ネットワーク セキュリティ境界 を使用すると、組織は、仮想ネットワークの外部にデプロイされる Azure Files などの PaaS リソースの論理ネットワーク分離境界を定義できます。 この機能により、境界外の PaaS リソースへのパブリック ネットワーク アクセスが制限されます。 ただし、インバウンドとアウトバウンドのパブリック トラフィックに対する明示的なアクセス規則を使って、アクセスを除外できます。 これは、ストレージ リソースからの不要なデータ流出を防ぐのに役立ちます。 ネットワーク セキュリティ境界内では、メンバー リソースは互いに自由に通信できます。 ネットワーク セキュリティ境界規則は、ストレージ アカウントの独自のファイアウォール設定をオーバーライドします。 境界内からのアクセスは、他のネットワーク制限よりも最も優先されます。
ネットワーク セキュリティ境界にオンボードされているサービスの一覧 については、こちらをご覧ください。 サービスが一覧にない場合は、まだオンボードされていません。 オンボードされていないサービスから特定のリソースへのアクセスを許可するには、ネットワーク セキュリティ境界のサブスクリプション ベースの規則を作成します。 サブスクリプション ベースの規則は、そのサブスクリプション内のすべてのリソースへのアクセスを許可します。 サブスクリプション ベースのアクセス規則を追加する方法の詳細については、 このドキュメントを参照してください。
アクセス モード
ストレージ アカウントをネットワーク セキュリティ境界にオンボードする場合は、 移行 モード (以前の学習モード) で開始するか、 強制 モードに直接移動できます。 切り替えモード (既定のアクセス モード) を使用すると、境界規則で接続がまだ許可されていない場合、ストレージ アカウントは既存のファイアウォール規則または 信頼されたサービス 設定にフォールバックできます。 適用モードでは、ネットワーク セキュリティ境界規則によって明示的に許可されていない限り、すべてのパブリック受信トラフィックと送信トラフィックが厳密にブロックされ、ストレージ アカウントの最大限の保護が確保されます。 強制モードでは、Azure の信頼されたサービスの例外は受け入れられません。 関連する Azure リソースまたは特定のサブスクリプションは、境界ルールを使用して明示的に許可する必要があります。 詳細については、Azure でのネットワーク セキュリティ境界への変換に関するページを参照してください。
Important
移行モードでのストレージ アカウントの運用は、 移行 手順としてのみ機能する必要があります。 悪意のあるアクターは、セキュリティで保護されていないリソースを悪用してデータを流出させる可能性があります。 そのため、アクセス モードを [適用] に設定して、できるだけ早く完全にセキュリティで保護された構成に移行することが重要です。
ネットワークの優先順位
ストレージ アカウントがネットワーク セキュリティ境界の一部である場合、関連プロファイルのアクセス規則によってアカウントの独自のファイアウォール設定がオーバーライドされ、最上位のネットワーク ゲートキーパーになります。 境界によって許可または拒否されるアクセスが優先され、ストレージ アカウントが強制モードで関連付けられている場合、ストレージ アカウントの 許可されたネットワーク 設定はバイパスされます。 ネットワーク セキュリティ境界からストレージ アカウントを削除すると、制御が通常のファイアウォールに戻ります。 ネットワーク セキュリティ境界は、プライベート エンドポイント トラフィックには影響しません。 プライベート リンク経由の接続は常に成功します。 内部 Azure サービス (信頼されたサービス) の場合、境界アクセス 規則を通じて許可されるのは、ネットワーク セキュリティ境界に明示的にオンボードされたサービスのみです。 それ以外の場合、ストレージ アカウントのファイアウォール規則で信頼されている場合でも、トラフィックは既定でブロックされます。 まだオンボードされていないサービスの場合、代替手段として、受信用のサブスクリプション レベルのルールと、送信アクセスまたはプライベート リンク経由の完全修飾ドメイン名 (FQDN) が含まれます。
Important
プライベート エンドポイント トラフィックは安全性が高いと見なされるため、ネットワーク セキュリティ境界の規則の対象になりません。 ストレージ アカウントが境界に関連付けられている場合、信頼されたサービスを含む他のすべてのトラフィックは、ネットワーク セキュリティ境界規則の対象となります。
ネットワークセキュリティ境界内の機能範囲
ストレージ アカウントがネットワーク セキュリティ境界に関連付けられている場合、既知の 制限で指定されていない限り、BLOB、ファイル、テーブル、キューに対するすべての標準データ プレーン操作がサポートされます。 ネットワーク セキュリティ境界を使用して、Azure Files、Azure Blob Storage、Azure Data Lake Storage Gen2、Azure Table Storage、Azure Queue Storage に対する HTTPS ベースの操作を制限できます。
次の表では、Azure Files のみのネットワーク セキュリティ境界とプロトコルのサポートについて説明します。 Azure Blob Storage やその他の Azure ストレージ サービスの機能カバレッジをお探しの場合は、 この記事を参照してください。
次の表では、Azure Files の受信ネットワーク セキュリティ境界の適用のサポートについて説明します。
| 特徴 | サポートの状態 | 推奨 事項 |
|---|---|---|
| Private Link | すべてのプロトコル (REST、SMB、NFS) でサポートされます | Private Link ルールは、ネットワーク セキュリティ境界よりも優先されます。 受信プライベート リンク トラフィックは、ネットワーク セキュリティ境界の構成に関係なく、常に受け入れられます。 |
| OAuth を使用した Azure Files REST | サポートされています | 完全なサポート |
| 共有キーまたは SAS 認証を使用した Azure Files REST | 受信 IP 規則のみをサポートする | 共有キーと SAS は OAuth ベースのプロトコルではありません。そのため、ソース境界やサブスクリプションに関する情報を伝達することはできません。 そのため、外部からのアクセス制限とサブスクリプションの規則は適用されません。 IP ルールがサポートされています (最大 200 個の規則)。 |
| NTLM または Kerberos を使用した Azure Files SMB | 受信 IP 規則のみをサポートする | NTLM または Kerberos は OAuth ベースのプロトコルではないため、ソース境界またはサブスクリプションに関する情報を伝達できません。 そのため、外部からのアクセス制限とサブスクリプションの規則は適用されません。 IP ルールがサポートされています (最大 200 個の規則)。 |
| Azure Files NFS | すべての受信トラフィックが拒否されました | プライベート リンクを除くすべての受信トラフィックは、ストレージ アカウントを強制モードのネットワーク セキュリティ境界に配置すると拒否されます。 カスタマー マネージド キー (CMK) の送信トラフィックがサポートされています。 |
次の表では、Azure Files のネットワーク セキュリティ境界の統合サポートについて説明します。
| 特徴 | サポートの状態 | 推奨 事項 |
|---|---|---|
| 顧客管理キー | すべてのプロトコル (REST、SMB、NFS) でサポートされます | CMK をホストする Key Vault をネットワーク セキュリティ境界に配置する場合は、ストレージ アカウントを同じ境界に配置するか、ストレージ アカウントが通信できるように Key Vault のネットワーク セキュリティ境界プロファイルを構成する必要があります。 |
| Azure Backup | サポートされていません。 Azure Backup はまだネットワーク セキュリティ境界にオンボードされていません | オンボードが完了するまで、Azure Backup を使用するストレージ アカウントにはネットワーク セキュリティ境界を使用しないでください。 |
| Azure File Sync | 完全にはサポートされていません。 Azure File Sync には、ネットワーク セキュリティ境界に関する既知の制限があります。 | ストレージ同期サービス リソースをストレージ アカウントに接続するには、まず 、マネージド ID を使用するようにストレージ同期サービスを構成する必要があります。 次に、ストレージ同期サービスのサブスクリプションを許可リストするようにネットワーク セキュリティ境界受信プロファイル規則を構成します。 ストレージ同期サービスを境界に関連付けることはできません。 |
Warnung
ネットワーク セキュリティ境界に関連付けられているストレージ アカウントの場合、カスタマー マネージド キー (CMK) シナリオを機能させるには、ストレージ アカウントが関連付けられている境界内から Azure Key Vault にアクセスできることを確認します。
ネットワーク セキュリティ境界をストレージ アカウントと関連付ける
ネットワーク セキュリティ境界をストレージ アカウントと関連付けるには、すべての PaaS リソースに共通の手順に従って行います。
次のステップ
- Azure ネットワーク サービス エンドポイントの詳細を確認してください。
- ネットワーク セキュリティ境界の診断ログを有効にします。