安全にリモートワークを実現できる味方?Azure Private Linkについて解説。

「Azure Private Link」とはどんなもの?

Azure Private Linkとは、Microsoftが提供する「Azure」というクラウドサービスの1つです。Azure Private Linkを使うことで、ユーザーはプライベートIPアドレスを付与されることになり、それによってセキュアなプライベート接続を実現できるようになります。

これは、接続元や接続先へのアクセスを施行する際に、いわゆる公共のパブリックIPアドレスを使うこと無く、仮想ネットワーク上からプライベートIPアドレスを使った通信を行うことで、プライベートリンクリソースへのアクセスを可能にしています。

実際にプライベート接続を可能にするための手順としては、まずオンプレミスのシステム上から、VNet内に設定したプライベートエンドポイントにアクセス。そこからさらにAzure Private Linkにアクセスし、最終的に各PaaSシステムへアクセスするという流れになります。プライベート接続を行う場合の通信時にはインターネットを使用しないので、Azure Private Link内にはデータが残らないようになっているのが特徴です。注意点として覚えておかなければいけないのは、Azure Private Linkを利用できるのはAzure Private Linkに対応しているAzure PaaSサービスのみであるという点です。

Azureサービスエンドポイントと Azure Private Link はそれぞれ異なる

Azure PaaSへのアクセスそのものには、基本的にインターネットを経由することになりますが、もしPaaS上で外部に漏洩したくないような重要な情報などを取り扱う際には、外部にも公開可能なネットワークを使用することはセキュリティの観点から好ましいとは言えません。

対策としてAzureサービスの中で設けられている手段の1つにAzure PaaSのファイアウォールはあるものの、これはパブリックIPアドレスに対するフィルタリングを行うものであり、アクセスに対する制限をかけることができるとは言っても結局はインターネットを経由していることになります。そのため、外部からのアクセスを完全に遮断することを保証できるわけではありません。

プライベートな内部通信のみを行おうとするのであれば、セキュリティを確実に確保しようとした場合「Azureサービスエンドポイント」か「Net内プライベートエンドポイントとAzure Private Linkの組み合わせ」を利用することが推奨されます。どちらもセキュアな通信を行うためのサービスとして知られていますが、それぞれに異なる特徴があります。

Azure サービスエンドポイントとは?

Azureサービスポイントエンドは、VNet内にある特定のネットワーク範囲から、PaaSサービスに直接アクセスできるという機能を保有しています。Azureの高度なセキュリティなど、安心して使えるバックボーンを利用した機能を生かしたダイレクト接続が可能になり、インターネットへのアクセスを制限しつつ、安全も担保した接続を行うことが可能になるのです。

VNetからPaaSへの接続を行う場合、VNetとPaaS双方のパブリックIPアドレス間で通信が行われることになります。この場合に使用するのはインスタンスがインターネットにアクセスする場合のパブリックIPアドレスになりますが、仮にAzureのネットワークセキュリティグループでインターネットへの接続を拒否するように設定されている場合にはPaaSを使用することができないようになっています。

Azure Private Link との違いは?

Azure PaaSに接続できるのはPaaS側から指定された特定のリソースに限定されています。そのため、Azureサービスポイントエンドのみを使用する場合はオンプレミス側からプライベート接続を行うことができません。

Azure Private Linkの場合はどうかというと、Azure Private Linkの場合はVNet内に作られたプライベートエンドポイントを経由してPaaSへアクセスすることになるので、VNetとオンプレミスからVPNゲートウェイなどを経由することでPaaSへ接続することが可能になります。この場合に懸念されるのがセキュリティ面のリスクですが、このようなリスクは外部からのPaaSアクセスに対して制限をかけたりブロックを行うことでセキュアな接続を確保することができるようになります。

注意しておきたいのは、Azure Private LinkとAzureサービスポイントエンドのどちらかが明確に優れているわけではない、ということです。Azure Private LinkにもAzureサービスポイントエンドにも、いずれか一方にしか対応されていないPaaSサービスがありますし、双方に対応しているものがあります。それぞれのサービスに特徴があり、自社の環境やプライベート接続、セキュリティ、利便性についての考え方によってどちらを使うのがメリットが大きいのかをよく検討し吟味することが必要です。

Azure Private Link のメリット

Azure Private Linkのメリットとして最も大きいのは「プライベート接続を行う際の柔軟性が高いこと」です。この点を中心に、Azure Private Linkのメリットをいくつかご紹介します。

Azure PaaS サービスへのプライベート接続ができる

すでにこの記事の中でも紹介していますが、Azure Private Linkのメリットの1つとして、VNet中に設定されたプライベートIPアドレスを経由することでAzure PaaSへの接続が可能になるという点があげられます。同様に、オンプレミス環境側からPaaSへ接続することもできるようになります。

他の VNet やオンプレミスから Azure 上の自社サービスに、柔軟にプライベート接続できる

例えば自社が開発・提供するサービスを、クライアントに導入してもらうというビジネスモデルがあった場合、クライアント側や自社の課題として双方のシステム間接続をどのように円滑化するかというものがあります。クライアント側のセキュリティ確保の観点や、自社がパッケージとして提供するサービスをカスタム対応するかどうかも含めて様々な対応が求められることになるのですが、このように自社のサービスに対して異なるVNetや相手先のオンプレミスからアクセス可能とするためには何が必要となるのでしょうか?

大前提となる方法は、自社のサービスが使えるVNetにパブリックIPアドレスで接続し、そこを経由して自社のサービスへアクセスすることになりますが、この方法の場合は双方のVNetでインターネット接続をそれぞれ許可することが求められます。

VNet同士を接続する方法が取られることもあるのですが、アドレスの重複を避けるために複数のアドレスを設定することになるため、アドレスが足りなくなる可能性も考えられます。そのためこの「VNet同士を接続する」という方法は長期間の継続利用には適さないと考えられています。

このような複雑な接続方法の設定や、アドレス重複を避けるために注意しなければならない課題の解決に関して有効なのがプライベートエンドポイントやAzure Private Linkを使う方法です。Azure Private Linkを使うことで、複数のVNetに存在するそれぞれのプライベートエンドポイントを繋いで利用することが可能になります。接続のための通信を許可する作業も重複して行う必要がなくなるので、アドレスを重複する可能性を考慮することなく接続を行うことができます。

SaaS サービスへプライベート接続できる

ソフトウェアやアプリケーションを、Web上で使う形で完結させることを前提に考えられているSaaSサービスも、PaaSと同じくパブリックIPアドレスでの接続を基本として構成されています。クラウドベースのサービスである以上外部からの不正なアクセスを受けたり、情報セキュリティの観点でリスクが存在することは否定できません。Azure Private Linkの場合はPaaSだけでなくSaaSに対しても使うことができるため、セキュリティを確保した接続を行うことができ、セキュリティリスクを軽減することが可能です。

これは、Azure Private LinkがPaaSサービスのリソースの一部分だけを使うような設定を行うことができることが理由です。許可された利用者のみが、最低限必要な情報やデータ領域のみにアクセスできるよう制限をかけることが可能なので、禁止されている重要情報に対して無意味にアクセスを試みたり、悪意のある不正な接続を試行することを未然に防ぐことが可能になります。

Azure Private Link の活用例

近年で最も有効だったAzure Private Linkの活用事例としてあげられるのがリモートワークにおける利用でしょう。Azure Private Linkを使えば、安全で柔軟性のあるリモートワーク環境を整備することが可能です。

Azureのサービスには仮想デスクトップサービスであるAzure Virtual Desktop(=かつてのWindows Virtual Desktop)がありますが、Azure Virtual DesktopからAzure Private Linkを使い、クラウド上のストレージサービスやSQLなどのデータベース・サーバーに接続することも可能になります。この手法であれば必要以上に外部に権限を移すこと無く、社員が個々に使用している端末を使って、オフィスではない場所から社内環境にアクセスし、社内とほぼ同等の環境で業務を行うことが可能になるのです。

2020年以降は日本でもリモートワークを推進する動きが加速度的に高まり、都心のオフィスが縮小する動きも活発になりました。代替手法として自宅やサテライトオフィスを使用したリモートワークが拡大し、かつては転勤などが行われていた職種においても、居住地を変更せずに遠隔地の業務をリアルタイムで行うように体制を変更する企業も現れ始めています。

Azure Private Linkはこのような世の中の動きにも対応できるというメリットがあります。

まとめ

ここまで、Azure Private Linkについてご説明してきました。Azure Private Linkとはどのようなものか?活用事例や導入のメリットについてご紹介してきましたが、参考になる点、現状の世の中の動きに対応したサービスである点が多いということを理解して頂けたのではないでしょうか。これを機会に是非導入を検討してみてください。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です