Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Azure PaaS とのよりセキュアな接続 - 初級編

Kuniteru Asami
February 12, 2020
Technology
0
13

Azure PaaS とのよりセキュアな接続 - 初級編

Azure PaaS とのよりセキュアな接続 - 初級編
VNet サービスエンドポイント、Private Link、VNet 統合

Kuniteru Asami

February 12, 2020
Tweet

More Decks by Kuniteru Asami

See All by Kuniteru Asami
どう買う?Azure
kuniteru
1
420
スケールアウトできるManaged RDBMS - Azure Cosmos DB for PostgreSQL
kuniteru
0
50
現場からみた Azure リファレンスアーキテクチャ答え合わせ | Microsoft Build 2022
kuniteru
1
15
Azure Load Testingを利用したパフォーマンステスト
kuniteru
1
20
Understanding Azure Application Gateway
kuniteru
0
12
堅牢&運用楽々な WordPress を Azure App Service で
kuniteru
0
33
あらためて Azure Virtual Network
kuniteru
0
11
Azure Virtual Machines設計の勘所 | Microsoft Tech Summit 2017
kuniteru
1
8
Introduction of Azure Database for MySQL / PostgreSQL
kuniteru
0
12

Other Decks in Technology

See All in Technology
Oracle Cloud Infrastructure データベース・クラウド:各バージョンのサポート期間
oracle4engineer
PRO
28
13k
SRE×AIOpsを始めよう!GuardDutyによるお手軽脅威検出
amixedcolor
0
130
The Role of Developer Relations in AI Product Success.
giftojabu1
0
130
Engineer Career Talk
lycorp_recruit_jp
0
180
初心者向けAWS Securityの勉強会mini Security-JAWSを9ヶ月ぐらい実施してきての近況
cmusudakeisuke
0
130
TypeScript、上達の瞬間
sadnessojisan
46
13k
ノーコードデータ分析ツールで体験する時系列データ分析超入門
negi111111
0
410
Shopifyアプリ開発における Shopifyの機能活用
sonatard
4
250
Making your applications cross-environment - OSCG 2024 NA
salaboy
0
190
【令和最新版】AWS Direct Connectと愉快なGWたちのおさらい
minorun365
PRO
5
750
適材適所の技術選定 〜GraphQL・REST API・tRPC〜 / Optimal Technology Selection
kakehashi
1
660
CysharpのOSS群から見るModern C#の現在地
neuecc
2
3.4k

Featured

See All Featured
Being A Developer After 40
akosma
86
590k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
42
9.2k
Gamification - CAS2011
davidbonilla
80
5k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
191
16k
Making the Leap to Tech Lead
cromwellryan
133
8.9k
Navigating Team Friction
lara
183
14k
Unsuck your backbone
ammeep
668
57k
What's in a price? How to price your products and services
michaelherold
243
12k
Agile that works and the tools we love
rasmusluckow
327
21k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
26
2.1k
Fashionably flexible responsive web design (full day workshop)
malarkey
405
65k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
16
2.1k

Transcript

  1. Azure PaaS とのよりセキュアな接続 - 初級編 VNet サービスエンドポイント、Private Link、VNet 統合 株式会社

    pnop / Cloudlive 株式会社 浅見 城輝 2020/02/12 @Azure のセキュリティ勉強会と・クラフトビール #01

  2. © 2020 pnop © 2011 Microsoft Corporation All Rights Reserved.

    About me kuniteru.asami Find me Database Azure 2012~ Microsoft Azure

  3. © 2020 pnop はじめに Azure の PaaS サービスは、その多くがインターネットとの接続を担う パブリック エンドポイントを持っています。

    しかし、インターネットにさらされているエンドポイントでの通信を 許容することなく、特定の Azure VNet あるいは、VPN や ExpressRoute の先のネットワークといった、自身が管理しているネットワークとの み通信をしたいというセキュリティ要件があります。 ここでは、それを実現する Azure の機能を紹介します。 ※ 2020/02/12 時点の情報がベースとなります ※ Preview 機能もありますが Preview であることは明記していません

  4. © 2020 pnop データセンター 通信要件イメージ 本社 運用監視センター subnet 他者 VNet

    Azure VPN subnet1 自己所有 VNet subnet2

  5. © 2020 pnop Agenda Azure PaaS での受信 Azure App Service

    から Azure VNet への送信 Azure App Service から Azure PaaS への通信 ExpressRoute, Azure VPN Gateway を経由した 外部ネットワークから Azure PaaS への通信

  6. © 2020 pnop Azure PaaS での受信

  7. © 2020 pnop App Service や多くの Azure PaaS は通常、VNet には所属していない。

    そのため通常はインターネットとの通信となるが、 “VNet サービスエンドポイント” や “Private Link” を利用することで、 VNet からの通信に限定することが可能となる Azure PaaS への通信経路 サービス エンドポイント VNet Private Link + Private Endpoint VNet インターネット Azure ExpressRoute (Microsoft Peering) Azure

  8. © 2020 pnop サービス エンドポイント VNet VNet サービス エンドポイント VNet

    のサブネットにサービス エンドポイントを作成することで、 Azure PaaS はそのサブネットからの接続を許可、それ以外を拒否する設定が可能になる すなわち、Azure PaaS への接続元となるネットワークを 特定の VNet サブネットに限定可能となる VNet と Azure PaaS 間のトラフィックは Azure バックボーンのみ VNet 内のリソースにとって Azure PaaS の IP アドレスはグローバル IP になる PaaS にとって接続元の IP アドレスは VNet 内の IP になる サブネットに割り当てたルート テーブルよりも優先される 対応する Azure PaaS App Service Data Lake Storage Gen 1 Storage Cosmos DB Azure DB for MariaDB Azure DB for MySQL Azure DB for PostgreSQL SQL Database Synapse Analytics Key Vault Container Registry Service Bus Event Hubs

  9. © 2020 pnop サービス エンドポイント ポリシーをサブネットに割り当てることで、 そのサブネットからアクセスできる Azure PaaS を制限する

    これを設定しないと、 Azure Firewall などでインターネットへの OutBound を遮断しているにもかかわらず、 どの Azure PaaS にもアクセスすることができてしまう 該当サブネット内のリソースにアクセスできる 悪意のあるユーザーがデータを想定外のAzure PaaS に 持ち出すことを防ぐ 現時点(2020/02/12)では、Azure Storage のみが対象 サービス エンドポイント サービス エンドポイント ポリシー VNet

  10. © 2020 pnop Azure Private Link Azure Private Link を使用すると、VNet

    内のプライベート エンドポイント経由で Azure PaaS にアクセスできる VNet と Azure PaaS 間のトラフィックは Azure バックボーンのみ VNet 内のリソースにとって PaaS の IP アドレスはプライベート エンドポイントに 割り当てられた IP になる PaaS にとって接続元の IP アドレスは VNet 内の IP になる 現時点(2020/02/12)では、NSG や IP アドレスで接続元を制限することはできない 対応する Azure PaaS Storage SQL Database Synapse Analytics Azure DB for PostgreSQL Azure DB for MySQL Azure DB for MariaDB Cosmos DB Data Lake Storage Gen2 Key Vault Private Link + Private Endpoint VNet Private Endpoint

  11. © 2020 pnop Customer#A HQ Customer#B subnet1 subnet2 vnet1 Azure

    22.22.22.22 11.11.11.11 99.99.99.99 アクセス制限(例) vnet2 10.2.0.0/24 10.1.0.0/24 VNet サービス エンドポイント 10.0.0.0/24 優先度 名前 ソース アクション 100 Allow HQ 11.11.11.11/32 Allow 110 Allow Customer#A 22.22.22.22/32 Allow 200 Allow vnet1/subnet1 vnet1/subnet1 Allow 2147483647 Deny all Any Deny 優先度 名前 ソース アクション 100 DenyFrom10.2.0.0 10.2.0.0/24 Deny 65000 AllowVnetInBound VirtualNetwork Allow 65500 DenyAllInBound Any Deny ▪ データベースに対するアクセス制限 ▪ vnet2 10.0.0.0/24 NSG 受信規則 効かない

  12. © 2020 pnop Azure App Service から Azure VNet への送信

  13. © 2020 pnop Azure App Service から Azure VNet への通信経路

    App Service は通常、VNet には属していない(ASE を除く)。 そのため、App Service から Azure VNet 内の Virtual Machine などの リソースにアクセスしたい場合は、その道を作る必要がある。 インターネット VNet Public IP App Service リージョン VNet 統合 Delegated Subnet VNet App Service VNet 統合 VPN Gateway VNet App Service VPN

  14. © 2020 pnop VNet 統合 VNet に設置された VPN Gateway に対して

    App Service から Point to Site VPN 接続をすることにより VNet 内のリソースに アクセスする App Service と VNet が異なるリージョンに あっても通信できる DNS は VNet のものが利用される ただし、Private DNS Zone は参照できない Windows の App Service のみ対応 VNet 統合 VPN Gateway VNet App Service VPN

  15. © 2020 pnop リージョン VNet 統合 App Service が VNet

    内のサブネットに足を延ばし、そこから VNet 内の リソースにアクセスするイメージ App Service と同じリージョンの VNet と通信する DNS は VNet のものが利用される ただし、Private DNS Zone は参照できない VNet 内のリソースにとって接続元となる App Service の IP アドレスは 委任された サブネット内の IP になる サービス エンドポイントの先の PaaS や、 ExpressRoute の先のネットワークに アクセス可能 リージョン VNet 統合 Delegated Subnet VNet App Service

  16. © 2020 pnop Azure App Service から Azure PaaS への通信

  17. © 2020 pnop VNet には所属していない App Service と Azure PaaS

    間は 通常はインターネットでの通信となるが、(リージョン) VNet 統合 と Azure PaaS への VNet サービス エンドポイントか Private Link を 組み合わせることで、通信経路を VNet に制限することができる。 Azure App Service から Azure PaaS への通信 (リージョン) VNet 統合 + Private Link インターネット リージョン VNet 統合 + サービス エンドポイント VNet 11.11.11.11 22.22.22.22 VNet

  18. © 2020 pnop ExpressRoute, Azure VPN Gateway を経由した 外部ネットワークから Azure

    PaaS への通信

  19. © 2020 pnop オンプレミス から Azure PaaS への通信 オンプレミスのネットワークから ExpressRoute

    や Azure VPN を通して Azure PaaS にアクセスするには、”Express Route (Microsoft Peering)” か、 “Private Link と ExpressRoute (Private Peering) や Azure VPN” を利用する。 VNet サービス エンドポイントは利用できない インターネット Azure ExpressRoute (Microsoft Peering) Azure ExpressRoute (Private Peering) or VPN Gateway + Private Link VNet VPN Azure

  20. © 2020 pnop まとめ プライベート エンドポイントの NSG 早よ来い