Azure Storage には、データを保護し、ストレージ アカウントへのアクセスを制御するための複数のネットワーク セキュリティレイヤーが用意されています。 この記事では、Azure Storage アカウントで使用できる主要なネットワーク セキュリティ機能と構成オプションの概要について説明します。 HTTPS 接続を要求するか、プライベート エンドポイントを実装して最大限の分離を実現するか、ファイアウォール規則とネットワーク セキュリティ境界を介してパブリック エンドポイント アクセスを構成することで、ストレージ アカウントをセキュリティで保護できます。 各アプローチでは、さまざまなレベルのセキュリティと複雑さが提供されるため、特定の要件、ネットワーク アーキテクチャ、セキュリティ ポリシーに基づいて適切な組み合わせを選択できます。
注
許可されたソースからの要求を行うクライアントも、ストレージ アカウントの承認要件を満たしている必要があります。 アカウント承認の詳細については、「 Azure Storage のデータへのアクセスを承認する」を参照してください。
セキュリティで保護された接続 (HTTPS)
既定では、ストレージ アカウントは HTTPS 経由でのみ要求を受け入れます。 HTTP 経由で行われた要求はすべて拒否されます。 NFS Azure ファイル共有をネットワーク レベルのセキュリティで使用する場合を除き、すべてのストレージ アカウントに安全な転送を要求することをお勧めします。 アカウントがセキュリティで保護された接続からの要求のみを受け入れることを確認するには、ストレージ アカウントの 安全な転送必須 プロパティが有効になっていることを確認します。 詳細については、「 セキュリティで保護された接続を確保するためにセキュリティで保護された転送を要求する」を参照してください。
プライベート エンドポイント
可能であれば、ストレージ アカウントへのプライベート リンクを作成して、 プライベート エンドポイント経由でアクセスをセキュリティで保護します。 プライベート エンドポイントは、仮想ネットワークからストレージ アカウントにプライベート IP アドレスを割り当てます。 クライアントは、プライベート リンクを使用してストレージ アカウントに接続します。 トラフィックは Microsoft バックボーン ネットワーク経由でルーティングされ、パブリック インターネット経由で移動しないようにします。 プライベート エンドポイントのネットワーク ポリシーを使用して、アクセス規則を微調整できます。 プライベート リンクからのトラフィックのみを許可するには、パブリック エンドポイント経由のすべてのアクセスをブロックできます。 プライベート エンドポイントでは追加のコストが発生しますが、最大ネットワーク分離が提供されます。 詳細については、「 Azure Storage のプライベート エンドポイントを使用する」を参照してください。
パブリック エンドポイント
ストレージ アカウントの パブリック エンドポイント には、パブリック IP アドレスを介してアクセスします。 ファイアウォール規則を使用するか、ストレージ アカウントをネットワーク セキュリティ境界に追加することで、ストレージ アカウントのパブリック エンドポイントをセキュリティで保護できます。
ファイアウォール規則
ファイアウォール規則を使用すると、パブリック エンドポイントへのトラフィックを制限できます。 プライベート エンドポイントへのトラフィックには影響しません。
ファイアウォール規則を構成する前に、ファイアウォール規則を有効にする必要があります。 ファイアウォール規則を有効にすると、既定ですべての受信要求がブロックされます。 要求は、指定したソース内で動作するクライアントまたはサービスから送信された場合にのみ許可されます。 ファイアウォール規則を有効にするには、ストレージ アカウントの既定のパブリック ネットワーク アクセス規則を設定します。 これを行う方法については、「 Azure Storage アカウントの既定のパブリック ネットワーク アクセス規則を設定する」を参照してください。
ファイアウォール規則を使用して、次のいずれかのソースからのトラフィックを許可します。
- 1 つ以上の Azure 仮想ネットワーク内の特定のサブネット
- IP アドレス範囲
- リソース インスタンス
- 信頼された Azure サービス
詳細については、 Azure Storage のファイアウォール規則に関するページを参照してください。
ファイアウォールの設定は、ストレージ アカウントに固有です。 ストレージ アカウントとその他のリソースのグループに関する受信規則と送信規則の 1 つのセットを管理する場合は、ネットワーク セキュリティ境界を設定することを検討してください。
ネットワーク セキュリティ境界
パブリック エンドポイントへのトラフィックを制限するもう 1 つの方法は、ストレージ アカウントをネットワーク セキュリティ境界に含める方法です。 また、ネットワーク セキュリティ境界は、送信規則を定義できるようにすることで、データ流出から保護します。 ネットワーク セキュリティ境界は、リソースのコレクションの周囲にセキュリティ境界を確立する場合に特に役立ちます。 これには、複数のストレージ アカウントと、サービスとしての他のプラットフォーム (PaaS) リソースが含まれる場合があります。 ネットワーク セキュリティ境界は、各リソースで個別に構成されるのではなく、境界全体に適用できる受信、送信、PaaS 間の制御のより完全なセットを提供します。 また、トラフィックの監査の複雑さを軽減することもできます。
詳細については、 Azure Storage のネットワーク セキュリティ境界に関するページを参照してください。
コピー操作スコープ (プレビュー)
コピー操作プレビュー機能の 許可スコープ を使用すると、ソースをプライベート リンクを持つ同じ Microsoft Entra テナントまたは仮想ネットワークに制限することで、ストレージ アカウントへのデータコピーを制限できます。 これは、信頼されていない環境からの不要なデータ侵入を防ぐのに役立ちます。 詳細については、「 コピー操作のソースをストレージ アカウントに制限する」を参照してください。