SORACOM から Azure へつなげるプライベートネットワーク / Private-network-from-soracom-to-azure

SORACOM から Azure へつなげるプライベートネットワーク SORACOM UG Online #5 May.
27, 2021 株式会社ソラコム Customer Reliability Engineer 三國直樹 (mick / @n_mikuni)

自己紹介三國直樹 (mick) Customer Reliability Engineer 技術サポートやドキュメント等を担当担当したドキュメント: • SORACOM
Beam から Azure IoT Hub へ X.509 証明書で認証した接続をする • SORACOM Funk からAzure Functions を呼び出し Microsoft Teams へ通知する好きな SORACOM サービス: SORACOM Lagoon 好きな Azure サービス: Azure Kubernetes Service

IoT のシステム構成インターネットクラウドデバイス

クラウドへの攻撃・侵入のリスクと対応インターネットクラウドデバイス

• アクセスキーの管理や認可・ログの設定に加えて、ネットワークによる保護も重要。 • Azure Storage の Firewall ではアクセス元の IP
アドレスやサービスを管理できる。攻撃・侵入リスクへの対応例: Azure Storage

では、アクセス元を制限した Storage へ IoT デバイスからどう接続するか？

作ってみた構成の紹介 SORACOM Azure SORACOM IoT SIM VPG (Type-F) SORACOM Door
Azure VPN Gateway Azure Private Link Azure Storage DNS (Azure Virtual Machine) 168.63.129.16 Private DNS Zone https://blog.soracom.com/ja-jp/2020/07/22/door-azure-storage/

• Virtual Network 外からアクセスできない Private Endpoint を提供。 • クライアントはプライベート
IP アドレスで接続可能。 • Azure Storage 以外にも、様々なサービスに対応。 • https://docs.microsoft.com/en-us/azure/private-link/private-endpoint-overview#private-link-resource Azure Private Link 今話していること: プライベートネットワークの構成要素 Azure Private Link Azure Storage

• Private Link が払いだすプライベート IP アドレスの名前解決を提供。 • クライアントはパブリックな名前を解決しに行って良い。 •
現時点では内部 DNS サービス (168.63.129.16 ) へ名前解決するための DNS フォワーダが必要。 Private DNS Zone 168.63.129.16 $ nslookup doorstr.blob.core.windows.net Server: 10.0.0.53 Address: 10.0.0.53#53 Non-authoritative answer: doorstr.blob.core.windows.net canonical name = doorstr.privatelink.blob.core.windows.net. Name: doorstr.privatelink.blob.core.windows.net Address: 10.0.0.5 今話していること: プライベートネットワークの構成要素 DNS Private DNS Zone

• VPG (Virtual Private Gateway) はお客様専用のゲートウェイ • パケットキャプチャやルーティングフィルタ、VPN 接続などできる •
SORACOM Door と Azure VPN Gateway は VPN (Virtual Private Network) を構成 • SORACOM IoT SIM を利用したデバイスから Azure ネットワークへプライベート IP アドレスでのアクセスを可能にする VPG・SORACOM Door・ Azure VPN Gateway 今話していること: プライベートネットワークの構成要素 SORACOM IoT SIM VPG (Type-F) SORACOM Door Azure VPN Gateway Azure Virtual Network

• SIM のグループごとに DNS サーバーのアドレスを指定できる • SIM が SORACOM プラットフォームとセッションを作成した際に
DHCP で配布されるカスタム DNS 今話していること: プライベートネットワークの構成要素 DNS (Azure Virtual Machine)

デモ 1 プライベートネットワークで SSH

デモのネットワーク構成 SORACOM Azure Raspberry Pi + MS2372h-607 VPG (Type-F) SORACOM
Door Azure VPN Gateway Azure Private Link Azure Storage DNS (Azure Virtual Machine) 10.0.0.53 10.0.0.5 DNS 今話していること:プライベートネットワークで SSH するデモ doorstr

Azure Storage の SAS トークン • Shared Access Signature の略。この部分
• どのリソース (blob, file, etc.) に対して、どんなアクセス (読み・書き) を、いつまで、といった設定ができる • 以下 2 つの発行方法がある • Azure Storage のアカウントキーを使う • Azure AAD の認証情報 (ユーザー委任キー) を使う <= 推奨 https://docs.microsoft.com/ja-jp/azure/storage/common/storage-sas-overview https://doorstr.blob.core.windows.net/privateblob/i_love_ug.txt?sv=2019-07- 07&sr=b&sig=xxx&skoid=yyy&sktid=zzz&skt=2021-05-27T06%3A17%3A09Z&ske=2021-05- 27T08%3A17%3A09Z&sks=b&skv=2019-07-07&st=2021-05-27T06%3A17%3A09Z&se=2021-05- 27T08%3A17%3A09Z&sp=racwd

Azure の URI・トークンをどう取得する？ • IoT Hub で取得 • https://docs.microsoft.com/ja-jp/azure/iot-hub/iot-hub-devguide-file-upload •
IoT Central で取得 • https://docs.microsoft.com/ja-jp/azure/iot-central/core/howto-configure-file-uploads • Azure Functions で取得 <= SORACOM Funk と組み合わせてみた • https://qiita.com/n_mikuni/items/c00cdf0daba4970c69c0

Azure Functions と SORACOM Funk $ url=`curl -X POST -H
"content-type:application/json" ¥ -d "{¥"fileName¥": ¥"test.txt¥"}" http://funk.soracom.io | jq -r .url` $ $ curl -X PUT --upload-file test.txt -H "x-ms-blob-type: BlockBlob" "${url}" • Azure Functions は FaaS (Function as a Service) 基盤。Virtual Network へ統合可能。 • SORACOM Funk はデバイスから FaaS を実行するサービス • Azure Function の URL や認証情報を SORACOM が持つ • ※注: 2021 年 5 月時点では SORACOM Funk の名前解決先を指定できず、Azure Functions へのアクセスはインターネット経由となります Azure Function SORACOM Funk

デモ 2 プライベートネットワークでストレージ読み書き

デモのネットワーク構成 SORACOM Azure Raspberry Pi + MS2372h-607 VPG (Type-F) SORACOM
Door Azure VPN Gateway Azure Private Link Azure Storage Azure Function (ASE, VNET ) Windows PC + RUT240 今話していること:プライベートネットワークでストレージ読み書きするデモ SORACOM Funk Managed ID SAS URI

SORACOM を使うメリット • デバイスに P2S VPN のクライアントや S2S VPN の設定が不要
• デバイス・拠点が複数でも、 VPN の終端が SORACOM へ集約 • デバイス設定・認証を肩代わりする他の SORACOM サービスも併用可能 Azure Function SORACOM Funk SORACOM IoT SIM VPG (Type-F) SORACOM Door Azure VPN Gateway Azure Virtual Network

まとめ • Azure のセキュリティはネットワークサービス・認証ともに充実している • SORACOM を利用するとデバイスの設定を楽にしつつ強固なネットワークサービス・認証を持つ Azure
へ接続できる

SORACOM から Azure へつなげるプライベートネットワーク / Private-ne...

SORACOM から Azure へつなげるプライベートネットワーク / Private-network-from-soracom-to-azure

SORACOM
PRO

More Decks by SORACOM

Other Decks in Technology

Featured

Transcript

SORACOM から Azure へつなげるプライベートネットワーク SORACOM UG Online #5 May.

自己紹介三國直樹 (mick) Customer Reliability Engineer 技術サポートやドキュメント等を担当担当したドキュメント: • SORACOM

IoT のシステム構成インターネットクラウドデバイス

クラウドへの攻撃・侵入のリスクと対応インターネットクラウドデバイス

• アクセスキーの管理や認可・ログの設定に加えて、ネットワークによる保護も重要。 • Azure Storage の Firewall ではアクセス元の IP

では、アクセス元を制限した Storage へ IoT デバイスからどう接続するか？

作ってみた構成の紹介 SORACOM Azure SORACOM IoT SIM VPG (Type-F) SORACOM Door

• Virtual Network 外からアクセスできない Private Endpoint を提供。 • クライアントはプライベート

• Private Link が払いだすプライベート IP アドレスの名前解決を提供。 • クライアントはパブリックな名前を解決しに行って良い。 •

• VPG (Virtual Private Gateway) はお客様専用のゲートウェイ • パケットキャプチャやルーティングフィルタ、VPN 接続などできる •

• SIM のグループごとに DNS サーバーのアドレスを指定できる • SIM が SORACOM プラットフォームとセッションを作成した際に

デモ 1 プライベートネットワークで SSH

デモのネットワーク構成 SORACOM Azure Raspberry Pi + MS2372h-607 VPG (Type-F) SORACOM

Azure Storage の SAS トークン • Shared Access Signature の略。この部分

Azure の URI・トークンをどう取得する？ • IoT Hub で取得 • https://docs.microsoft.com/ja-jp/azure/iot-hub/iot-hub-devguide-file-upload •

Azure Functions と SORACOM Funk $ url=`curl -X POST -H

デモ 2 プライベートネットワークでストレージ読み書き

デモのネットワーク構成 SORACOM Azure Raspberry Pi + MS2372h-607 VPG (Type-F) SORACOM

SORACOM を使うメリット • デバイスに P2S VPN のクライアントや S2S VPN の設定が不要

まとめ • Azure のセキュリティはネットワークサービス・認証ともに充実している • SORACOM を利用するとデバイスの設定を楽にしつつ強固なネットワークサービス・認証を持つ Azure