Network Security Perimeterを理解する
-- Views
May 29, 26
スライド概要
YonaAz#16 LT会(https://yonayona.connpass.com/event/392577/) の登壇資料です。
AzureのNetwork Security Perimeterについて説明した初心者向け資料です
ex-Microsoft | SIer → Support Engineer → SIer. 昔はソースコード解析等をやっていましたが、今はAzureのアーキテクトやってます。 https://qiita.com/iboy
関連スライド
Meta XR SDK(V66-74)でQuestアプリを開発
あうぜん
1.2M
各ページのテキスト
はじめてのNetwork Security Perimeter (NSP) AI時代! AI とコラボするためにAzureの新サービスを理解する!
PLAYER PROFILE CAREER 1st STAGE SIer ソースコード解析・開発環境構築 ▼ 2nd 某 Windows OS の会社で Azure 技術サポート ▼ NOW DJ SIer で SE / システムアーキテクト PLAYING NAME iboy Yohei Iwasaki S E / システムアーキテクト SKILL SET ☆12 Azure .......... AAA ☆8 フットサル ...... A ☆10 音ゲー ........ AA ☆7 ランニング ...... A X: @I_BOY_1204 | Qiita: iboy OUTPUT Qiita で Azure VM / Storage / Azure Files の検証・ノウハウを発信
本日の目標 AI時代 Network Security Perimeter だからこそ Azureの機能をきちんと 理解することが大事! AI を理解しよう! 負けずに張り合う人
本日の目標 AI時代 Network Security Perimeter だからこそ 完全に理解した を理解しよう! Azureの機能をきちんと 「NSPについて 」 理解することが大事! になれたら今日は勝利! AI 負けずに張り合う人
Perimeterとは?(一般的な単語の意味) りみたー ※アクセントは「り」 発音 ぺ 外 Outside Perimeter = 境界線 意味(英語) the outer edge of an area of land or the border around it 出展: Cambridge 英語辞書 内 意味(日本語) 周囲の長さ、(軍事基地・飛行場などを囲む)境界線、周辺(地域) 出展: Weblio英和辞書 Inside つまり ある領域を内と外に隔てるようなときに利用することができる単語 この破線がペリメーター(境界線) 外 Outside
Azure におけるNetwork Security Perimeter リリース ● 2024/11 パブリックプレビュー → 2025/8 一般提供開始 (GA) Network Security Perimeter 概要 PaaS Service A ● 仮想ネットワークの外部にデプロイされるPaaSサービスが対象 ● PaaSサービスの周囲に論理的な境界を設けて保護 ● 境界内→外、外→内への通信を制御 ● 既定でDeny、Allow List 内の通信だけを許可 ● 境界内に閉じた通信は自由に実施可能 PaaS Service B Allow (境界内は自由) 既定: Deny つまり 外部からの通信は AllowList で許可された通信のみ 仮想ネットワークに紐づかない(NSGで制御できない)PaaSサー ビスをよりセキュアに利用するための 外 境界型防御の仕組み
Network Security Perimeterのサポートサービス データベース NSP対応 サポートされるサービス SQL DB Cosmos DB MySQL Server PostgreSQL SQL MI Managed Redis Data Explorer Data Lake Storage Gen1 Block Blob Page Blob FileShare Data Factory Synapse Analytics Databricks Azure AI Search Azure OpenAI Microsoft Foundry Cognitive Services Machine Learning App Services Function Apps Container Apps Static Apps Environment Logic Apps SignalR Pubsub Communication Services IoT Central Applications Azure IoT Operations ストレージ / データ AI / ML コンピュート / アプリ メッセージング / 統合 Service Bus Event Hub Event Grid Key Vaults Azure Monitor Log Analytics Workspace IoT / 監視 / セキュリティ API Management Application Insights • • • • • • • • • • Azure Monitor Azure AI Search Cosmos DB Event Hubs Key Vault SQL DB Storage アカウント Azure OpenAI サービス Microsoft Foundry Azure Service Bus Digital Twins ※PaaSサービス一覧はCopilotに抽出してもらいました。どれがPaaSかのご意見あるかと思いますが、ご容赦ください
通信の制御方法 Inbound 通信 外→内 パブリックIPアドレスによる制御 許可するIPアドレスを指定して外部からのアクセスを制御 指定サブスクリプション内のリソースを許可 同じサブスクリプション内のリソースからのアクセスを一括許可 Outbound 通信 内→外 FQDNで通信許可先のリソースを設定 境界内のリソースが外部に通信する先を、完全修飾ドメイン名 (FQDN)で指定して制御
アクセスモードって何?ルールはどう決まるの? 強制モード •NSP のルールを完全に強制 移行モード(学習モード) •NSP のルールが最初に評価 •NSP ルールで許可されなかった場合に、PaaS サービスの FW 設定にフォールバックして評価
NSPの注意点
機能的な注意点(プレーン別の対応範囲) × Azure リソースの構造 コントロールプレーン ○ NSP の対象範囲 データプレーン リソース自体の設定・管理 データ自体の操作 例:Storageアカウントの診断設定、ファイアウォール設定など 例:Storageアカウント上のデータの読み書き NSP対象外 NSPで通信制御可能 RBACやConditional Accessで別途制御 NSP はデータプレーンの通信制御のみ対応 コントロールプレーンの制御にはRBACやConditional Accessなどを別途適用する必要があります
機能的な注意点(エンドポイント) パブリックエンドポイント NSP 制御対象 プライベートエンドポイント 制御対象外 NSPで制御される通信は パブリックエンドポイント宛ての通信のみ プライベートエンドポイントへの通信は NSPでの制御対象外 インターネット経由でアクセスされるエンドポイントへの通信が、NSP のルールで制御されます VNet内のプライベートエンドポイント経由の通信は、NSPのルール では制御されません 同一リージョンからのアクセスは IP規則では制御できない 同一リージョン内のリソースからのアクセスは、IPアドレスベースのInboundルー ルでは制限できません
どれくらい違いがあるの? ほかの機能と比較してみよう
PaaS サービスのリソースFirewallと比較してみる FW NSP リソース Firewall NSP 1つのリソースへの アクセスを個別に制御 紐づいたPaaSリソース群を まとめて制御 そのリソースだけを守る リソース群の塊で守る 片方が高機能に見える ≠ 優れている|機能差分を理解するための比較 今回は Storage Account の Firewall 設定を利用して比較
Storage Account FW の3つのアクセス制御規則(Inboud制御) ストレージアカウントのパブリックエンドポイントへのアクセスを制御する3つの方法 VNet IP ✓ 仮想ネットワーク規則 IPネットワーク規則 信頼されたサービスの例外 Azure Virtual Network 内の特定のサブネッ トからのトラフィックを許可 特定のパブリックIPアドレス範囲からのト ラフィックを許可 ネットワーク境界外で動作する特定のAzure サービスからのトラフィックを許可 ↑ この2つの規則の使い分けの勘所はブログにまとめています Azure Storage Accountのファイアウォール設定で困ることが多いので設定方法まとめ #AzureStorage - Qiita
FW判定の大原則:最後のホップが鍵 ストレージアカウントにアクセスする際の経路上で 「最後にどのリソースやどの場所を通ったか」が重要 クライアント 経路 Azure VM / オンプレ / インターネッ ト Azure Firewall / VPN / サービスエン ドポイント 同一リージョン内 → 仮想ネットワーク規則で制御 Storage Account ファイアウォール判定 異なるリージョン → IPネットワーク規則で制御
シナリオ別 設定早見表 1 同一リージョン内のVMからのアクセス → 仮想ネットワーク規則 2 ペアリージョンからパブリックIP経由でのアクセス → IPネットワーク規則 3 ペアリージョンからサービスEP経由でのアクセス → 仮想ネットワーク規則 4 ペアリージョン以外のリージョンからアクセス → IPネットワーク規則 5 ペアリージョン内のAzure Firewall経由でアクセス → 仮想ネットワーク規則 ※ 仮想ネットワーク規則(青)= 同一/ペアリージョンの経路 | IPネットワーク規則(橙)= それ以外の経路
は?ってなった方、ぜひブログを読んでください は? FWの判定ルール、 難しくないですか? 「最後のホップ」や「シナリオ別の使い分け」 がぴんとこない方へ 詳しくはこちらをチェック! ブログ記事を読む→ ブログ記事を読む →
共通の前提と制御範囲の違い どちらもデータプレーンの Public Endpoint 経由アクセスを制御する機能(管理プレーン・Private Endpoint は対象外) 比較項目 Storage Account FW NSP 設定の適用単位 Storage Account 1リソースごとに個別設定 NSPリソース1つで複数PaaSに一括適用 リソース間通信 対応概念なし 同一ペリメーター内は暗黙的に許可 各リソースに個別ルールが必要 ペリメーター = 信頼ゾーン インバウンド制御方式 IP規則 + 仮想ネットワーク規則 + 信頼されたサービス の例外 IP規則 + サブスクリプション単位の許可 アウトバウンド制御 非対応 仮想ネットワーク規則は非サポート FQDN指定で送信先を制御可能 診断ログの送信先などを制御 Storage Accountの診断設定が制御の対象
制限の違い Storage Account Firewall と NSP では、制限事項や対応範囲に違いがある 制限項目 Storage Account FW NSP サービスエンドポイント ✓ 対応 ✗ 非サポート (仮想ネットワーク規則) VNet規則でサブネット単位の制御が可能 IP規則またはサブスクリプション単位のみ NFS / SFTP ✓ 対応 ✗ 非対応 静的Webサイト ✓ 対応 ✗ 非対応 Azure Backup ✓ 対応 ✗ 非対応 同一リージョンからの IPベースの制御 仮想ネットワーク規則で制御可能 信頼されたサービスの例外 IP規則では制御不可 サブスクリプション規則での制御は可能 ✓ 対応 強制モードではバイパスされない 特定のAzureサービスを例外許可 明示的なペリメーター規則が必要
NSPの制約と使い分けの指針 NSP の現時点での制約 Firewall の強み • • サービスエンドポイント(VNet規則)は非サポート NFS / SFTP・静的Webサイト・Azure Backupは非対応 • • VNet規則(サービスエンドポイント)に対応 NFS / SFTP / 静的Webサイト / Azure Backupに対応 • 対応PaaSサービスが限定的(順次拡大中) • 成熟した機能で導入実績が豊富 使い分けの指針 NSPが適するケース 複数PaaSのアクセス制御を一元管理したい / アウトバウンド通信の制御が必 要 Firewallが適するケース(現状の推奨) 上記以外の多くのケース / VNet規則が必要 / NFS・SFTPを利用 ※ NSPのサポート範囲は順次拡大中。今後の対応状況によって最適な選択は変わる可能性あり
まとめ 1 NSP とは 2 アクセスモードと注意点 3 FW との使い分け PaaS サービスの周囲に論理的な境界 を作り、内外の通信を制御 強制モード ▸ インバウンド: IP / サブスクリプション 移行モード ▸ アウトバウンド: FQDN ベース NSP → PaaS FW の二段階で評価 ▸ データプレーンのみが対象 注意点 NSP 向き ▸ パブリック EP・データプレーンのみ対象 ▸ サービス EP / NFS / 静的 Web 非対応 FW 向き NSP ルールのみで判定 ▸ FW は個別リソース単位、NSP は複数 PaaS 一括で制御 ▸ NSP は境界内通信が暗黙許可 + ア ウトバウンド制御可 複数 PaaS 一括管理 / アウトバウンド制御 VNet ルール / NFS / 静的 Web サイト NSP は PaaS の境界を一元管理できる新しい選択肢。制約を理解し FW と使い分けよう!
参考リンク • Microsoft 公式ドキュメント • ネットワークセキュリティ境界とは何ですか? - Azure Private Link | Microsoft Learn • Azure サポートチームブログ • ネットワーク セキュリティ境界とは | Japan Azure Monitoring Support Blog • 非公式技術ブログ • Azure Storage Account の Network Security Perimeter を理解する #AzureStorage – Qiita • Storage Account Firewall to Network Security Perimeter (NSP) はどちらを使えばいいの? 二つを比較してみた #Azure – Qiita • Azure Storage Accountのファイアウォール設定で困ることが多いので設定方法まとめ #AzureStorage – Qiita • コミュニティ発表資料 • Azure Storage Account FW のトラブルシューティング | ドクセル
- https://learn.microsoft.com/ja-jp/azure/private-link/network-security-perimeter-concepts
- https://jpazmon-integ.github.io/blog/LogAnalytics/NetworkSecurityPerimeter/
- https://qiita.com/iboy/items/c684a74b68ddd5d6272e
- https://qiita.com/iboy/items/18a6f3dcfcd68913bb45
- https://qiita.com/iboy/items/3257395771a6ba507a1c
- https://www.docswell.com/s/iboy/5Q28PY-yonaaz13