Azure Managed Service Column ＜Azure運用コラム＞Azureサービスエンドポイントとは？メリットや料金などについて解説

はじめに

セキュリティを確保するために、閉じた環境でPaaSへの接続を行いたいと考える場合もあるでしょう。そのようなときに便利なのが、Azureサービスエンドポイントです。

本記事ではAzureサービスエンドポイントについて、具体的な機能から利用するメリット、料金まで詳しくご紹介します。併せて、実際の設定手順についても解説しているので、Azureサービスエンドポイントの利用を考えている方はぜひ目を通してみてください。

Azureサービスエンドポイントとは

Azureサービスエンドポイントは、インターネットを介さず仮想ネットワークに閉じた環境で、VNet内のサブネットとPaaSを直接接続できる機能です。

一般的にPaaSは、インターネットからアクセスできるパブリックIPアドレスを持っています。仮想ネットワーク上のインスタンスからPaaSへ接続する場合、このPaaSの持つパブリックIPアドレスへ、インスタンスがインターネットアクセスする際のパブリックIPアドレスから接続が行われます。

しかし、ネットワークセキュリティグループの設定でサブネットからインターネットへの送信を拒否している場合は、パブリックIPアドレスを使用したPaaSへの接続はできません。そのような閉じた環境でもPaaSへの接続を可能とするための機能が、Azureサービスエンドポイントです。

手順としては、まずVNet内のサブネットにサービスエンドポイントを設定します。そして、PaaS側で許可するサブネットを指定すれば、Azureバックボーンを利用した直接接続が可能となります。

また、実際にAzureサービスエンドポイントが使用されるケースとしては、

• ExpressRoute等の閉域ネットワーク から(パブリックIPで)PaaSを利用する場合
• PaaSへのアクセスを、VNet内の特定のサブネットに限定して管理したい場合

などがあります。

（出典：https://docs.microsoft.com/ja-jp/azure/virtual-network/virtual-network-service-endpoints-overview）

Azureサービスエンドポイントのメリット

Azureサービスエンドポイントを利用する一番のメリットは、閉じた環境を利用することによるセキュリティ強化にあります。

前述のように、Azureサービスへの接続を仮想ネットワークからのみに制限する環境を作れる点が、Azureサービスエンドポイントの特長です。インターネットからの接続を完全になくすことで、情報漏えいや外部からの不正アクセスなどの防止につながります。

また、利用中のVNetからAzureサービスへの接続ではAzureバックボーンを利用するため、通信経路が最適化されるメリットもあります。

Azureサービスエンドポイントの設定方法

ここからは、Azureサービスエンドポイントの具体的な設定の手順についてご紹介します。

1.仮想ネットワークを作成する

Azureサービスエンドポイントを利用するには、仮想ネットワークの作成とサービスエンドポイントの設定が必要です。 手順としては、まず仮想ネットワークの作成をします。そして、設定項目にあるサブネットとサービスエンドの設定も開いてください。

サブネットの設定欄では、サブネットの名前とアドレス範囲を設定し、サービスエンドポイントの設定欄では、アクセスするAzureサービスを指定しましょう。

2.PaaSサービスアカウントを作成する

仮想ネットワークの作成が済んだら、次にPaaSサービスアカウントの作成を行います。

こちらの手順としては、まず利用するPaaSアカウントを作成してください。アカウントが作成できたら、仮想ネットワーク構成を有効にします。接続を許可する仮想ネットワークとサブネットを指定すれば、Azureサービスエンドポイントを利用する準備は完了です。

サービスエンドポイントが提供されているサービス

サービスエンドポイントが利用できるサービスは、Azure Storage、Azure SQL Databaseなど、一般公開されているものは全部で13種類あります。サービスの一覧や詳細などは、以下の公式サイトを参考にしてください。
https://docs.microsoft.com/ja-jp/azure/virtual-network/virtual-network-service-endpoints-overview

サービスエンドポイント利用上の注意点

サービスエンドポイントはセキュリティ面での向上が見込めますが、利用の際にはいくつか注意点もあります。

端末ごとの制限にはネットワークセキュリティグループの活用が必要

サービスエンドポイントを指定してVnetからPaaSに接続する場合には、サブネット内のすべての端末からの接続が許可されてしまいます。そのため、アクセス可能な端末を制限したい場合には、別途ネットワークセキュリティグループを使った制御が必要です。

同一リージョン内のVNetしか利用できない

アクセス先のPaaSアカウントとサービスエンドポイントを設定するVNetが同じリージョンにないと、サービスエンドポイントを利用することはできません。

アクセスはサブネットからPaaSへの一方通行となる

サービスエンドポイントを利用してのアクセスは、VNet内サブネットからPaaSへの一方通行のみ可能という点も重要なポイントです。つまり、その逆方向であるPaaSからVNet内サブネットへのアクセスの際には、サービスエンドポイントを利用できません。

オンプレミスからアクセスできない

サービスエンドポイントは、基本的にオンプレミスからAzureサービスへのアクセスに使うことができません。オンプレミスからAzureサービスへのアクセスを行いたい場合は、ExpressRouteを用いるか、オンプレミスのパブリックIPアドレスからのアクセスを許可(インターネット経由になります)しておく必要があります。
これらのIPアドレスを、AzureサービスリソースのIPファイアウォール構成に追加してください。

Azure Resource Managerが必要

サービスエンドポイントによる接続は、Azure Resource Managerデプロイモデルを使ってデプロイされた仮想ネットワークでのみ可能であり、それ以外の仮想ネットワークでは利用できません。

Azure Resource Managerとは、Azureのデプロイやリソースグループを管理する機能です。うまく活用することで、リソース間の依存関係も管理することが可能となります。
その他、以下のように、Azureリソースを管理するためのさまざまな機能が利用できます。

• ユーザーにロールを割り当てることで、ロールベースのアクセス制御ができる
• 必要なリソース構成をまとめてテンプレートとして管理できる
• リソースにタグを適用し、サブスクリプションのリソースを論理的に整理・管理できる

Azure Resource Managerの詳細については、下記の公式サイトにより詳しく記載されていますので、興味のある方はぜひ目を通してみてください。
https://docs.microsoft.com/ja-jp/azure/azure-resource-manager/management/overview

サービスエンドポイントの料金

実は、サービスエンドポイントの利用には、追加料金は発生しません。Azure Storage、Azure SQL Databaseなど、利用するAzureサービスの料金だけが適用されます。

おわりに

Azureサービスエンドポイントは、Azureサービスへのインターネットからのアクセスを断ち、閉じた環境の仮想ネットワークからのみ直接接続可能とする機能です。
アクセスを制限できるため、セキュリティ面でのメリットが大きく、通信経路が最適化されるメリットもあります。

Azureサービスエンドポイントを利用するためには、仮想ネットワークとPaaSアカウントの作成が必要です。また、サービスエンドポイントを利用したアクセスには利用上の注意点もいくつかあるため、問題なく利用可能かどうか事前に確認しておきましょう。

Azureサービスエンドポイントの利用自体に追加料金はかからず、Azureサービスの料金だけで利用できるため、興味のある方はぜひ利用を検討してみてください。

Tag： Azure VNet サービスエンドポイント セキュリティ

• 

  Azureネットワークセキュリティグループ（NSG）とは？特徴や設定時の注意点を解説

• 

  Azure Private Linkとは？サービスエンドポイントとの違いも解説