マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

概要

区分MS-DC内(既知の経路で到達する。)MS-DC外(到達経路を特定できない。)
ユーザ管理ユーザ
アプリ
ユーザ・コードPaaS、SaaSへの通信任意のDC外通信
ユーザ・コード用
ランタイム&ライブラリ
Azure Monitor
・内部パッケージ・リポジトリ
・Azureコンテナ・レジストリ(ACR
ディストリビュータ提供の
・外部パッケージ・リポジトリ
・外部コンテナ・レジストリ
その他のリポジトリ・レジストリ
・githubusercontent
・Google Storage
MS管理マネージド
サービス
CaaS
PaaS
SaaS
基盤
未公開の通信XaaS定義の通信
Azure Active Directory
ARM API
・Master API
・MSコンテナ・レジストリ(MCR
・MSパッケージ・リポジトリ
AKS
パッケージ・リポジトリ
(Akamai CDN上)
ゲストVM
(IaaS)
仮想パブリック IP アドレス
Azure Managed IDエンドポイント
ディストリビューションが
使用するパッチ、NTP通信
物理DC
インフラ
ホストOS
(物理HW)
ブラック・ボックス(非公開)
← 暗黙的通信 →← 明示的通信 →← 比較的安全な通信 →← 安全とは考え難い通信 →

詳細

争点

通信先のサービスの信頼性

マネージド・サービスの基盤系通信

  • 基本的には信頼する(未公開の通信を信頼しないとソモソモ使用不可能)。
  • 明示的な通信をチェックして、必要に応じて対応する(Master APIのプライベート化など)。

マルチテナント・サーバとの通信

マルチテナントのケースは、

などを検討する。

MS-DC外のサーバへの通信

その他

仮想パブリック IP アドレス

168.63.129.16

  • このアドレスが、VNET内のDHCP(やDNS)の機能を提供する。
  • 他にも、VMエージェントとの通信に利用されている。
  • 別のVNETの名前解決には、
    • Hubに自前のDNSを構築するか、
    • ローカルDNSゾーンを使用する。

外向き通信のロックダウン

  • NSG
    NSGによる送信(インターネット通信)の拒否
  • UDR
    • UDRによる既定のルート(インターネット通信)の拒否
    • NAにルーティングしてのフィルタリング
      • Azure Firewall
      • オンプレのプロキシそのもの
      • オンプレのプロキシと同型のNVA

※ Azureのエッジは、基幹線に近い所に繋がっているので、
  オンプレのプロキシ(オンプレを迂回する)より安全。

参考

nakama

Azure 仮想ネットワーク基礎中の
  「隔離型 VNET 環境からの外部通信設計の整理方法」にも同様のトピックが含まれる。


Tags: :インフラストラクチャ, :クラウド, :セキュリティ, :通信技術, :Azure


トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2021-03-17 (水) 20:45:00 (35d)