次の方法で共有


Azure Data Explorer のネットワーク セキュリティ

Azure Data Explorer クラスターは、パブリック URL を使用してアクセスできるように設計されています。 クラスター上の有効な ID を持つすべてのユーザーは、任意の場所からアクセスできます。 組織として、データのセキュリティ保護は、最も優先度の高いタスクの 1 つである場合があります。 そのため、クラスターへのアクセスを制限してセキュリティで保護することも、プライベート仮想ネットワーク経由のクラスターへのアクセスのみを許可することもできます。 この目標を達成するには、次のいずれかのオプションを使用できます。

プライベート エンドポイントを使用して、ご利用のクラスターへのネットワーク アクセスをセキュリティで保護することを強くお勧めします。 このオプションには、"仮想ネットワーク インジェクション" よりも多くの利点があります。これにより、デプロイ プロセスが簡単になり、仮想ネットワークの変更に対する堅牢性が向上するなど、メンテナンスのオーバーヘッドが削減されます。

次のセクションでは、プライベート エンドポイントと仮想ネットワーク インジェクションを使用して、ご利用のクラスターをセキュリティで保護する方法について説明します。

プライベート エンドポイント

プライベート エンドポイントは、仮想ネットワークのプライベート IP アドレスを使用するネットワーク インターフェイスです。 ユーザーはこのネットワーク インターフェイスにより、Azure Private Link を利用するクラスターにプライベートかつ安全に接続します。 プライベート エンドポイントを有効にして、サービスを仮想ネットワークに取り込みます。

プライベート エンドポイント アーキテクチャのスキーマを示す図。

クラスターをプライベート エンドポイントに正常にデプロイするには、一連のプライベート IP アドレスのみが必要です。

Note

プライベート エンドポイントは、仮想ネットワークに挿入されたクラスターではサポートされていません。

仮想ネットワーク インジェクション

警告

仮想ネットワーク インジェクションは、Azure Data Explorer に関して 2025 年 2 月 1 日までに廃止されます。 廃止の詳細については、「Azure Data Explorer の仮想ネットワーク インジェクションの廃止」を参照してください。

仮想ネットワーク インジェクションを使用すると、クラスターを仮想ネットワークに直接デプロイできます。 クラスターには、仮想ネットワーク内から VPN ゲートウェイ経由でプライベートにアクセスするか、オンプレミス ネットワークから Azure ExpressRoute でアクセスできます。 クラスターを仮想ネットワークに挿入すると、そのすべてのトラフィックを管理できます。 これには、クラスターにアクセスするためのトラフィックと、そのすべてのデータ インジェストまたはエクスポートが含まれます。 さらに、管理と稼働状況の監視のために Microsoft がクラスターにアクセスできるようにする必要があります。

仮想ネットワーク インジェクション アーキテクチャのスキームを示す図。

クラスターを仮想ネットワークに正常に挿入するには、次の要件を満たすように仮想ネットワークを構成する必要があります。

  • サービスを有効にし、"ネットワーク意図ポリシー" の形式でデプロイの前提条件を定義するために、サブネットを Microsoft.Kusto/clusters に委任する必要があります
  • クラスターの使用量の将来の増加をサポートするために、サブネットを適切にスケーリングする必要があります
  • クラスターを管理し、正常であることを確認するために、2 つのパブリック IP アドレスが必要です
  • 必要に応じて、追加のファイアウォール アプライアンスを使用してネットワークをセキュリティで保護する場合は、クラスターが送信トラフィック用に一連の完全修飾ドメイン名 (FQDN) に接続できるようにする必要があります

プライベート エンドポイントと仮想ネットワーク インジェクション

仮想ネットワーク インジェクションでは、ファイアウォールでの FQDN リストの維持や、制限された環境でのパブリック IP アドレスのデプロイなどの実装の詳細の結果、メンテナンスのオーバーヘッドが高くなる場合があります。 そのため、プライベート エンドポイントを使用してクラスターに接続することをお勧めします。

次の表は、ネットワーク セキュリティ関連の機能を、仮想ネットワークに挿入されたクラスターに基づいて実装する方法、またはプライベート エンドポイントを使用してセキュリティで保護する方法を示しています。

機能 プライベート エンドポイント 仮想ネットワーク インジェクション
受信 IP アドレスのフィルター処理 パブリック アクセスを管理する 受信ネットワーク セキュリティ グループ ルールを作成する
他のサービス (Storage、Event Hubs など) への推移的なアクセス マネージド プライベート エンドポイントを作成する リソースへのプライベート エンドポイントを作成する
送信アクセスの制限 コールアウト ポリシーまたは AllowedFQDNList を使用する サブネットのフィルター送信トラフィックに対して 仮想アプライアンスを使用する