Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Azure PaaS とのよりセキュアな接続 - 初級編

Kuniteru Asami
February 12, 2020
Technology
0
6

Azure PaaS とのよりセキュアな接続 - 初級編

Azure PaaS とのよりセキュアな接続 - 初級編
VNet サービスエンドポイント、Private Link、VNet 統合

Kuniteru Asami

February 12, 2020
Tweet

More Decks by Kuniteru Asami

See All by Kuniteru Asami
どう買う?Azure
kuniteru
1
250
スケールアウトできるManaged RDBMS - Azure Cosmos DB for PostgreSQL
kuniteru
0
24
現場からみた Azure リファレンスアーキテクチャ答え合わせ | Microsoft Build 2022
kuniteru
1
5
Azure Load Testingを利用したパフォーマンステスト
kuniteru
1
10
Understanding Azure Application Gateway
kuniteru
0
7
堅牢&運用楽々な WordPress を Azure App Service で
kuniteru
0
11
あらためて Azure Virtual Network
kuniteru
0
6
Azure Virtual Machines設計の勘所 | Microsoft Tech Summit 2017
kuniteru
1
7
Introduction of Azure Database for MySQL / PostgreSQL
kuniteru
0
9

Other Decks in Technology

See All in Technology
LangSmith入門―トレース/評価/プロンプト管理などを担うLLMアプリ開発プラットフォーム
os1ma
5
770
Babylon.jsと色々なものを組み合わせる:ブラウザのAPIやガジェットや2D描画ライブラリなど / Babylon.js 勉強会 vol.3
you
PRO
0
180
BPStudyの200回を中心にIT業界を振り返る。そしてこれから
haru860
3
430
エンジニア候補者向け資料2024.04.24.pdf
macloud
0
3.4k
今日からできる!簡単 .NET 高速化 Tips -2024 edition-
xin9le
7
4.5k
ルーターでプレゼンする
puhitaku
1
3.4k
社内アプリで Cloudflare D1を プロダクト運用してみた体験談(Tokyo)
haochenx
0
130
web-application-security
matsuihidetoshi
1
200
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Musicを例に~
otanet
0
320
Documentação de Produtos: Artefatos essenciais na prática
rigolon
1
190
認知症フレンドリーテックとスタックチャン
naokiuc
0
310
チームでロジカルシンキングに改めて向き合っている話 〜学習環境と実践⽅法〜
sansantech
PRO
3
3.3k

Featured

See All Featured
Embracing the Ebb and Flow
colly
80
4.2k
Visualization
eitanlees
137
14k
Thoughts on Productivity
jonyablonski
60
3.9k
How STYLIGHT went responsive
nonsquared
92
4.8k
Making the Leap to Tech Lead
cromwellryan
125
8.5k
The Language of Interfaces
destraynor
151
23k
Happy Clients
brianwarren
92
6.4k
Rebuilding a faster, lazier Slack
samanthasiow
74
8.2k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
242
1.2M
Web Components: a chance to create the future
zenorocha
306
41k
10 Git Anti Patterns You Should be Aware of
lemiorhan
649
58k
How GitHub (no longer) Works
holman
305
140k

Transcript

  1. Azure PaaS とのよりセキュアな接続 - 初級編 VNet サービスエンドポイント、Private Link、VNet 統合 株式会社

    pnop / Cloudlive 株式会社 浅見 城輝 2020/02/12 @Azure のセキュリティ勉強会と・クラフトビール #01

  2. © 2020 pnop © 2011 Microsoft Corporation All Rights Reserved.

    About me kuniteru.asami Find me Database Azure 2012~ Microsoft Azure

  3. © 2020 pnop はじめに Azure の PaaS サービスは、その多くがインターネットとの接続を担う パブリック エンドポイントを持っています。

    しかし、インターネットにさらされているエンドポイントでの通信を 許容することなく、特定の Azure VNet あるいは、VPN や ExpressRoute の先のネットワークといった、自身が管理しているネットワークとの み通信をしたいというセキュリティ要件があります。 ここでは、それを実現する Azure の機能を紹介します。 ※ 2020/02/12 時点の情報がベースとなります ※ Preview 機能もありますが Preview であることは明記していません

  4. © 2020 pnop データセンター 通信要件イメージ 本社 運用監視センター subnet 他者 VNet

    Azure VPN subnet1 自己所有 VNet subnet2

  5. © 2020 pnop Agenda Azure PaaS での受信 Azure App Service

    から Azure VNet への送信 Azure App Service から Azure PaaS への通信 ExpressRoute, Azure VPN Gateway を経由した 外部ネットワークから Azure PaaS への通信

  6. © 2020 pnop Azure PaaS での受信

  7. © 2020 pnop App Service や多くの Azure PaaS は通常、VNet には所属していない。

    そのため通常はインターネットとの通信となるが、 “VNet サービスエンドポイント” や “Private Link” を利用することで、 VNet からの通信に限定することが可能となる Azure PaaS への通信経路 サービス エンドポイント VNet Private Link + Private Endpoint VNet インターネット Azure ExpressRoute (Microsoft Peering) Azure

  8. © 2020 pnop サービス エンドポイント VNet VNet サービス エンドポイント VNet

    のサブネットにサービス エンドポイントを作成することで、 Azure PaaS はそのサブネットからの接続を許可、それ以外を拒否する設定が可能になる すなわち、Azure PaaS への接続元となるネットワークを 特定の VNet サブネットに限定可能となる VNet と Azure PaaS 間のトラフィックは Azure バックボーンのみ VNet 内のリソースにとって Azure PaaS の IP アドレスはグローバル IP になる PaaS にとって接続元の IP アドレスは VNet 内の IP になる サブネットに割り当てたルート テーブルよりも優先される 対応する Azure PaaS App Service Data Lake Storage Gen 1 Storage Cosmos DB Azure DB for MariaDB Azure DB for MySQL Azure DB for PostgreSQL SQL Database Synapse Analytics Key Vault Container Registry Service Bus Event Hubs

  9. © 2020 pnop サービス エンドポイント ポリシーをサブネットに割り当てることで、 そのサブネットからアクセスできる Azure PaaS を制限する

    これを設定しないと、 Azure Firewall などでインターネットへの OutBound を遮断しているにもかかわらず、 どの Azure PaaS にもアクセスすることができてしまう 該当サブネット内のリソースにアクセスできる 悪意のあるユーザーがデータを想定外のAzure PaaS に 持ち出すことを防ぐ 現時点(2020/02/12)では、Azure Storage のみが対象 サービス エンドポイント サービス エンドポイント ポリシー VNet

  10. © 2020 pnop Azure Private Link Azure Private Link を使用すると、VNet

    内のプライベート エンドポイント経由で Azure PaaS にアクセスできる VNet と Azure PaaS 間のトラフィックは Azure バックボーンのみ VNet 内のリソースにとって PaaS の IP アドレスはプライベート エンドポイントに 割り当てられた IP になる PaaS にとって接続元の IP アドレスは VNet 内の IP になる 現時点(2020/02/12)では、NSG や IP アドレスで接続元を制限することはできない 対応する Azure PaaS Storage SQL Database Synapse Analytics Azure DB for PostgreSQL Azure DB for MySQL Azure DB for MariaDB Cosmos DB Data Lake Storage Gen2 Key Vault Private Link + Private Endpoint VNet Private Endpoint

  11. © 2020 pnop Customer#A HQ Customer#B subnet1 subnet2 vnet1 Azure

    22.22.22.22 11.11.11.11 99.99.99.99 アクセス制限(例) vnet2 10.2.0.0/24 10.1.0.0/24 VNet サービス エンドポイント 10.0.0.0/24 優先度 名前 ソース アクション 100 Allow HQ 11.11.11.11/32 Allow 110 Allow Customer#A 22.22.22.22/32 Allow 200 Allow vnet1/subnet1 vnet1/subnet1 Allow 2147483647 Deny all Any Deny 優先度 名前 ソース アクション 100 DenyFrom10.2.0.0 10.2.0.0/24 Deny 65000 AllowVnetInBound VirtualNetwork Allow 65500 DenyAllInBound Any Deny ▪ データベースに対するアクセス制限 ▪ vnet2 10.0.0.0/24 NSG 受信規則 効かない

  12. © 2020 pnop Azure App Service から Azure VNet への送信

  13. © 2020 pnop Azure App Service から Azure VNet への通信経路

    App Service は通常、VNet には属していない(ASE を除く)。 そのため、App Service から Azure VNet 内の Virtual Machine などの リソースにアクセスしたい場合は、その道を作る必要がある。 インターネット VNet Public IP App Service リージョン VNet 統合 Delegated Subnet VNet App Service VNet 統合 VPN Gateway VNet App Service VPN

  14. © 2020 pnop VNet 統合 VNet に設置された VPN Gateway に対して

    App Service から Point to Site VPN 接続をすることにより VNet 内のリソースに アクセスする App Service と VNet が異なるリージョンに あっても通信できる DNS は VNet のものが利用される ただし、Private DNS Zone は参照できない Windows の App Service のみ対応 VNet 統合 VPN Gateway VNet App Service VPN

  15. © 2020 pnop リージョン VNet 統合 App Service が VNet

    内のサブネットに足を延ばし、そこから VNet 内の リソースにアクセスするイメージ App Service と同じリージョンの VNet と通信する DNS は VNet のものが利用される ただし、Private DNS Zone は参照できない VNet 内のリソースにとって接続元となる App Service の IP アドレスは 委任された サブネット内の IP になる サービス エンドポイントの先の PaaS や、 ExpressRoute の先のネットワークに アクセス可能 リージョン VNet 統合 Delegated Subnet VNet App Service

  16. © 2020 pnop Azure App Service から Azure PaaS への通信

  17. © 2020 pnop VNet には所属していない App Service と Azure PaaS

    間は 通常はインターネットでの通信となるが、(リージョン) VNet 統合 と Azure PaaS への VNet サービス エンドポイントか Private Link を 組み合わせることで、通信経路を VNet に制限することができる。 Azure App Service から Azure PaaS への通信 (リージョン) VNet 統合 + Private Link インターネット リージョン VNet 統合 + サービス エンドポイント VNet 11.11.11.11 22.22.22.22 VNet

  18. © 2020 pnop ExpressRoute, Azure VPN Gateway を経由した 外部ネットワークから Azure

    PaaS への通信

  19. © 2020 pnop オンプレミス から Azure PaaS への通信 オンプレミスのネットワークから ExpressRoute

    や Azure VPN を通して Azure PaaS にアクセスするには、”Express Route (Microsoft Peering)” か、 “Private Link と ExpressRoute (Private Peering) や Azure VPN” を利用する。 VNet サービス エンドポイントは利用できない インターネット Azure ExpressRoute (Microsoft Peering) Azure ExpressRoute (Private Peering) or VPN Gateway + Private Link VNet VPN Azure

  20. © 2020 pnop まとめ プライベート エンドポイントの NSG 早よ来い