoDB KMS Storage Cosmos DB Key Vault Service Endpoint (Gateway) VM Load Balancer VM Storage Private Link Private Endpoint (Interface) Private Link Service AWS Azure
  116. Copyright © 2023 BeeX Inc. All Rights Reserved. 128 ネットワーク系サービスの違い

    AWSの場合は、ユーザー側で構築したアプリケーション等を異なるネットワーク上にプライベートなネット ワーク経由で提供したい場合のみに利用します。EndpointへのアクセスはSGで制御が可能です。 VPC AWS Cloud Azure VNet Private subnet Subnet VPC VNet Private subnet Subnet EC2 VPC Endpoint (Interface/Gateway) Network Load Balancer EC2 Private Link VPC Endpoint (Interface) VPC Endpoint Service S3 DynamoDB KMS Storage Cosmos DB Key Vault Service Endpoint (Gateway) VM Load Balancer VM Storage Private Link Private Endpoint (Interface) Private Link Service AWS
  117. Copyright © 2023 BeeX Inc. All Rights Reserved. 129 ネットワーク系サービスの違い

    AzureのPrivate Linkはユーザー構築アプリケーション以外に、Azureサービスに対しても設定することが可 能です。ただし、Endpoint経由の通信をNSGやFirewallで制御できないため注意が必要です。 VPC AWS Cloud Azure VNet Private subnet Subnet VPC VNet Private subnet Subnet EC2 VPC Endpoint (Interface/Gateway) Network Load Balancer EC2 Private Link VPC Endpoint (Interface) VPC Endpoint Service S3 DynamoDB KMS Storage Cosmos DB Key Vault Service Endpoint (Gateway) VM Load Balancer VM Storage Private Link Private Endpoint (Interface) Private Link Service Azure
  118. Copyright © 2023 BeeX Inc. All Rights Reserved. 130 [再掲]アジェンダ

    3. 本文(続き) • AWSとAzureのネットワーク系サービスの違い • AWSとAzureのネットワークセキュリティ系サービスの違い
  119. Copyright © 2023 BeeX Inc. All Rights Reserved. 132 ネットワークセキュリティ系サービスの違い

    使用するネットワークの数が増えてくると、それに伴ってネットワークセキュリティについても考慮が必要 です。以下にAWSとAzureで提供されているサービス例を記載します。 AWS WAF AWS Network Firewall VPC Network ACL Azure Firewall Azure WAF Azure Network Security Group アプリケーション向け ネットワーク内部向け インターネットとの境界向け AWS Azure
  120. Copyright © 2023 BeeX Inc. All Rights Reserved. 133 ネットワークセキュリティ系サービスの違い

    AWSとAzureのどちらも安全な通信を担保するための仕組み・サービスがいくつか存在します。 ざっくり大別すると以下のようになります。FirewallはL7とL4のどちらでも対応可能です。 AWS WAF AWS Network Firewall VPC Network ACL Azure Firewall Azure WAF Azure Network Security Group アプリケーション向け ネットワーク内部向け インターネットとの境界向け AWS Azure
  121. Copyright © 2023 BeeX Inc. All Rights Reserved. 134 ネットワークセキュリティ系サービスの違い

    アプリケーションレイヤーのみのセキュリティにはWAFを利用します。 WAFは特定のサービスに対して設定することができ、対象のサービスはAWSとAzureで若干異なります。 AWS WAF Azure WAF アプリケーション向け Azure Application Gateway Azure Front Door Azure Content Delivery Network Application Load Balancer Amazon CloudFront regional regional global global global Amazon API Gateway regional Azure API Management regional 対象外 AWS Azure L7ロードバランサ― コンテンツ配信ネットワーク API管理サービス
  122. Copyright © 2023 BeeX Inc. All Rights Reserved. 135 ネットワークセキュリティ系サービスの違い

    WAFがアタッチ可能なL7ロードバランサ―の役割を持つサービスはAWSが1つ、Azureが2つあります。 Azureはリージョン内で利用されるサービスとグローバルで利用されるサービスの2種類存在しています。 AWS WAF Azure WAF アプリケーション向け Azure Application Gateway Azure Front Door Azure Content Delivery Network Application Load Balancer Amazon CloudFront regional regional global global global Amazon API Gateway regional Azure API Management regional 対象外 AWS Azure L7ロードバランサ― コンテンツ配信ネットワーク API管理サービス
  123. Copyright © 2023 BeeX Inc. All Rights Reserved. 136 ネットワークセキュリティ系サービスの違い

    次にWAFがアタッチ可能なAPI管理サービスの役割を持つサービスはAWSのみ存在します。 Azureにも同様の役割を持つサービスがありますが、WAFのアタッチはできません。 AWS WAF Azure WAF アプリケーション向け Azure Application Gateway Azure Front Door Azure Content Delivery Network Application Load Balancer Amazon CloudFront regional regional global global global Amazon API Gateway regional Azure API Management regional 対象外 AWS Azure 「L7ロードバランサ ―」と組み合わせて 利用することでWAF を間接的に適用する L7ロードバランサ― コンテンツ配信ネットワーク API管理サービス
  124. Copyright © 2023 BeeX Inc. All Rights Reserved. 137 ネットワークセキュリティ系サービスの違い

    WAFがアタッチ可能なコンテンツ配信ネットワークの役割を持つサービスはAWSとAzureともに1つずつあり ます。共にエッジネットワークで提供されるサービスのため、WAFもエッジネットワークで有効化されます。 AWS WAF Azure WAF アプリケーション向け Azure Application Gateway Azure Front Door Azure Content Delivery Network Application Load Balancer Amazon CloudFront L7ロードバランサ― regional regional global global global コンテンツ配信ネットワーク Amazon API Gateway regional API管理サービス Azure API Management regional 対象外 AWS Azure Azure CDNにWAFを アタッチさせる仕組 みはパブリックプレ ビューで提供され、 現在は新規設定がで きない
  125. Copyright © 2023 BeeX Inc. All Rights Reserved. 138 ネットワークセキュリティ系サービスの違い

    Azure Front Doorはカテゴリ上はコンテンツ配信ネットワークに含まれますが、ここでは敢えてL7ロードバ ランサ―として位置づけしています。(バランサー機能以外にコンテンツキャッシュ等の機能もあります) AWS WAF Azure WAF アプリケーション向け Azure Application Gateway Azure Front Door Azure Content Delivery Network Application Load Balancer Amazon CloudFront L7ロードバランサ― regional regional global global global コンテンツ配信ネットワーク Amazon API Gateway regional API管理サービス Azure API Management regional 対象外 AWS Azure
  126. Copyright © 2023 BeeX Inc. All Rights Reserved. 139 ネットワークセキュリティ系サービスの違い

    各クラウドの内部ネットワークとインターネットの境界でのセキュリティとしてはFirewallを利用します。 AWSのFirewallは提供されているプランが1種類なのに対して、Azureは全部で3種類のプランがあります。※ AWS Network Firewall Azure Firewall インターネットとの境界向け AWS Azure 提供プラン Standard Premium Only one Basic 制御方式 ステートレス or ステートフル ルール種類 スループット ステートフル NATルール ネットワークルール アプリケーションルール 送信用 受信用 送信用 (L3~L4) (L3~L4) (L7) ステートフルルール ステートフルルール 送信用 受信用 送信用 受信用 (L3~L4、L7) (L3~L4、L7) 最大 250Mbps 最大 30Gbps 最大 100Gbps 45Gbps超 ※記載していないプランごとの細かな違いは割愛
  127. Copyright © 2023 BeeX Inc. All Rights Reserved. 140 ネットワークセキュリティ系サービスの違い

    Azureはステートフルルールしか設定できませんが、AWSはステートレスルールも設定が可能です。 AWS Network Firewall Azure Firewall インターネットとの境界向け AWS Azure 提供プラン Standard Premium Only one Basic 制御方式 ステートレス or ステートフル ルール種類 スループット ステートフル NATルール ネットワークルール アプリケーションルール 送信用 受信用 送信用 (L3~L4) (L3~L4) (L7) ステートフルルール ステートフルルール 送信用 受信用 送信用 受信用 (L3~L4、L7) (L3~L4、L7) 最大 250Mbps 最大 30Gbps 最大 100Gbps 45Gbps超 ※記載していないプランごとの細かな違いは割愛
  128. Copyright © 2023 BeeX Inc. All Rights Reserved. 141 ネットワークセキュリティ系サービスの違い

    Azureのルールは受信用と送信用で3種類あるのに対して、AWSは送信用と受信用が分けられていません。 Azureはレイヤーごとにルールが分けられていますが、AWSはレイヤーもまとめられています。 AWS Network Firewall Azure Firewall インターネットとの境界向け AWS Azure 提供プラン Standard Premium Only one Basic 制御方式 ステートレス or ステートフル ルール種類 スループット ステートフル NATルール ネットワークルール アプリケーションルール 送信用 受信用 送信用 (L3~L4) (L3~L4) (L7) ステートフルルール ステートフルルール 送信用 受信用 送信用 受信用 (L3~L4、L7) (L3~L4、L7) 最大 250Mbps 最大 30Gbps 最大 100Gbps 45Gbps超 ※記載していないプランごとの細かな違いは割愛
  129. Copyright © 2023 BeeX Inc. All Rights Reserved. 142 ネットワークセキュリティ系サービスの違い

    Azureのプランについては記載している以外にも使用できる機能などの違いもありますが、AWSと比較した ときに判断しやすいスループットのみ記載しています。Azureはスループット要件でプランを選択できます。 AWS Network Firewall Azure Firewall インターネットとの境界向け AWS Azure 提供プラン Standard Premium Only one Basic 制御方式 ステートレス or ステートフル ルール種類 スループット ステートフル NATルール ネットワークルール アプリケーションルール 送信用 受信用 送信用 (L3~L4) (L3~L4) (L7) ステートフルルール ステートフルルール 送信用 受信用 送信用 受信用 (L3~L4、L7) (L3~L4、L7) 最大 250Mbps 最大 30Gbps 最大 100Gbps 45Gbps超 ※記載していないプランごとの細かな違いは割愛
  130. Copyright © 2023 BeeX Inc. All Rights Reserved. 143 ネットワークセキュリティ系サービスの違い

    各クラウドのネットワーク内部向けのセキュリティとして、AWSはNACLとSG、AzureはNSGがあります。 AzureのNSGはSubnetとVM(NIC)にアタッチでき、AWSはアタッチ対象ごとに分かれています。 VPC Network ACL Azure Network Security Group ネットワーク内部向け AWS Azure アタッチ対象 制御方式 デフォルトルール ルール種類 Subnet Azure VM (NIC) Subnet Amazon EC2 (NIC) Private subnet Public subnet ステートレス ステートフル ステートフル インバウンドルール アウトバウンドルール インバウンドルール アウトバウンドルール 受信セキュリティ規則 送信セキュリティ規則 送信 受信 許可なし 全て許可 送信 受信 優先度1: 全て許可 優先度2: 全て拒否 送信 受信 優先度1: VMのvNetからの着信を許可 優先度2: ALBからの監視信号を許可 優先度3: 全ての着信を拒否 優先度1: 全て許可 優先度2: 全て拒否 優先度1: VMのvNetからの発信を許可 優先度2: インターネットからの発信を許可 優先度3: 全ての発信を拒否
  131. Copyright © 2023 BeeX Inc. All Rights Reserved. 144 ネットワークセキュリティ系サービスの違い

    AWSのNACLでは優先順位に従って通信の許可拒否が評価されますが、SGは許可のみなので通信の許可の有 無で評価されます。AzureのNSGはNACLと同じく優先順位に従って許可または拒否が評価されます。 VPC Network ACL Azure Network Security Group ネットワーク内部向け AWS Azure アタッチ対象 制御方式 デフォルトルール ルール種類 Subnet Azure VM (NIC) Subnet Amazon EC2 (NIC) Private subnet Public subnet ステートレス ステートフル ステートフル インバウンドルール アウトバウンドルール インバウンドルール アウトバウンドルール 受信セキュリティ規則 送信セキュリティ規則 送信 受信 許可なし 全て許可 送信 受信 優先度1: 全て許可 優先度2: 全て拒否 送信 受信 優先度1: VMのvNetからの着信を許可 優先度2: ALBからの監視信号を許可 優先度3: 全ての着信を拒否 優先度1: 全て許可 優先度2: 全て拒否 優先度1: VMのvNetからの発信を許可 優先度2: インターネットからの発信を許可 優先度3: 全ての発信を拒否
  132. Copyright © 2023 BeeX Inc. All Rights Reserved. 145 ネットワークセキュリティ系サービスの違い

    注意が必要な点として、仮想マシンを作成時にセキュリティグループを指定しない場合、AWSは通信ができ ない状態で作成されますが、Azureはインターネットから通信ができる状態で作成されます。(RDP等) VPC Network ACL Azure Network Security Group ネットワーク内部向け AWS Azure アタッチ対象 制御方式 デフォルトルール ルール種類 Subnet Azure VM (NIC) Subnet Amazon EC2 (NIC) Private subnet Public subnet ステートレス ステートフル ステートフル インバウンドルール アウトバウンドルール インバウンドルール アウトバウンドルール 受信セキュリティ規則 送信セキュリティ規則 送信 受信 許可なし 全て許可 送信 受信 優先度1: 全て許可 優先度2: 全て拒否 送信 受信 優先度1: VMのvNetからの着信を許可 優先度2: ALBからの監視信号を許可 優先度3: 全ての着信を拒否 優先度1: 全て許可 優先度2: 全て拒否 優先度1: VMのvNetからの発信を許可 優先度2: インターネットからの発信を許可 優先度3: 全ての発信を拒否