Azure Relay のネットワーク セキュリティ

この記事では、Azure Relay で次のセキュリティ機能を使用する方法について説明します。

• IP ファイアウォール規則
• プライベート エンドポイント

IP ファイアウォール

既定では、要求に有効な認証と承認がある限り、Relay 名前空間にはインターネットからアクセスできます。 これは IP ファイアウォールを使用して、さらに CIDR (クラスレス ドメイン間ルーティング) 表記の一連の IPv4 アドレスまたは IPv4 アドレス範囲のみに制限できます。

この機能は、Azure Relay へのアクセスを特定の既知のサイトからのみに制限するシナリオに役立ちます。 ファイアウォール規則を使用すると、特定の IPv4 アドレスから送信されたトラフィックを受け入れる規則を構成できます。 たとえば、Azure ExpressRoute で Relay を使用する場合、オンプレミス インフラストラクチャ IP アドレスからのトラフィックのみを許可するファイアウォール規則を作成できます。

IP ファイアウォール規則は、Relay 名前空間レベルで適用されます。 したがって、規則は、サポートされているプロトコルを使用するクライアントからのすべての接続に適用されます。 Relay 名前空間で許可されている IP 規則に一致しない IP アドレスからの接続試行は、未承認として拒否されます。 その応答に、IP 規則に関する記述は含まれません。 IP フィルター規則は順に適用され、IP アドレスと一致する最初の規則に基づいて許可アクションまたは拒否アクションが決定されます。

詳細については、Relay の名前空間の IP ファイアウォールを構成する方法に関する記事を参照してください

プライベート エンドポイント

Azure Private Link サービスを使用すると、仮想ネットワーク内のプライベート エンドポイントを介して、Azure サービス (Azure Relay、Azure Service Bus、Azure Event Hubs、Azure Storage、Azure Cosmos DB など) や、Azure でホストされている顧客またはパートナーのサービスにアクセスできます。 詳細については、「Azure Private Link とは」を参照してください。

プライベート エンドポイントは、仮想ネットワークで実行されているワークロードが、プライベート リンク リソース (Relay 名前空間など) を持つサービスにプライベートで安全に接続できるようにするネットワーク インターフェイスです。 プライベート エンドポイントは、ご自分の仮想ネットワークからのプライベート IP アドレスを使用して、サービスを実質的に仮想ネットワークに取り込みます。 サービスへのすべてのトラフィックをプライベート エンドポイントを介してルーティングできるため、ゲートウェイ、NAT デバイス、ExpressRoute、VPN 接続、パブリック IP アドレスは不要です。 仮想ネットワークとサービスの間のトラフィックは、Microsoft のバックボーン ネットワークを経由するので、パブリック インターネットから公開されることがなくなります。 特定の Azure Relay 名前空間への接続を許可することにより、アクセスをきめ細かく制御できます。

詳細については、プライベート エンドポイントを構成する方法に関するページを参照してください

関連するコンテンツ

次の記事をご覧ください。

• IP ファイアウォールを構成する方法
• プライベート エンドポイントを構成する方法