VNet のサービス エンドポイントと Azure Storage 用ファイアウォールの一般提供を開始

執筆者: Alan Stephenson (Senior Program Manager, Azure Storage)

このポストは、2018 年 2 月 1 日に投稿された Virtual Network Service Endpoints and Firewalls for Azure Storage now generally available の翻訳です。

今回の記事は、Azure ネットワーキングの主任プログラム マネージャーを務める Anitha Adusumilli と共同で執筆しました。

このたび、仮想ネットワーク (VNet) のサービス エンドポイントと、Azure Storage 用のファイアウォールおよび VNet の一般提供を開始いたします。Azure Storage のファイアウォールと VNet でこのサービス エンドポイント (英語) を使用すると、特定の VNet やサブネットからのトラフィックを許可するネットワーク ルールを設定して、データを保護するネットワーク境界を作成することができます。この機能は、Azure パブリック クラウドの全リージョンと Azure Government を対象に提供されます。また、一般提供の開始に伴い、標準 SLA の対象となります。サービス エンドポイントから仮想ネットワークにアクセスする際に追加料金は発生することはなく、Azure Storage の現行の料金モデルが本日より適用されます。

ネットワークベースのアクセス制御のほか、認証や承認ベースの保護など多層のセキュリティ機能でデータを保護したいというお客様も増えています。今回の機能では、ネットワーク ベースのアクセス制御が可能になります。ネットワークを中心とするこれらの機能を使用すると、ネットワーク アクセスに基づく保護を定義して、特定の Storage アカウントへの要求を、許可された Azure VNet や特定のパブリック IP アドレス範囲に制限することができます。既存の認証メカニズムと新しいネットワーク境界を組み合わせることで、データをより安全に保護できるようになります。

VNet を保護するには、まず VNet 内でストレージのサービス エンドポイントを有効化します。仮想ネットワークのサービス エンドポイントを使用すると、重要な Azure サービス リソースへのアクセスをお客様の仮想ネットワークのみに制限することができます。また、Azure バックボーン上の Azure トラフィックを最適化して、仮想アプライアンスやオンプレミスからインターネット トラフィックをルーティングすることもできます。

Storage アカウントでは、1 つ以上の VNet、および 1 つ以上のパブリック IP アドレス範囲のアクセス許可を設定することができます。ネットワーク機能を有効化する方法については、ドキュメント「Azure Storage ファイアウォールおよび仮想ネットワークの構成」を参照してください。

次のステップ

使用を開始する場合は、ドキュメント「仮想ネットワークのサービス エンドポイント」と「Azure Storage ファイアウォールおよび仮想ネットワークの構成」を参照してください。

オンプレミス ネットワークからのアクセス許可や、他の Azure サービスで保護されたストレージ アカウントのサポートについては、こちらのドキュメントを参照してください。

詳しい機能や事例については、Microsoft Ignite の「Azure アプリケーション向けネットワーク セキュリティ (英語)」セッションをご覧ください。