環境へのプライベートな接続
参照アーキテクチャは、設計上安全です。 また、多層セキュリティアプローチを使用して、顧客によって発生する一般的なデータ流出リスクを克服します。 ネットワーク、ID 、データ、およびサービスレイヤーで特定の機能を使用して、特定のアクセス制御を定義し、必要なデータのみをユーザーに公開することができます。 これらのセキュリティメカニズムの一部が失敗した場合でも、これらの機能によって、エンタープライズ規模のプラットフォーム内のデータを安全に保つことができます。
プライベート エンドポイントや無効なパブリック ネットワーク アクセスなどのネットワーク機能を使用すると、組織のデータ プラットフォームの攻撃対象領域を大幅に削減できます。 ただし、これらの機能が有効になっていても、azure ストレージ アカウント、Azure Synapse ワークスペース、 Azure 管理範囲、またはパブリック インターネットからの Azure Machine Learning などのサービスに正常に接続するには、追加の予防措置が必要になります。
このドキュメントでは、簡単かつ安全な方法でデータ管理ランディング ゾーンまたはデータ ランディング ゾーン内のサービスに接続するための最も一般的なオプションについて説明します。
Azure Bastion ホストとジャンプボックスについて
最も簡単な解決策は、データ管理ランディング ゾーンまたはデータ ランディング ゾーンの仮想ネットワークでジャンプボックスをホストして、プライベート エンドポイント経由でデータ サービスに接続することです。 ジャンプボックスは、Linux または Windows を実行し、ユーザーがリモートデスクトッププロトコル (RDP) または Secure Shell (SSH) を介して接続できる Azure 仮想マシン (VM) です。
以前は、パブリックインターネットからの RDP および SSH セッションを有効にするには、ジャンプボックス VM をパブリック IP でホストする必要がありました。 ネットワークセキュリティグループ (NSGs) を使用してトラフィックをさらにロックダウンし、限られたパブリック IP のセットからの接続のみを許可することができます。 ただし、このアプローチでは、パブリック IP を Azure 環境から公開する必要があるため、組織の攻撃対象領域が増加しています。 または、 Azure Firewall で DNAT ルールを使用して、VM の SSH または RDP ポートをパブリックインターネットに公開することもできます。これにより、同様のセキュリティ上のリスクが生じる可能性があります。
現在、VM を公開するのではなく、より安全な代替手段として Azure Bastion を利用できます。 Azure Bastion は、トランスポート層セキュリティ (TLS) を介して、Azure portal から Azure VM へのセキュリティで保護されたリモート接続を提供します。 Azure Bastion は、Azure データ ランディング ゾーンまたは Azure データ管理ランディング ゾーン内の専用サブネット (名前 AzureBastionSubnet を持つサブネット) に設定する必要があります。 その後、それを使用して、その仮想ネットワーク上の任意の VM 、または Azure portal から直接ピアリングされた仮想ネットワークに接続できます。 VM に追加のクライアントまたはエージェントをインストールする必要はありません。 もう一度 NSGs を使用して、Azure Bastion のみから RDP と SSH を許可することができます。
Azure Bastion には、他にもいくつかの重要なセキュリティ上の利点があります。これには次が含まれます。
- Azure Bastion からターゲット VM へのトラフィックは、お客様の仮想ネットワーク内にとどまります。
- RDP ポート、SSH ポート、パブリック IP アドレスが VM に対して公開されていないため、ポートのスキャンに対して保護を受けることができます。
- Azure Bastion は、ゼロデイ攻撃からの保護に役立ちます。 これは、仮想ネットワークの境界に配置されます。 サービスとしてのプラットフォーム (PaaS) であるため、Azure プラットフォームは Azure Bastion を最新の状態に保ちます。
- このサービスは、Azure 仮想ネットワークのネイティブセキュリティアプライアンス (Azure Firewall など) と統合されています。
- Azure Bastion を使用して、リモート接続の監視と管理を行うことができます。
詳細については、Azure Bastion に関するページを参照してください。
デプロイ
ユーザーのプロセスを簡略化するために、Bicep または ARM テンプレートが用意されています。これを使用すると、データ管理ランディング ゾーンまたはデータ ランディング ゾーン内にこのセットアップをすばやく作成するのに役立ちます。 テンプレートを使用して、サブスクリプション内に次のセットアップを作成します。
Bastion ホストを自分でデプロイするには、[ Azure にデプロイ ] ボタンを選択 します。
[Azure にデプロイ] ボタンを使用して Azure Bastion とジャンプボックスをデプロイする場合、データ ランディング ゾーンまたはデータ管理ランディング ゾーンで使用するのと同じプレフィックスと環境を指定できます。 このデプロイには競合がなく、データ ランディング ゾーンまたはデータ管理ランディング ゾーンへのアドオンとして機能します。 他の VM を手動で追加して、環境内でより多くのユーザーが作業できるようにすることができます。
VM に接続します
デプロイ後、データ ランディング ゾーン仮想ネットワークに 2 つの追加サブネットが作成されていることがわかります。
さらに、サブスクリプション内に新しいリソース グループが作成されます。これには、Azure Bastion リソースと仮想マシンが含まれます。
Azure Bastion を使用して VM に接続するには、次の手順を実行します。
VM (dlz01-dev-bastionなど)を選択し、 [接続] を選択し、 [Bastion] を選択します。
青色の [Bastion を使用する] ボタンを選択します。
サインイン情報を入力して、[接続] を選択します。
![サインイン情報でサインインして VM に接続するための [Azure Bastion を使用して接続する]ペインのスクリーンショット。](../images/bastion-enter-credentials.png)
RDP セッションが新しいブラウザータブで開き、そこからデータサービスへの接続を開始できます。
Azure portal にサインインします。
データ探索のためにリソースグループ内の
{prefix}-{environment}-product-synapse001Azure Synapse のワークスペース{prefix}-{environment}-shared-productに移動します。![Azure portal の[ Synapse ワークスペース] のスクリーンショット。](../images/dev-shared-product-synapse.png)
Azure Synapse ワークスペースで、ギャラリー ( NYC タクシー データセットなど) からサンプル データセットを読み込み、[新しい SQL スクリプト] を選択して
TOP 100行をクエリします。
![サインイン情報でサインインして VM に接続するための [Azure Bastion を使用して接続する]ペインのスクリーンショット。](../images/bastion-enter-credentials.png#lightbox)
![Azure portal の[ Synapse ワークスペース] のスクリーンショット。](../images/dev-shared-product-synapse.png#lightbox)
すべての仮想ネットワークが互いにピアリングされている場合、すべてのデータ ランディング ゾーンおよびデータ管理ランディング ゾーンのサービスにアクセスするには、1 つのデータ ランディング ゾーンで 1 つのジャンプボックスのみが必要です。
このネットワーク設定を推奨する理由については、ネットワーク アーキテクチャに関する考慮事項を参照してください。 データ ランディング ゾーンあたり最大 1 つの Azure Bastion サービスをお勧めします。 より多くのユーザーが環境にアクセスする必要がある場合は、データ ランディング ゾーンに追加の Azure VM を追加できます。
ポイント対サイト接続を使用します
または、ポイント対サイト接続を使用して、ユーザーを仮想ネットワークに接続することもできます。 この方法の Azure ネイティブ ソリューションは、暗号化されたトンネルを介してユーザーと VPN ゲートウェイの間で VPN 接続を許可するように VPN ゲートウェイを設定することです。 接続を確立すると、ユーザーは Azure テナント内の仮想ネットワークでホストされているサービスにプライベート接続を開始できます。 これらのサービスには、Azure ストレージアカウント、Azure Synapse Analytics、Azure Purview などが含まれます。
ハブとスポークのアーキテクチャのハブ仮想ネットワークで VPN ゲートウェイを設定することをお勧めします。 VPN ゲートウェイの設定に関する詳細な手順については、チュートリアル:ゲートウェイポータルを作成するを参照してください。
サイト間接続を使用します
ユーザーが既にオンプレミスのネットワーク環境に接続されていて、接続を Azure に拡張する必要がある場合は、サイト間接続を使用して、オンプレミスと Azure 接続ハブを接続できます。 VPN トンネル接続と同様に、サイト間接続を使用して、Azure 環境への接続を拡張できます。 これにより、企業ネットワークに接続されているユーザーは、 Azure テナント内の仮想ネットワークでホストされているサービスにプライベートに接続できるようになります。 これらのサービスには、 Azure Storage アカウント、 Azure Synapse 、 Azure 管理範囲などが含まれます。
このような接続に対して推奨される Azure ネイティブ アプローチは、ExpressRoute を使用することです。 ハブとスポークのアーキテクチャのハブ仮想ネットワークで ExpressRoute ゲートウェイを設定することをお勧めします。 ExpressRoute 接続を設定する詳細な手順については、チュートリアル:Azure portal を使用した Expressroute 回線のピアリングの作成と変更を参照してください。