概要
Azure Storageを閉域利用する場合の構成を検証してみました。
本記事のターゲット
- Azure Storageを活用するにあたって、よりセキュアに構成するにはどうすればいいか検討中の方向け。
- Azure 勉強中の方(詳細な設定画面の画像がないため、初心者向けではないかもしれません。こういう構成も可能なんだという観点で見て頂ければ幸いです。)
検証のはじまり(内容)
Azure Storageをセキュアに利用する場合は、サービスエンドポイントを使用すればインターネットからアクセスできなくなるため、それでいい!といったケースもありますが、外部からの接続遮断の対応して終わり!。
で、本当に良いものでしょうか?
それだと、Azure VM上の超重要機密データを内部メンバーがうっかり個人用のAzure Storageに繋げて情報を持ち出すといった事も容易に可能なわけで( ^ω^)・・・。(超重要機密データってキーワード重要です!全部が全部、超重要機密データではないと思いますので、保管データの重要度によってクラウドらしい設計が必要です(`・ω・´)キリッ)
インフラ基盤(Azure上)で対応できる事であれば、セキュアに対応したいですよね!
本題
さてAzure Storageの閉域利用の構成ですが、以下の図となります。
AzureFWを利用することで特定のストレージのみにアクセスができ、尚且つ、任意のストレージにはアクセスできないように制御可能です。
Azure Storageにアクセスする際は、Azure Storage Explorer(ツールの詳細は、下記URL参照のこと)を使用します。
※AzureFWの制御上、HTTPSまたはHTTP通信にてアクセスする必要があるため。
URL:https://azure.microsoft.com/ja-jp/features/storage-explorer/
ちなみに本構成の検証時には、NSG送信規則のインターネット拒否設定も含めた検証をしています。
ただ、本番環境に適用するには適宜必要な通信の穴あけが必要ですので、ご注意ください。
どの通信が必要かに関しては、それはまた今後のネタとして…今回は割愛します。
本構成のポイント
一番肝心なポイントとしては、サービスエンドポイントをAzure FWに配置しているサブネットに関連付けるという点です。
Azure VMのサブネットにサービスエンドポイントを関連付けると、AzureFWを経由せずに、Azure Storageに直接アクセスできるため、特定のストレージのみにアクセスする制御ができません。
#デメリット
AzureFWの月額コストが気になります。
月額約10万は固定でかかるので、状況に応じて停止運用も視野に検討する必要があります。
料金=固定料金(\140/FW/h)+変動料金(\3.36/GB)+通信料金
#まとめ
早く、サービスエンドポイントポリシーのGAを求む。
初投稿のため、投稿に関する至らない点はご了承ください。
今後精進します!(特に、設定画像や図の凡例等は次回から用意できれば添付します)
ご一読いただき、ありがとうございました。