Windows Azure Web サイトでの IP およびドメインの制限

このポストは、12 月 9 日に投稿された IP and Domain Restrictions for Windows Azure Web Sites の翻訳です。

編集メモ : 今回は、 Windows Azure Web サイトチームの主任プログラムマネージャーリードを務める Stefan Schackow の記事をご紹介します。

これまで、Windows Azure Web サイト (WAWS) で IP およびドメインの制限を構成できるようにしてほしいというご要望を多数いただいておりましたが、今回この機能が導入されました。IP およびドメインの制限は新しいセキュリティ オプションで、先日導入された動的 IP アドレス制限 (DIPR) 機能と併用可能です。

IP およびドメインを制限する機能では、一連の IP アドレスまたはアドレス範囲に対して、Web サイトに対するアクセスを許可/拒否することができます。Windows Azure Web サイトでは、Web サイト内の web.config ファイルを使用すると、この機能の有効化と無効化、および動作のカスタマイズが可能です。

IIS で使用可能な IP およびドメインの制限機能の概要については、iis.net の Web サイト (英語) のページを参照してください。個々の構成要素および属性の詳細な説明については、TechNet のページ (英語) を参照してください。

次に示すのは、ipSecurity の構成を行うサンプル スニペットです。このコードは、ipAddress 属性と subnetMask 属性で指定した範囲のアドレスからのアクセスのみを許可するものです。allowUnlisted を false に設定すると、Web サイトに送信された HTTP 要求のうち、明示的に指定された個々のアドレスまたはアドレス範囲のもののみが許可されます。add 要素の子属性である allowed 属性を true に設定すると、アドレスとサブネットによって、Web サイトへのアクセスが許可されるアドレス範囲が指定されます。

許可された IP アドレス範囲以外から Web サイトへ要求が送信された場合、denyAction 属性で指定されたとおり、HTTP 404 未検出エラーが返されます。

この機能と併用可能な DIPR 機能と同様に、Windows Azure Web サイトは、IP およびドメイン制限モジュールが「見る」クライアント IP アドレスが、HTTP 要求の送信元であるインターネット クライアントの実際の IP アドレスであることを保証します。