Azure Managed Service Column <Azure運用コラム>

Azure Private Linkとは?サービスエンドポイントとの違いも解説

Category: 入門編

2021.05.01

はじめに

Azure PaaSサービスへのプライベート接続をシンプルな形で実現するのがAzure Private Linkです。この記事では、Azure Private Linkとはどのような仕組みなのかを説明しながら、サービスエンドポイントとの違いも含め分かりやすく解説します。

Azure Private Linkとは?

Azure Private Linkとは、仮想ネットワーク(Azure Virtual Network/以下、VNet)から、Azure PaaSやAzure上で運用している自社の業務システム、またはパートナーサービスへ、プライベート接続(閉域接続)ができるサービスです。

(出典:https://azure.microsoft.com/ja-jp/blog/announcing-azure-private-link/

Azure Private Linkにおける接続には、以下の手順でプライベートエンドポイントを用います。

  1. オンプレミスのシステムから、VNet内に作成したプライベートエンドポイントへアクセス
  2. さらにプライベートエンドポイントからAzure Private Linkへアクセス
  3. Azure Private Linkから各PaaSへアクセス

上記の流れで、プライベート接続が可能となります。接続時の通信はインターネットを利用せずに行われ、Azure Private Link自体にデータが残ることはありません。なおAzure Private Linkを使用できるのは、Azure Private Linkを適用しているAzure PaaSサービス群のみです。

Azureサービスエンドポイントと Azure Private Link の違い

Azure PaaSには、基本的にインターネット経由でアクセスします。ただしPaaS上で機密情報を取り扱う場合、外部への公開はセキュリティ上好ましくありません。

設けられているセキュリティ対策としてAzure PaaSのファイアウォールがありますが、これはパブリックIPに対してフィルタリングを行うものです。アクセス制限自体は可能であるものの、インターネットを経由することになるため、外部からアクセスされるリスクがまったくないとは言えません。

内部のみの通信を行いたい場合、セキュリティを確保するためには、

  • Azureサービスエンドポイント
    または
  • Net内のプライベートエンドポイント + Azure Private Link
を利用することになります。

両者いずれも安全な通信を行うためのサービスですが、両者には違いがあります。

Azure サービスエンドポイントとは

VNetからPaaSへアクセスする際に、VNetの(インスタンスがインターネットアクセスする際の)パブリックIPとPaaSのパブリックIP同士で通信が行われます。もし、Azureネットワークセキュリティグループ(以下NSG)でインターネットへの接続を拒否する設定にしている場合は、PaaSを使うことができません。

そこでAzureサービスエンドポイント(以下、サービスエンドポイント)を使います。サービスエンドポイントは、VNet内の特定のネットワーク範囲から直接PaaSにアクセスする仕組みを持っています。Azureのバックボーンを利用した直接接続を行うことで、インターネットへのアクセス制限を行いながら安全な接続が可能となります。

(あわせて読む:「Azureサービスエンドポイントとは?メリットや料金などについて解説」)

Azure Private Link との違いは?

サービスエンドポイントの場合、オンプレミスからAzure ExpressRouteあるいはVPNゲートウェイを用いてのプライベート接続はできません。PaaSに接続できるのは、PaaS側で指定したサブネット内のリソースに限られるためです。

その一方で、Azure Private Linkは、VNet内に作成されたプライベートエンドポイントを経由してPaaSへアクセスできるため、当該VNetと接続するオンプレから、 Azure Express Route や VPN ゲートウェイ経由で、PaaS に接続できるようになります。外部からPaaSへのアクセスを禁止することで安全な接続環境を担保できます。

対象となるサービスにも、違いがあります。サービスエンドポイントとAzure Private Link のいずれかしか対応していないPaaSサービスもあれば、両方に対応しているものもあります。両方に対応しているサービスを使用する場合、その他の要件によってどちらを利用するかを判断することになるでしょう。

Azure Private Link のメリット

Azure Private Linkを使用するメリットは、プライベート接続における柔軟性が高い点です。ここではAzure Private Linkが持つメリットについて、詳しくご紹介します。

Azure PaaS サービスへのプライベート接続ができる

VNet内のプライベートIPアドレスを経由して、PaaSへの接続ができるようになります。またVNetに接続するオンプレミス環境からも、PaaSに接続することが可能です。

他のVNetやオンプレミスからAzure上の自社サービスに、柔軟にプライベート接続できる

Azure上の自社独自のサービスに、顧客や他部署のVNetおよびオンプレミス環境からアクセスするには、どのような手順が必要でしょうか。

基本的には、そのサービスが使えるVNetにパブリックIPでアクセスし、さらにそのVNetからサービスへアクセスすることになります。この場合は、それぞれのVNetでインターネット接続の許可が必要となります。
また、VNet同士を接続する方法もありますが、アドレスの重複を回避しようとするとアドレスの枯渇が想定され、現実的に長く利用することが難しくなるケースもあります。

上記のようなアクセスの煩雑さや、アドレス重複に関する問題は、プライベートエンドポイント、Azure Private Linkを使うことで回避できます。

Azure Private Linkは、複数のVNet内のプライベートエンドポイントを接続することが可能です。Azureサブスクリプションの異なるVNetとも、プライベートエンドポイントの設定によって接続ができます。プライベートエンドポイントとAzure Private Linkのいずれも、毎回の通信許可は必要ありません。 また、Azureの内部ロードバランサーであるILB を用いることで負荷分散が可能なため、アドレス空間の重複を気にせずアクセスできるようになります。

(出典:https://azure.microsoft.com/ja-jp/blog/announcing-azure-private-link/

SaaS サービスへプライベート接続できる

SaaSもPaaSと同様に、パブリックIPでの接続を行うことになります。このため、外部からのアクセスや重要な情報が流出してしまうリスクがあります。

その点において、Azure Private LinkはSaaSサービスに対しても使用でき、プライベート接続が可能なためセキュリティリスクを回避できます。

データ流出リスクを低減できる

Azure Private Linkは、PaaSリソースの一部のみを使う設定も行えます。利用者が適切な権限を持っている情報のみにアクセスするよう制限できるため、本来は閲覧・持ち出しが禁止された情報にアクセスするといったような、悪意ある行為を未然に防げます。

Azure Private Link
Azure Private Link

Azure Private Link の活用例

ここでは、Azure Private Linkの主な活用シーンや事例についてご紹介します。
オンプレミスやリモートワークなど、情報資産の所在や働く場所が絡む課題が生じる場面において、Azure Private Linkが多く活用されています。

オンプレミスから Azure PaaS へプライベート接続する

オンプレミスとAzure PaaSを連携する場合も、外部への情報漏えいへの不安を少なくすることができます。また接続に際し、帯域保証型の専用線であるExpressRouteを使用することにより、さらに安定した利用ができるでしょう。

セキュアでフレキシブルなリモートワーク環境を実現する

クラウド環境を用いた仮想化デスクトップサービスである、Windows Virtual Desktop(WVD)を用いる方法もあります。

たとえば、WVDからAzure Private Linkを用いてAzure StorageやAzure SQLデータベースにつなげる例が挙げられます。この方法を採ることで、場所を問わず最低限の機能を備えた端末によって社内と同等の環境下で開発を行うことも可能です。

Azure Private Link の料金

Azure Private Link サービス自体には料金はかかりません。プライベートエンドポイントの利用時間、受信/送信データの処理量によって料金が計算されます。

プライベートエンドポイントの利用:\1.12/時間
受信データ処理量:\1.12/GB
送信データ処理量:\1.12/GB

Private Linkの料金は公式サイトでもご確認ください

まとめ

この記事ではAzure Private Linkと、関連するサービス群についてご紹介しました。 これからクラウドサービス上で機密情報などを取り扱う必要があり、セキュリティ面の不安を解決したいと考えている方はぜひご参考にしていただき、Azure Private Linkの導入をご検討ください。

また、こちらに掲載した情報は2021年4月現在のものですが、Azureの技術は日々更新されています。最新の情報は、Microsoftのサイトにてご確認ください。

Tag: Azure Private Link

関連記事

Contactお問い合わせ

お見積もり・ご相談など、お気軽にお問い合わせください。

single.php