ネットワーク セキュリティ境界 を使用すると、組織は仮想ネットワークの外部にデプロイされる PaaS リソース (Azure Blob Storage や SQL Database など) の論理ネットワーク分離境界を定義できます。 この機能は、境界の外側にある PaaS リソースへのパブリック ネットワーク アクセスを制限します。 ただし、インバウンドとアウトバウンドのパブリック トラフィックに対する明示的なアクセス規則を使って、アクセスを除外できます。 これは、ストレージ リソースからの不要なデータ流出を防ぐのに役立ちます。 ネットワーク セキュリティ境界内では、メンバー リソースは互いに自由に通信できます。 ネットワーク セキュリティ境界規則は、ストレージ アカウントの独自のファイアウォール設定をオーバーライドします。 境界内からのアクセスは、他のネットワーク制限よりも最も優先されます。
ネットワーク セキュリティ境界にオンボードされているサービスの一覧 については、こちらをご覧ください。 サービスが一覧に表示されていない場合、まだオンボードされていません。 オンボードされていないサービスから特定のリソースへのアクセスを許可するには、ネットワーク セキュリティ境界のサブスクリプション ベースの規則を作成します。 サブスクリプション ベースの規則は、そのサブスクリプション内のすべてのリソースへのアクセスを許可します。 サブスクリプション ベースのアクセス規則を追加する方法の詳細については、 このドキュメントを参照してください。
アクセス モード
ストレージ アカウントをネットワーク セキュリティ境界にオンボードする場合は、移行モード (以前の学習モード) で開始するか、 適用モードに直接移動できます。 切り替えモード (既定) では、境界規則で接続がまだ許可されていない場合、ストレージ アカウントは既存のファイアウォール規則または "信頼されたサービス" 設定にフォールバックできます。 適用モードでは、ネットワーク セキュリティ境界規則によって明示的に許可されていない限り、すべてのパブリック受信トラフィックと送信トラフィックが厳密にブロックされ、ストレージ アカウントの最大限の保護が確保されます。 強制モードでは、Azure の "信頼されたサービス" 例外も受け入れられません。 必要に応じて、関連する Azure リソースまたは特定のサブスクリプションを境界ルールを使用して明示的に許可する必要があります。
Important
移行 (以前の学習) モードでのストレージ アカウントの運用は、移行手順としてのみ機能する必要があります。 悪意のあるアクターが、セキュリティで保護されていないリソースを悪用してデータを流出させる可能性があります。 そのため、アクセス モードを [適用] に設定して、できるだけ早く完全にセキュリティで保護された構成に移行することが重要です。
ネットワークの優先順位
ストレージ アカウントがネットワーク セキュリティ境界の一部である場合、関連 プロファイルの アクセス規則によってアカウントの独自のファイアウォール設定がオーバーライドされ、最上位のネットワーク ゲートキーパーになります。 境界によって許可または拒否されるアクセスが優先され、ストレージ アカウントが強制モードで関連付けられている場合、アカウントの "許可されたネットワーク" 設定はバイパスされます。 ネットワーク セキュリティ境界からストレージ アカウントを削除すると、制御が通常のファイアウォールに戻ります。 ネットワーク セキュリティ境界は、プライベート エンドポイント トラフィックには影響しません。 プライベート リンク経由の接続は常に成功します。 内部 Azure サービス ("信頼されたサービス") の場合、境界アクセス規則を通じて許可できるのは、 ネットワーク セキュリティ境界に明示的にオンボードされた サービスのみです。 それ以外の場合、ストレージ アカウントのファイアウォール規則で信頼されている場合でも、トラフィックは既定でブロックされます。 まだオンボードされていないサービスの場合、代替手段として、受信用のサブスクリプション レベルのルールと、送信アクセスまたはプライベート リンク経由の完全修飾ドメイン名 (FQDN) が含まれます。
Important
プライベート エンドポイント トラフィックは安全性が高いと見なされるため、ネットワーク セキュリティ境界の規則の対象になりません。 ストレージ アカウントが境界に関連付けられている場合、信頼されたサービスを含む他のすべてのトラフィックは、ネットワーク セキュリティ境界規則の対象となります。
ネットワークセキュリティ境界内の機能範囲
ストレージ アカウントがネットワーク セキュリティ境界に関連付けられている場合、既知の 制限で指定されていない限り、BLOB、ファイル、テーブル、キューに対するすべての標準データ プレーン操作がサポートされます。 Azure Blob Storage、Azure Data Lake Storage Gen2、Azure Files、Azure Table Storage、Azure Queue Storage に対するすべての HTTPS ベースの操作は、ネットワーク セキュリティ境界を使用して制限できます。
Limitations
| Feature | サポートの状態 | Recommendations |
|---|---|---|
| Azure Blob Storage のオブジェクト レプリケーション | サポートされていません。 ソース アカウントまたは移行先アカウントのいずれかがネットワーク セキュリティ境界に関連付けられている場合、ストレージ アカウント間のオブジェクト レプリケーションが失敗する | オブジェクト レプリケーションを必要とするストレージ アカウントでネットワーク セキュリティ境界を構成しないでください。 同様に、サポートが利用可能になるまで、ネットワーク セキュリティ境界に関連付けられているアカウントでオブジェクト レプリケーションを有効にしないでください。 オブジェクト レプリケーションが既に有効になっている場合、ネットワーク セキュリティ境界を関連付けることはできません。 同様に、ネットワーク セキュリティ境界が既に関連付けられている場合、オブジェクト レプリケーションを有効にすることはできません。 この制限により、サポートされていないシナリオを構成できなくなります。 |
| Azure BLOB と Azure Files 経由のネットワーク ファイル システム (NFS) アクセス、Azure Files 経由のサーバー メッセージ ブロック (SMB) アクセス、Azure BLOB 経由の SSH ファイル転送プロトコル (SFTP) | ストレージ アカウントがネットワーク セキュリティ境界に関連付けられている場合、HTTPS ベースのアクセス以外のすべてのプロトコルがブロックされる | これらのプロトコルのいずれかを使用してストレージ アカウントにアクセスする必要がある場合は、アカウントをネットワーク セキュリティ境界に関連付けないでください |
| Azure Backup | サポートされていません。 サービスとしての Azure Backup は、まだネットワーク セキュリティ境界にオンボードされていません。 | バックアップが有効になっている場合、または Azure Backup を使用する予定の場合は、アカウントをネットワーク セキュリティ境界に関連付けないことをお勧めします。 Azure Backup がネットワーク セキュリティ境界にオンボードされたら、これらの両方の機能を一緒に使用できます |
| 非管理対象ディスク | アンマネージド ディスク では、ネットワーク セキュリティ境界規則は適用されません。 | ネットワーク セキュリティ境界によって保護されているストレージ アカウントでアンマネージド ディスクを使用しないようにする |
| 静的 Web サイト | サポートされていません | 静的 Web サイトはオープンな性質を持つため、ネットワーク セキュリティ境界の構成には対応していません。 静的 Web サイトが既に有効になっている場合、ネットワーク セキュリティ境界を関連付けることはできません。 同様に、ネットワーク セキュリティ境界が既に関連付けられている場合、静的 Web サイトを有効にすることはできません。 この制限により、サポートされていないシナリオを構成できなくなります。 |
Warning
ネットワーク セキュリティ境界に関連付けられているストレージ アカウントの場合、カスタマー マネージド キー (CMK) シナリオを機能させるには、ストレージ アカウントが関連付けられている境界内から Azure Key Vault にアクセスできることを確認します。
ネットワーク セキュリティ境界をストレージ アカウントと関連付ける
ネットワーク セキュリティ境界をストレージ アカウントと関連付けるには、すべての PaaS リソースに共通の手順に従って行います。
次のステップ
- Azure ネットワーク サービス エンドポイントの詳細を確認してください。
- Azure Blob Storage のセキュリティに関する推奨事項を詳しく調べる。
- ネットワーク セキュリティ境界の診断ログを有効にします。