次の方法で共有

azureのセキュリティについて知りたい

entry level 20 評価のポイント
2024-09-11T12:05:11.64+00:00

appserviceをentraidでインターネットからのアクセスを制御して、appserviceがvnet統合しているとして、そのvnet統合のサブネットががプライベートエンドポイントと繋がっており、プライベートエンドポイントがazure sql databaseと繋がっているとします。

appserviceとintegration subnetの送受信トラフィックは安全な接続、通信なのでしょうか?

またプライベートエンドポイントとazure sql databaseの安全な接続、通信なのでしょうか?

また、subnet間の通信はvertual network内で完結するのでしょうか?

Azure
Azure
Microsoft が管理する世界のデータ センター ネットワークを介してアプリケーションとサービスを構築、配置、および管理するインフラストラクチャおよびクラウド コンピューティング プラットフォーム。
333 件の質問

2 件の回答

並べ替え方法: 最も役に立つ
最も役に立つ 新しい順 古い順
  1. Aki Nishikawa 1,820 評価のポイント Microsoft 社員
    2024-09-14T05:01:08.1933333+00:00

    @entry level さん

    おそらく、https://learn.microsoft.com/ja-jp/answers/questions/2046559/webapps-vnet-integration-subnetでお問い合わせのものと類似かと思うので、差分だけコメントします。おそらく、以下のようなイメージを想定されているのかと思量しました。

    User's image

    質問が通信経路のことを言っているのか、通信データを含めているのかわかりませんが、経路についての質問であれば以下の通りです。

    [1] appserviceとintegration subnetの送受信トラフィックは安全な接続、通信なのか?

    これは過去のお問い合わせの回答にもある通り、InternetではなくAzure内部ネットワークを経由するため、経路としては安全と言えます。

    [2] プライベートエンドポイントとazure sql databaseの安全な接続、通信なのか?

    ドキュメントに以下のような記述があります。

    プライベート エンドポイントは、仮想ネットワークのプライベート IP アドレスを使用するネットワーク インターフェイスです。 ユーザーはこのネットワーク インターフェイスにより、Azure Private Link を利用するサービスに非公開で安全に接続します。
    https://learn.microsoft.com/ja-jp/azure/private-link/private-endpoint-overview

    [3] subnet間の通信はvertual network内で完結するか?

    Integration subnetとPrivate endpointの存在するSubnet間の通信がInternetに出ることがあるか、という意味だとすれば、そういうことはありません。

    なお、通信の暗号化などは考慮が必要ですので、例えばデータベースアクセスにSSLを使うなどはアプリケーション開発時の考慮事項です。

    0 件のコメント
  2. チャブーン 1,376 評価のポイント MVP
    2024-09-17T03:08:37.0633333+00:00

    チャブーンです。

    この件ですが、過去の話しから追いかけてはいるのですが、ちょっと違和感があります。

    質問者さんの目線で「安全」というのは、どのように定義されているのでしょうか?それがはっきりわからないと、回答が難しい(小さな質問に大きな答えを出さないといけない)のでは、ないでしょうか?

    一般論としてですが、「通信がインターネットを経由する | しない」は重要な要素ではありますが、それで全部ではありません。本当に真面目に担保が必要な場合、以下の資料にあるような「設計」が必要です。具体的にはセキュリティフィルターや暗号化、といった要素になります。

    https://learn.microsoft.com/ja-jp/azure/well-architected/security/networking?WT.mc_id=EM-MVP-8322

    セキュリティフィルターについては、MSで「NSG」というセキュリティコンポーネントがデフォルトで用意され、必要最小限の設定が最初から入っているので、「何もしなくてもある程度のセキュリティは担保されている」状態かとおもいます。たとえば DDoS Protectionも「インフラストラクチャ保護」(パブリックIPレベルのみ)であれば、最初から有効の状態になっており、範囲が広がった場合は別途設計(課金)というようになっています。

    複数の方から回答があった通りですが、

    • VNet内はリージョン内に完全に閉じており、インターネットは経由しない
    • VNet間もサービスにより明確に内容が分かれる(仮想ネットワークピアリング | グローバル仮想ネットピアリング)。リージョン間もMSバックボーンが使用され、インターネットを経由することはない。
    • SaaS / PaaS の場合は、エンドポイントで理解する。パブリックエンドポイント=インターネット経由 / サービスエンドポイント=バックボーン経由だがインターネットは経由しない / プライベートエンドポイント=VNet経由のみ

    というような理解で、問題ないと思います。ご同僚 | お客様への説明上 「一次ベンダーの言質が必要」というのであれば、これはMS有償サポートを使っていただくしかないと思います。ここのメンバーは全員が一井の利用者ユーザーに過ぎず、MSの言葉を語ることができないから、がその理由です。

    0 件のコメント

お客様の回答

回答は、質問作成者が [承諾された回答] としてマークできます。これは、ユーザーが回答が作成者の問題を解決したことを知るのに役立ちます。