仮想ネットワーク暗号化が機能的にVMのサーバー証明書代わり使えるか

Question

Azureで仮想ネットワーク暗号化機能が正式リリースされました。

内容を見てみると、要件によってはVMのサーバー証明書を使用しなくてもよくなると考えましたが、このような利用は可能なのでしょうか？

https://learn.microsoft.com/ja-jp/azure/virtual-network/virtual-network-encryption-overview

https://learn.microsoft.com/ja-jp/azure/virtual-network/how-to-create-encryption?tabs=portal

この機能は、Azure仮想マシン間やリージョンを超えたグローバルピアリングされた仮想ネットワーク間のトラフィックを自動的に暗号化し、安全な通信を提供します。

仮想ネットワーク暗号化により、VM間の通信がシームレスに暗号化されるため、特定のケースでは、VMにサーバー証明書を適用しなくてもセキュリティ要件を満たす可能性があると考えました。

例えば、下図のように、WebAppsがVNet統合を通じてVM上のWebAPIを呼び出すシステムがあったとします。

両者のVNetがPeering済みで、仮想ネットワーク暗号化で保護（赤枠部分）されている場合、VM側のサーバー証明書の適用を省略することが検討できます。

ただし、WebAppsからのVNet統合に向けてのアウトバウンド通信は暗号化されないため、この部分でサーバー証明書を完全に置き換えることは難しいかな、とも思っています。

Answer 1

チャブーンです。

この件ですが、(お客様からの)「要件の文言」だけをみると、うまくいかないのではないでしょうか？証明書の機能には、

1. 送信元の身元保証
2. 内容の秘匿化

の2つがあり、文言の要件の範囲が何なのか？を「お客様に」確認する必要があると思います。送信元を詐称され、困ったデータに差し替えられる、ようなことを阻止すべきか、は、利用者が決める話しかな、と思います。お客様で「決められない！」とおっしゃるなら、安全サイド(悪い状況は発生するもの)の前提で、要件を考えるのが一般的だと思います。