「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
目次 †
概要 †
詳細 †
特徴 †
- 既設のDCがExpress Routeに対応していれば、追加費用は比較的少ない。
- 盗聴の可能性は低いので、暗号化はされない(VPNとの併用は可能だが非推奨)。
接続方法 †
- パブリック・インターネットを経由しない。
- Express Routeに対応したDC経由で接続する。
- Azure ⇔ DCまでがExpress Routeで、
- DC ⇔ オンプレまでが専用線接続サービス。
2つのタイプ †
Private Peering †
VNET(プライベートIP)に対する接続(オンプレ延伸)。
Microsoft Peering †
- 以下のSaaSのパブリックIPへ(、L4 NATルータのプライベートIP経由で)、接続も可能。
- 構築時のポイント
- L4 NATルータで、プライベートIP → パブリックIPへ変換する。
- 接続先SaaSはマルチテナントなので、
L7 プロキシを使用して、自テナントへのアクセスのみに制限するなど。
代替サービス †
- Private Peeringの代替サービス
- 専用線は慣例で、実は不要なケースが多い。
- 盗聴対策としては暗号化で十分
- 帯域もDCまでの専用線接続サービス部分で問題が起き安い。
- 以下の検討を行う。
- インターネットの主要幹線の近くで接続するようにする。
- ローカル-WANに、SD-WANを活用するようにする。
- → 要件の再確認
要件の再確認 †
インターネットを使わない †
- 意味
- パブリック IP を使わない。
- 特定できない経路を通らない。
- 検討項目
- パブリック IP を使わないと構成できないケースや、
パブリック IP を使っても、セキュアに構成できるケース等がある。
- 従って、重要なのは、
危険性の高い不特定ネットワークを通る通信、
特に下位 IX (Internet eXchange) を通るような通信
を避けるように経路を構成すること。
専用線で接続する †
- 意味
- 機密性(安全性)を確保したい。
- 通信の安定性を確保したい。
- 検討項目
- 機密性(安全性)は暗号化通信により確保できるため、
機密性確保のために専用線を使う必要はない。
- 通信の安定性は、確かに専用線(ER)では確保し易いが、
Azure Peering Serviceであっても回線契約を
太くすれば十分な帯域と安定性が安価に確保できる。
閉域接続する †
- 意味
- 必要ないところに経路上出ていけないようにする。
- 接続先を特定のサービスに限定する。
参考 †
Tags: :インフラストラクチャ, :クラウド, :セキュリティ, :通信技術, :Azure