Private Link サービスとプライベート エンドポイントを定義する

シナリオ

組織には Azure 仮想ネットワークがあり、Azure SQL データベースなどの PaaS リソースに接続する必要があります。 そのようなリソースを作成するときに、通常、接続方法として "パブリック エンドポイント" を指定します。

パブリック エンドポイントを使用するということは、リソースにパブリック IP アドレスが割り当てられることを意味します。 そのため、仮想ネットワークと Azure SQL Database の両方が Azure クラウド内に配置されている場合でも、それらの間の接続はインターネットを介して行われます。

ここで懸念されるのは、会社の Azure SQL Database がパブリック IP アドレス経由でインターネットに公開されていることです。 この公開によって、複数のセキュリティ リスクが生じます。 次の場所からパブリック IP アドレスを使用して Azure リソースにアクセスする場合もこのようなセキュリティ リスクが発生します。

• ピアリングされた Azure 仮想ネットワーク。
• ExpressRoute と Microsoft ピアリングを使用して Azure に接続するオンプレミス ネットワーク。
• あなたの会社が提供する Azure サービスに接続する顧客の Azure 仮想ネットワーク。

Azure プライベート エンドポイントと Azure Private Link の概要

このビデオでは、プライベート エンドポイントとプライベート リンクの概要を示します。

Azure Private Link とは

Azure Private Link を使用すると、仮想ネットワーク内のプライベート エンドポイント経由で、Azure PaaS サービスと Azure でホストされている顧客所有/パートナー サービスにアクセスできます。 Private Link は、接続のパブリック部分を削除することでセキュリティ リスクを排除するように設計されています。

Private Link を使用すると、Azure サービスに安全にアクセスできます。 Private Link により、リソースのパブリック エンドポイントがプライベート ネットワーク インターフェイスに置き換えられることによって、そのセキュリティが実現されます。 この新しいアーキテクチャでは、3 つの重要な点を考慮する必要があります。

• Azure リソースは、ある意味で、仮想ネットワークの一部になります。
• パブリック インターネットではなく Microsoft Azure のバックボーン ネットワークが、リソースへの接続で使用されるようになります。
• パブリック IP アドレスを公開しないように Azure リソースを構成することができ、潜在的なセキュリティ リスクが解消されます。

Azure プライベート エンドポイントとは

Azure プライベート エンドポイント は、プライベート リンクの背後にある重要なテクノロジです。 プライベート エンドポイントは、仮想ネットワークと Azure サービス間のプライベートで安全な接続を可能にするネットワーク インターフェイスです。 つまり、プライベート エンドポイントは、リソースのパブリック エンドポイントを置き換えるネットワーク インターフェイスです。

Private Link を使用すると、Azure サービスに安全にアクセスできます。 Private Link により、リソースのパブリック エンドポイントがプライベート ネットワーク インターフェイスに置き換えられることによって、そのセキュリティが実現されます。 プライベート エンドポイントは、サービスのプライベート IP アドレスを仮想ネットワークに使用します。

Azure プライベート エンドポイントとサービス エンドポイントの違い

プライベート エンドポイントでは、詳細なセグメンテーションを提供する特定のサービスの背後にある特定のリソースへのネットワーク アクセスが許可されます。 トラフィックは、パブリック エンドポイントを使用せずにオンプレミスからサービス リソースに到達できます。

サービス エンドポイントは、公的にルーティング可能な IP アドレスのままです。 プライベート エンドポイントは、プライベート エンドポイントが構成されている仮想ネットワークのアドレス空間にあるプライベート IP です。