ある企業がAzure上でマイクロサービスアーキテクチャを構築している。各マイクロサービスはAzure Kubernetes Service(AKS)上で動作しており、Azure SQL DatabaseとAzure Service Busにアクセスする。セキュリティ要件として「すべてのPaaSサービスへの接続をプライベートネットワーク経由のみに制限し、パブリックエンドポイントを完全に無効化する」とある。この要件を満たすために使用すべきサービスはどれか。
- A. Azure Firewallを展開してPaaSサービスへの通信をFQDNルールで制御する
- B. VNet Service Endpointポリシーを設定してサービスへのアクセスを特定のVNetに制限する
- C. Service Endpointを各サブネットに設定し、各PaaSサービスのファイアウォールでVNetを許可する
- D. Private Endpointを各PaaSサービス(SQL DB・Service Bus)に作成し、パブリックアクセスを無効化してプライベートDNSゾーンを構成する
解答と解説を見る
正解: D
Private Endpointは対象のPaaSサービスをVNet内のプライベートIPアドレスとして公開し、パブリックエンドポイントを完全に無効化できる唯一の手段である。サービスのパブリックアクセスを無効化すると、インターネットや他のVNetからはアクセス不能となり、リンクされたVNetからのプライベートIPのみでアクセス可能になる。加えてプライベートDNSゾーンの統合により、既存のFQDN(xxx.database.windows.netなど)が自動的にプライベートIPに解決される。選択肢CのService EndpointはMicrosoftバックボーン経由になるが、PaaSサービスのパブリックエンドポイント自体は残るため「パブリックエンドポイントの完全無効化」の要件を満たさない。選択肢AのAzure FirewallはFQDNフィルタリングで通信制御はできるが、PaaSサービスのパブリックエンドポイントを無効化する機能はない。選択肢BのService Endpointポリシーはアクセスを特定のAzureリソースに絞る機能だが、やはりパブリックエンドポイントの完全無効化はできない。
📚 関連サービスの解説: プライベート エンドポイント