参照アーキテクチャは設計上安全です。 多層セキュリティ アプローチを使用して、顧客によって発生する一般的なデータ流出リスクを軽減します。 ネットワーク、ID、データ、およびサービス レイヤー上の特定の機能を使用して、特定のアクセス制御を定義し、必要なデータのみをユーザーに公開できます。 これらのセキュリティ メカニズムの一部が失敗した場合でも、この機能はエンタープライズ規模のプラットフォーム内のデータをセキュリティで保護するのに役立ちます。
プライベート エンドポイントや無効なパブリック ネットワーク アクセスなどのネットワーク機能により、組織内のデータ プラットフォームの攻撃対象領域が大幅に減少する可能性があります。 これらの機能が有効になっている場合でも、パブリック インターネットから Azure ストレージ アカウントや Azure Machine Learning などのサービスに正常に接続するには、追加の予防措置を講じる必要があります。
このドキュメントでは、シンプルで安全な方法で、データ管理ランディング ゾーンまたはデータ ランディング ゾーン内のサービスに接続するための最も一般的なオプションについて説明します。
Azure Bastion ホストとジャンプボックスの概要
最も簡単な解決策は、プライベート エンドポイントを介してデータ サービスに接続するために、データ管理ランディング ゾーンまたはデータ ランディング ゾーンの仮想ネットワーク上でジャンプボックスをホストすることです。 ジャンプボックスは、Linux または Windows を実行する Azure 仮想マシン (VM) であり、ユーザーはリモート デスクトップ プロトコル (RDP) または Secure Shell (SSH) を介して接続できます。
以前は、パブリック インターネットからの RDP セッションと SSH セッションを有効にするために、ジャンプボックス VM をパブリック IP でホストする必要がありました。 ネットワーク セキュリティ グループ (NSG) を使用すると、トラフィックをさらにロックダウンして、限られた一連のパブリック IP からの接続のみを許可できます。 ただし、このアプローチでは、パブリック IP を Azure 環境から公開する必要があり、これにより組織の攻撃対象領域が増加しました。 または、お客様は Azure Firewall で DNAT 規則を使用して、VM の SSH または RDP ポートをパブリック インターネットに公開することもできます。これは、同様のセキュリティ リスクにつながります。
現在、VM をパブリックに公開する代わりに、より安全な代替手段として Azure Bastion に依存できます。 Azure Bastion は、トランスポート層セキュリティ (TLS) 経由で Azure portal から Azure VM へのセキュリティで保護されたリモート接続を提供します。 Azure Bastion は、Azure データ ランディング ゾーンまたは Azure データ管理ランディング ゾーンの専用サブネット ( AzureBastionSubnet名のサブネット) に設定する必要があります。 これを使用して、その仮想ネットワーク上の任意の VM またはピアリングされた仮想ネットワークに Azure portal から直接接続できます。 任意の VM に追加のクライアントまたはエージェントをインストールする必要はありません。 NSG を再度使用して、Azure Bastion からの RDP と SSH のみを許可できます。
Azure Bastion には、次のような主要なセキュリティ上の利点がいくつかあります。
- Azure Bastion からターゲット VM に開始されたトラフィックは、顧客の仮想ネットワーク内に留まります。
- RDP ポート、SSH ポート、パブリック IP アドレスが VM に対してパブリックに公開されていないため、ポート スキャンに対する保護が得られます。
- Azure Bastion は、ゼロデイ攻撃からの保護に役立ちます。 仮想ネットワークの境界に配置されます。 これはサービスとしてのプラットフォーム (PaaS) であるため、Azure プラットフォームは Azure Bastion を最新の状態に保ちます。
- このサービスは、Azure Firewall などの Azure 仮想ネットワークのネイティブ セキュリティ アプライアンスと統合されます。
- Azure Bastion を使用して、リモート接続を監視および管理できます。
詳細については、Azure Bastion に関するページを参照してください。
デプロイメント
ユーザーのプロセスを簡略化するために、データ管理ランディング ゾーンまたはデータ ランディング ゾーン内にこのセットアップをすばやく作成するのに役立つ Bicep/ARM テンプレートがあります。 テンプレートを使用して、サブスクリプション内に次のセットアップを作成します。
Bastion ホストを自分でデプロイするには、[ Azure にデプロイ ] ボタンを選択します。
Azure Bastion とジャンプボックスを [ Azure にデプロイ ] ボタンを使用してデプロイする場合、データ ランディング ゾーンまたはデータ管理ランディング ゾーンで使用するのと同じプレフィックスと環境を指定できます。 このデプロイには競合がなく、データ ランディング ゾーンまたはデータ管理ランディング ゾーンへのアドオンとして機能します。 他の VM を手動で追加して、環境内でより多くのユーザーが作業できるようにすることができます。
VM に接続します
デプロイ後、データ ランディング ゾーンの仮想ネットワークに 2 つの追加サブネットが作成されていることがわかります。
さらに、サブスクリプション内に新しいリソース グループがあります。これには、Azure Bastion リソースと仮想マシンが含まれます。
Azure Bastion を使用して VM に接続するには、次の手順に従います。
VM ( dlz01-dev-bastion など) を選択し、[ 接続] を選択して、[ Bastion] を選択します。
![Azure Bastion を使用して VM に接続するための [概要] ウィンドウのスクリーンショット。](../images/bastion-connect-to-vm.png)
青色の [Bastion を使用する] ボタンを選択します。
資格情報を入力し、[ 接続] を選択します。
![資格情報でサインインして VM に接続するための [Azure Bastion を使用して接続] ウィンドウのスクリーンショット。](../images/bastion-enter-credentials.png)
RDP セッションが新しいブラウザー タブで開き、そこからデータ サービスへの接続を開始できます。
Azure portal にサインインします。
データ探索のために、
{prefix}-{environment}-shared-productリソース グループ内の{prefix}-{environment}-product-synapse001Azure Synapse ワークスペースに移動します。Azure Synapse ワークスペースで、ギャラリーからサンプル データセット (NYC タクシー データセットなど) を読み込み、 新しい SQL スクリプト を選択して
TOP 100行にクエリを実行します。
![資格情報でサインインして VM に接続するための [Azure Bastion を使用して接続] ウィンドウのスクリーンショット。](../images/bastion-enter-credentials.png#lightbox)
すべての仮想ネットワークが相互にピアリングされている場合、すべてのデータ ランディング ゾーンとデータ管理ランディング ゾーン全体のサービスにアクセスするために必要なジャンプボックスは、1 つのデータ ランディング ゾーン内に 1 つだけです。
このネットワークセットアップを推奨する理由については、「 ネットワーク アーキテクチャの考慮事項」を参照してください。 データ ランディング ゾーンごとに最大 1 つの Azure Bastion サービスを使用することをお勧めします。 環境へのアクセスが必要なユーザーが増える場合は、追加の Azure VM をデータ ランディング ゾーンに追加できます。
ポイント対サイト接続を使用します
または、ポイント対サイト接続を使用して、ユーザーを仮想ネットワークに接続することもできます。 このアプローチに対する Azure ネイティブ ソリューションは、暗号化されたトンネル経由でユーザーと VPN ゲートウェイ間の VPN 接続を許可するように VPN ゲートウェイを設定することです。 接続を確立すると、ユーザーは Azure テナント内の仮想ネットワークでホストされているサービスへのプライベート接続を開始できます。
ハブ アンド スポーク アーキテクチャのハブ仮想ネットワークに VPN ゲートウェイを設定することをお勧めします。 VPN ゲートウェイの設定に関する詳細な手順については、「 チュートリアル: ゲートウェイ ポータルを作成する」を参照してください。
サイト間接続を使用する
ユーザーが既にオンプレミスのネットワーク環境に接続していて、接続を Azure に拡張する必要がある場合は、サイト間接続を使用してオンプレミスと Azure の接続ハブを接続できます。 VPN トンネル接続と同様に、サイト間接続を使用すると、Azure 環境への接続を拡張できます。 これにより、企業ネットワークに接続されているユーザーは、Azure テナント内の仮想ネットワークでホストされているサービスにプライベートに接続できます。
このような接続に対する推奨される Azure ネイティブアプローチは、ExpressRoute の使用です。 ハブ アンド スポーク アーキテクチャのハブ仮想ネットワークに ExpressRoute ゲートウェイを設定することをお勧めします。 ExpressRoute 接続の設定に関する詳細な手順については、「 チュートリアル: Azure portal を使用して ExpressRoute 回線のピアリングを作成および変更する」を参照してください。