LoginSignup
11
7

Azure から外部へ通信を行うための許可 URL、IP アドレスまとめ

Last updated at Posted at 2023-03-02

1.はじめに

Azure 内から Microsoft / Azure 基盤サービスへの通信許可を行う条件が調べにくい、とのことで、本記事でまとめることにしました。サービスエンドポイントやプライベートエンドポイントが提供されておらず、Internet 許可ルールを書かなければいけないもの、オンプレミス側のサービスとして許可を検討する必要があるものをまとめています。
気づいたものを随時アップデートしています。足らないものがある点はご容赦下さい。

2.サマリー

Azure サービス ツール サービスタグ可否 FQDN タグ利用
Azure ポータル Azure 管理用 あり -
Azure Active Directory Azure AD 接続 あり -
Windows ライセンス認証 Windows OS 認証 なし -
Windows Update Windows Update 更新用 なし あり
Log Analytics エージェント Log Analytics エージェント利用 なし -
Azure Monitor エージェント Azure Monitor エージェント利用 あり -
Microsoft Defender for Endpoint MDE / Defender for Servers - -
Microsoft Defender for Identity Active Directory 保護 あり -
Office 365 Office 365 接続 あり -
Red Hat Update Infrastructure Red Hat Enterprise Linux (RHEL) なし -
Azure Kubernetes Service AKS からの AzureFirewall 外部接続 利用 利用
Microsoft Defender for Containers AKS に対して適用された Microsoft Defender for Containers の外部接続 - -
Azure Policy ゲスト構成 Azure VM 内のセキュリティベースラインや DSC 構成管理 あり -
Qualys 拡張機能 Defender for Servers P2 で Qualys 拡張機能を用いて脆弱性監視 - -
Ubuntu on Azure レポジトリ Ubuntu OS レポジトリ - -

3.使えそうな技

3.1 Internet アクセス時の手法

Azure Vnet 内からのアクセス許可については、NSG / UDR / AzureFirewall などで使えるタグ機能がある。こちらを使うと設定が楽になる。

3.1.1 サービスタグ

- NSG (Network Security Group) や Azure Firewall のネットワークルールで適用可能なタグ。

  • 主に Microsoft 関連で使えるものは大体サービスタグがまとまっているので、使った方が楽。
  • サービスタグによっては、NSG / Azure Firewall で使えるものと使えないものがあるので要注意。
  • サービスタグがどこを許可してくれているのかは、以下のサイトで公開されている。

3.1.2 FQDN タグ

Azure Firewall 専用のタグ。アプリケーションルール (HTTP/HTTPS/SQL) の URL ベースで使われそうな Azure 通信をタグでまとめている。2023.3 現在、以下が対応している。

  • WindowsUpdate
  • WindowsDiagnostics
  • MicrosoftActiveProtectionService (MAPS)
  • AppServiceEnvironment (ASE)
  • AzureBackup
  • AzureHDInsight
  • WindowsVirtualDesktop
  • AzureKubernetesService (AKS)
  • Office 365
  • Windows 365

3.2 Internet アクセスを回避するための機能

クラウドサービスでは、サービスエンドポイント / プライベートエンドポイント(Private Link)を用いて、Vnet/Subnetから直接サービスへ接続が出来るようになっている。本記事の主旨とは外れるが、Vnetリソースからの接続についてはプライベートエンドポイント、サービスエンドポイント経由の接続が出来るものは率先的に利用を推奨とする。

3.2.1 サービスエンドポイント

3.2.2 プライベートエンドポイント

4.詳細

4.1 Azure ポータル

  • 概要
    • Azure VM で作業する際に、何かの際に Azure ポータルに接続して対処するため絶対必須。
    • Azure Firewall でルール設定をする際に Azure ポータルだけは許可しておくとよい。
    • AzurePortal だけではアクセスできないケースあり。以下サービスタグも許可すると良い。
      • AzureActiveDirectory
      • AzureResourceManager
      • AzureFrontDoor.Frontend
方法 ツール 方法
NSG
AzureFirewall
サービスタグ AzurePortal
AzureActiveDirectory
AzureResourceManager
AzureFrontDoor.Frontend
Proxy など 直指定 以下参照

4.2 Azure Active Directory

  • 目的
    • Vnet リソースやオンプレ環境から AAD 宛の認証飛ぶ前提で設計していることを考えると、こちらも絶対必須。
方法 ツール 方法
NSG
AzureFirewall
サービスタグ AzureActiveDirectory
Proxy など 直指定 Office 365 URL および IP アドレス範囲の ID 56、59、125 を許可すること。

4.3 Windows ライセンス認証

  • 目的
    • Windows OSを Azure にデプロイした後、OS のライセンス認証が走るので許可が必要
  • 通し方
    • サービスタグ/FQDNタグが無いので、以下 URL を通す必要あり
URL port 概要
azkms.core.windows.net tcp:1688 Windows のライセンス認証
20.118.99.224 tcp:1688 Windows のライセンス認証
40.83.235.53 tcp:1688 Windows のライセンス認証

インフォメーション
2022/7 に新しい Azure KMS のIPアドレスが追加されました

4.4 Windows Update

  • 目的
    • Windows OS のパッチ更新 & アップデート。
    • Azure Firewall であれば FQDN タグが用意されているが、https://*.prod.do.dsp.mp.microsoft.com を書いてあげても良い。
  • 通し方
方法 ツール 方法
Azure Firewall FQDN タグ WindowsUpdate
Proxy など 直指定 https://*.prod.do.dsp.mp.microsoft.com

4.5 Log Analytics エージェント (OMS Agent)

  • 目的
  • 通し方
    • サービスタグ / FQDN タグが無い
    • ドキュメントに許可リストが載っているので、こちらを直設定で通す。
      • image.png

4.6 Azure Monitor エージェント (Azure Monitor Agent)

  • 目的
    • Log Analytics エージェントの後継として現在推奨される IaaS (VM) 監視エージェント。
  • 通し方
    • サービスタグが提供されている
      • ただし、サービスタグの場合は全ての LAW (Log Analytics Workspace) 宛の許可になるため、最小権限として自ワークスペースに対する許可設定を行う場合は注意が必要
    • Internet 経由ではなく、プライベートリンクで Vnet 直接続が可能 (DCR 設定が必要)
    • Firewall 等で公開する要件が Docs に掲載されている。
方法 ツール 方法
Vnet 直接続 Private Link Private Link 経由で DCR を通じて接続する。
NSG
Azure Firewall
サービスタグ AzureMonitor
AzureResourceManager
Proxy など 直指定 Docs 参照

[補足] 最小権限での Azure Monitor Agent 設計例

許可内容 方法 URLなど
AccessControlService URL global.handler.control.monitor.azure.com
Fetch data collection rules for specific machine URL ${LOCATION}.handler.control.monitor.azure.com
Ingest logs data URL ${LAW_ID}.ods.opinsights.azure.com
カスタムメトリック URL management.azure.com
${LOCATION}.monitoring.azure.com

4.7 Microsoft Defender for Endpoint (MDE)

  • 目的
    • IaaS / VM に対する EDR / EPP エンドポイント保護の適用。
  • 通し方
    • Firewall 等で公開する要件が Docs に掲載されている。
    • サービスタグが有るが、2023.3 現在未使用となっている。
    • image.png
方法 ツール 方法
全て 直指定 Docs 参照

4.8 Microsoft Defender for Identity (MDI)

  • 目的
  • 通し方
    • 通信要件が Docs に掲載されている。
    • サービスタグ AzureAdvancedThreatProtection が使える。
方法 ツール 方法
NSG
AzureFirewall
直指定 AzureAdvancedThreatProtection
全て 直指定 Docs 参照

4.9 Office 365

  • 目的
    • IaaS / VM 環境からの Office 365 利用。
  • 通し方
    • [2023/2/28] 待望の Office 365 通信用タグが Azure Firewall ネットワークルールにて使えるようになった。
    • 通信要件が Docsに記載されている。ただし、公開されている Excel からどの URL を許可するのか、設定が面倒。。
    • Azure Firewall に Office 365 通信用の ACL を設定する方法が Azure サポートチームのブログで公開されている。一見の価値あり。
    • FQDN タグは 2022.3 現在、開発待ちの状況となっている。
    • Global のパッケージで、Azure Firewall に Office 365 の許可リストを自動適用する ARM テンプレートがある。使ってみるの手。
方法 ツール 方法
AzureFirewall FQDN タグ image.png
Proxy などで許可する場合 直指定 Docs 参照

4.10 Azure Red Hat Update Infrastructure (RHUI)

  • 目的
    • Azure Marketplace にある Red Hat Enterprise Linux (RHEL) の従量課金 (PAYG) イメージから作成した VM の更新用。
    • リポジトリサーバーは Azure バックボーン側で専用で提供されている。
https://rhui-1.microsoft.com
https://rhui-2.microsoft.com
https://rhui-3.microsoft.com
  • 通し方
    • サービスタグが用意されていないため、手動での設定が必要。
    • Azure 用レポジトリの接続先 IP アドレスが公開されているので、以下を NSG や Azure Firewall のネットワークルールで許可して上げるのが良い。
    • Hub & Spoke 環境で Vnet を分割している場合、Hub 側の Azure Firewall を経由した通信設計も可能だが、UDR でレポジトリ接続だけは直接許可する技もある。Proxy を構築しており、回避して Update は直通信を持たせたいといった要望であれば、この方法がお勧めである。
方法 ツール 方法
AzureFirewall
NSG
IP 指定で許可 こちら
UDR で許可 直指定 Azure Support Docs 参照

4.11 Azure Kubernetes Service (AKS)

  • 目的

    • Vnet 環境に構築した AKS を Azure Firewall で保護する際に、outbound で許可する設計
    • AKSimage
  • 通し方

方法 タグ 命名 Protocol Port
Network Rule ServiceTag AzureCloud.$LOC TCP 9000
Network Rule ServiceTag AzureCloud.$LOC UDP 1194
Network Rule ServiceTag AzureCloud.$LOC UDP 123
Application Rule FQDN Tag AzureKubernetesService TCP HTTPS:443
Network Rule IP 指定 API IPアドレス
API サーバー(外部接続用)
TCP HTTPS:443

4.11 Microsoft Defender for Containers

  • 目的

    • AKS に対して適用された Microsoft Defender for Containers の外部接続通信ルートの確保
      • 特定 Pod microsoft-defender-publisher-ds-* が外部に通信するためのルート確保が必要
    • Containersimage
  • 通し方

方法 タグ 命名 Protocol Port
Application Rule FQDN login.microsoftonline.com https 443
Application Rule FQDN *.ods.opinsights.azure.com https 443
Application Rule FQDN *.oms.opinsights.azure.com https 443

4.12 Azure Automanage マシン構成 (旧 Azure Policy ゲスト構成)

  • 目的
    • オペレーティングシステムの設定をコードとして監査または構成する
    • 構成設定に以下のようなものを含めることができる
      • オペレーティング システムの設定
      • アプリケーションの構成または存在
      • 環境設定
    • セキュリティベースラインを用いて、コンプライアンスチェックが出来るようになる
  • 通し方
方法 タグ 命名 Protocol Port
Network Rule ServiceTag AzureArcInfrastructure
Storage
https 443
直指定 URL *.guestconfiguration.azure.com
agentserviceapi.guestconfiguration.azure.com
Azure Storage エンドポイントのURL
https 443

4.13 Defender for Servers Qualys 拡張機能

  • 目的

    • Microsoft Defender for Servers P2 で、Azure VM や Azure Arc マシンに Qualys 脆弱性エージェントを導入するケース
    • Microsoft Defender for Cloud で Qualys での脆弱性監視を行う場合に用いる
    • Defender for Servers P2 では、MDE 側の脆弱性機能 (Microsoft 脅威と脆弱性の管理) も利用可能。MDE 側脆弱性の場合はこちらの URL / port 開放を行うこと。
      • image.png
  • 通し方

方法 タグ 命名 Protocol Port
直指定 URL qagpublic.qg3.apps.qualys.com
qagpublic.qg2.apps.qualys.eu
https 443

4.14 Ubuntu on Azure レポジトリ

  • 目的

    • Azure VM で Ubuntu を構築し、公式レポジトリに接続するケース
    • 個々のレポジトリサービスに接続する場合は、許可 URL を通すこと。
  • 通し方

    • 直 Internet 通信が必要
    • 通す URL は以下の通り
方法 タグ 命名 Protocol Port
直指定 URL security.ubuntu.com
archive.ubuntu.com
azure.archive.ubuntu.com
motd.ubuntu.com
*.archive.ubuntu.com
entropy.ubuntu.com
api.snapcraft.io
changelogs.ubuntu.com
https 443

5. 参考となる情報

Azure のドキュメントは各サービス毎に通すべき URL が紹介されている。
バラバラなのが問題なのだが、参考情報として記載しておく。

11
7
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
11
7