適用対象:
Azure SQL Managed Instance
Azure SQL Managed Instance は、パブリック エンドポイント経由でユーザーに接続性を提供できます。 この記事では、この構成をより安全にする方法について説明します。
シナリオ
Azure SQL Managed Instance では、その仮想ネットワーク内から接続できるように VNet ローカル エンドポイントが提供されます。 最大の分離を提供するのが既定のオプションです。 ただし、パブリック エンドポイントの接続を提供する必要があるシナリオがいくつかあります。
- SQL マネージド インスタンスは、マルチテナントのみのサービスとしてのプラットフォーム (PaaS) オファリングと統合する必要があります。
- VPN を使用している場合よりも高いデータ交換スループットが必要である。
- 会社のポリシーで企業ネットワーク内の PaaS が禁止されている。
パブリック エンドポイントでは、接続の 種類 の設定に関係なく、常にプロキシ接続の種類が使用されます。
パブリック エンドポイント アクセス用の SQL マネージド インスタンスをデプロイする
必須ではありませんが、パブリック エンドポイント アクセスを持つ SQL マネージド インスタンスの一般的なデプロイ モデルは、専用の分離された仮想ネットワークにインスタンスを作成することです。 この構成では、仮想ネットワークは仮想クラスターの分離のためだけに使用されます。 SQL マネージド インスタンスの IP アドレス空間が企業ネットワークの IP アドレス空間と重複するかどうかは関係ありません。
移動中のデータをセキュリティで保護する
クライアント ドライバーで暗号化をサポートする場合、SQL Managed Instance のデータ トラフィックは常に暗号化されます。 SQL マネージド インスタンスと他の Azure 仮想マシンまたは Azure サービスの間で送信されるデータは、Azure のバックボーンから離れることはありません。 SQL マネージド インスタンスとオンプレミス ネットワークの間に接続がある場合は、Azure ExpressRoute を使用することをお勧めします。 ExpressRoute を使用すると、パブリック インターネット経由でのデータの移動を防ぐことができます。 SQL マネージド インスタンスのローカル接続では、プライベート ピアリングのみを使用できます。
インバウンド接続とアウトバウンド接続をロック ダウンする
次の図は、推奨されるセキュリティ構成を示しています。
SQL マネージド インスタンスには、顧客専用のパブリック エンドポイント アドレスがあります。 このエンドポイントは、管理エンドポイントと IP アドレスを共有しますが、別のポートを使用します。 VNet ローカル エンドポイントと同様に、パブリック エンドポイントは、特定の管理操作の後に変更される可能性があります。 エンドポイントの FQDN レコードを解決して、常にパブリック エンドポイント アドレスを決定します。 たとえば、アプリケーション レベルのファイアウォール規則を構成する場合などです。
SQL マネージド インスタンスへのトラフィックが信頼できるソースから送信されるようにするには、既知の IP アドレスを持つソースから接続することをお勧めします。 ネットワーク セキュリティ グループを使用して、ポート 3342 の SQL マネージド インスタンスパブリック エンドポイントへのアクセスを制限します。
クライアントがオンプレミスのネットワークから接続を開始する必要がある場合は、送信元アドレスが既知の IP アドレスのセットに変換されるようにします。 これを行えない場合 (たとえば、モバイルワークフォースが一般的なシナリオである場合)、 ポイント対サイト VPN 接続と VNet ローカル エンドポイントを使用することをお勧めします。
接続が Azure から開始される場合、トラフィックは既知で割り当て済みの仮想 IP アドレス (たとえば、仮想マシン) からのものであることが推奨されます。 仮想 IP (VIP) アドレスの管理を容易にするために、パブリック IP アドレス プレフィックスを使用したい場合があります。