マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

概要

詳細

特徴

  • 既設のDCがExpress Routeに対応していれば、追加費用は比較的少ない。
  • 盗聴の可能性は低いので、暗号化はされない(VPNとの併用は可能だが非推奨)。

接続方法

  • パブリック・インターネットを経由しない。
  • Express Routeに対応したDC経由で接続する。
    • Azure ⇔ DCまでがExpress Routeで、
    • DC ⇔ オンプレまでが専用線接続サービス。

2つのタイプ

Private Peering

VNET(プライベートIP)に対する接続(オンプレ延伸)。

Microsoft Peering

  • 構築時のポイント
    • L4 NATルータで、プライベートIP → パブリックIPへ変換する。
    • 接続先SaaSはマルチテナントなので、
      L7 プロキシを使用して、自テナントへのアクセスのみに制限するなど。

代替サービス

VPN Gateway

  • Private Peeringの代替サービス
  • 専用線は慣例で、実は不要なケースが多い。
    • 盗聴対策としては暗号化で十分
    • 帯域もDCまでの専用線接続サービス部分で問題が起き安い。
    • 以下の検討を行う。
      • インターネットの主要幹線の近くで接続するようにする。
      • ローカル-WANに、SD-WANを活用するようにする。
    • 要件の再確認

Azure Peering Service

  • Microsoft Peeringの代替サービス
  • いくらか違いがあるので用途に合わせて使い分ける。

要件の再確認

インターネットを使わない

  • 意味
    • パブリック IP を使わない。
    • 特定できない経路を通らない。
  • 検討項目
    • パブリック IP を使わないと構成できないケースや、
      パブリック IP を使っても、セキュアに構成できるケース等がある。
  • 従って、重要なのは、
    危険性の高い不特定ネットワークを通る通信、
    特に下位 IX (Internet eXchange) を通るような通信
    を避けるように経路を構成すること。

専用線で接続する

  • 意味
    • 機密性(安全性)を確保したい。
    • 通信の安定性を確保したい。
  • 検討項目
    • 機密性(安全性)は暗号化通信により確保できるため、
      機密性確保のために専用線を使う必要はない。
    • 通信の安定性は、確かに専用線(ER)では確保し易いが、
      Azure Peering Serviceであっても回線契約を
      太くすれば十分な帯域と安定性が安価に確保できる。

閉域接続する

  • 意味
    • 必要ないところに経路上出ていけないようにする。
    • 接続先を特定のサービスに限定する。
  • 検討項目
    Microsoft Peeringの先で他のテナントにも接続できるため、
    プロキシによる FQDN 絞り込みや AAD テナント制限が必要になる。

参考


Tags: :インフラストラクチャ, :クラウド, :セキュリティ, :通信技術, :Azure


トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2021-03-18 (木) 16:08:02 (134d)