Azure Managed Service Column ＜Azure運用コラム＞Azure Private Linkとは？サービスエンドポイントとの違いも解説

はじめに

Azure PaaS サービスへのプライベート接続をシンプルな形で実現するのが Azure Private Link です。この記事では、Azure Private Link とはどのような仕組みなのかを説明しながら、サービスエンドポイントとの違いも含め分かりやすく解説します。

Azure Private Link とは？

Azure Private Link とは、仮想ネットワーク（Azure Virtual Network／以下、VNet)から、Azure PaaS や Azure 上で運用している自社の業務システム、またはパートナーサービスへ、プライベート接続（閉域接続）ができるサービスです。

（出典：https://azure.microsoft.com/ja-jp/blog/announcing-azure-private-link/）

Azure Private Link における接続には、以下の手順でプライベートエンドポイントを用います。

1. オンプレミスのシステムから、VNet 内に作成したプライベートエンドポイントへアクセス
2. さらにプライベートエンドポイントから Azure Private Link へアクセス
3. Azure Private Link から各 PaaS へアクセス

上記の流れで、プライベート接続が可能となります。接続時の通信はインターネットを利用せずに行われ、Azure Private Link 自体にデータが残ることはありません。なお Azure Private Link を使用できるのは、Azure Private Link を適用している Azure PaaS サービス群のみです。

Azureサービスエンドポイントと Azure Private Link の違い

Azure PaaS には、基本的にインターネット経由でアクセスします。ただし PaaS 上で機密情報を取り扱う場合、外部への公開はセキュリティ上好ましくありません。

設けられているセキュリティ対策として Azure PaaS のファイアウォールがありますが、これはパブリック IP に対してフィルタリングを行うものです。アクセス制限自体は可能であるものの、インターネットを経由することになるため、外部からアクセスされるリスクがまったくないとは言えません。

内部のみの通信を行いたい場合、セキュリティを確保するためには、

• Azureサービスエンドポイント
  または
• Net内のプライベートエンドポイント ＋ Azure Private Link

を利用することになります。

両者いずれも安全な通信を行うためのサービスですが、両者には違いがあります。

Azure サービスエンドポイントとは

VNet から PaaS へアクセスする際に、VNet の(インスタンスがインターネットアクセスする際の)パブリック IP と PaaS のパブリック IP 同士で通信が行われます。もし、Azure ネットワークセキュリティグループ（以下 NSG ）でインターネットへの接続を拒否する設定にしている場合は、PaaS を使うことができません。

そこで Azure サービスエンドポイント（以下、サービスエンドポイント）を使います。サービスエンドポイントは、VNet 内の特定のネットワーク範囲から直接 PaaS にアクセスする仕組みを持っています。Azure のバックボーンを利用した直接接続を行うことで、インターネットへのアクセス制限を行いながら安全な接続が可能となります。

Azure Private Link との違いは？

サービスエンドポイントの場合、オンプレミスから Azure ExpressRoute あるいは VPN ゲートウェイを用いてのプライベート接続はできません。PaaS に接続できるのは、PaaS 側で指定したサブネット内のリソースに限られるためです。

その一方で、Azure Private Link は、VNet 内に作成されたプライベートエンドポイントを経由して PaaS へアクセスできるため、当該 VNet と接続するオンプレから、 Azure Express Route や VPN ゲートウェイ経由で、PaaS に接続できるようになります。外部から PaaS へのアクセスを禁止することで安全な接続環境を担保できます。

対象となるサービスにも、違いがあります。サービスエンドポイントと Azure Private Link のいずれかしか対応していない PaaS サービスもあれば、両方に対応しているものもあります。両方に対応しているサービスを使用する場合、その他の要件によってどちらを利用するかを判断することになるでしょう。

Azure Private Link のメリット

Azure Private Link を使用するメリットは、プライベート接続における柔軟性が高い点です。ここでは Azure Private Link が持つメリットについて、詳しくご紹介します。

Azure PaaS サービスへのプライベート接続ができる

VNet 内のプライベート IP アドレスを経由して、PaaS への接続ができるようになります。また VNet に接続するオンプレミス環境からも、PaaS に接続することが可能です。

他の VNet やオンプレミスから Azure 上の自社サービスに、柔軟にプライベート接続できる

Azure 上の自社独自のサービスに、顧客や他部署の VNet およびオンプレミス環境からアクセスするには、どのような手順が必要でしょうか。

基本的には、そのサービスが使える VNet にパブリック IP でアクセスし、さらにその VNet からサービスへアクセスすることになります。この場合は、それぞれの VNet でインターネット接続の許可が必要となります。
また、VNet 同士を接続する方法もありますが、アドレスの重複を回避しようとするとアドレスの枯渇が想定され、現実的に長く利用することが難しくなるケースもあります。

上記のようなアクセスの煩雑さや、アドレス重複に関する問題は、プライベートエンドポイント、Azure Private Linkを使うことで回避できます。

Azure Private Link は、複数の VNet 内のプライベートエンドポイントを接続することが可能です。Azure サブスクリプションの異なる VNet とも、プライベートエンドポイントの設定によって接続ができます。プライベートエンドポイントと Azure Private Link のいずれも、毎回の通信許可は必要ありません。 また、Azure の内部ロードバランサーである ILB を用いることで負荷分散が可能なため、アドレス空間の重複を気にせずアクセスできるようになります。

（出典：https://azure.microsoft.com/ja-jp/blog/announcing-azure-private-link/）

SaaS サービスへプライベート接続できる

SaaS も PaaS と同様に、パブリック IP での接続を行うことになります。このため、外部からのアクセスや重要な情報が流出してしまうリスクがあります。

その点において、Azure Private Link は SaaS サービスに対しても使用でき、プライベート接続が可能なためセキュリティリスクを回避できます。

データ流出リスクを低減できる

Azure Private Link は、PaaS リソースの一部のみを使う設定も行えます。利用者が適切な権限を持っている情報のみにアクセスするよう制限できるため、本来は閲覧・持ち出しが禁止された情報にアクセスするといったような、悪意ある行為を未然に防げます。

Azure Private Link の活用例

ここでは、Azure Private Link の主な活用シーンや事例についてご紹介します。
オンプレミスやリモートワークなど、情報資産の所在や働く場所が絡む課題が生じる場面において、Azure Private Link が多く活用されています。

オンプレミスから Azure PaaS へプライベート接続する

オンプレミスと Azure PaaS を連携する場合も、外部への情報漏えいへの不安を少なくすることができます。また接続に際し、帯域保証型の専用線である ExpressRoute を使用することにより、さらに安定した利用ができるでしょう。

セキュアでフレキシブルなリモートワーク環境を実現する

クラウド環境を用いた仮想化デスクトップサービスである、Azure Virtual Desktop (AVD、旧:Windows Virtual Desktop）を用いる方法もあります。

たとえば、AVD から Azure Private Linkを 用いて Azure Storag eや Azure SQL データベースにつなげる例が挙げられます。この方法を採ることで、場所を問わず最低限の機能を備えた端末によって社内と同等の環境下で開発を行うことも可能です。

Azure Private Link の料金

Azure Private Link サービス自体には料金はかかりません。プライベートエンドポイントの利用時間、受信／送信データの処理量によって料金が計算されます。

プライベートエンドポイントの利用：\1.12/時間
受信データ処理量：\1.12/GB
送信データ処理量：\1.12/GBB

Private Link の料金は公式サイトでもご確認ください。

まとめ

この記事では Azure Private Link と、関連するサービス群についてご紹介しました。 これからクラウドサービス上で機密情報などを取り扱う必要があり、セキュリティ面の不安を解決したいと考えている方はぜひご参考にしていただき、Azure Private Link の導入をご検討ください。

また、こちらに掲載した情報は2021年4月現在のものですが、Azureの技術は日々更新されています。最新の情報は、Microsoftのサイトにてご確認ください。

Tag： Azure Private Link セキュリティ

• 

  Azureサービスエンドポイントとは？メリットや料金などについて解説

• 

  Azure AD Connectとは？オンプレミスとクラウドの両方で使えるアカウント管理ツール