SQLを強化する

Avatar
Nerdio Product Support

SQLを強化する

Nerdio Managerは、2つのAzure PaaSサービス、Azure App ServiceとAzure SQL Databaseの間の通信に依存しています。デフォルトでは、この通信はトランスポート層セキュリティで暗号化されており、静止データも透過的データ暗号化を使用して暗号化されています。

App ServiceインスタンスとSQL データベース間の通信をさらに保護するために、ネットワークトラフィックを2つの異なる方法で制限することが可能です:

  • App ServiceのアウトバウンドIPアドレスをAzure SQL Serverのファイアウォールに追加します:この方法では、Nerdio ManagerインスタンスのIPからのリクエストのみがサーバーに到達できることが保証されます。しかし、Azure App Serviceは共有インフラストラクチャ上にホストされています。Nerdio Managerと同じクラスターにデプロイされた他のApp Serviceも、同じアウトバウンドIPを共有します。

    注意: App Serviceクラスターに関連付けられたIPアドレスは、時間とともに変更または更新される可能性があります。クラスターIPアドレスの変更に応じて、定期的にファイアウォールを更新する必要があるかもしれません。この不便を避けるために、VNetとサブネットを許可リストに追加することをお勧めします。

  • VNetを使用してApp Serviceからのトラフィックをルーティングします:VNet内にAzure SQLサービスエンドポイントを作成します。SQL Serverへのトラフィックは、VNetからのトラフィックのみを許可するように制限できます。

SQL トラフィックをApp ServiceのアウトバウンドIPに制限します

SQLトラフィックをApp ServiceのIPアドレスに制限するには、まずアプリが使用しているIPを検出する必要があります。

SQLトラフィックを制限するには:

  1. オプションで、次のPowerShellまたはCloudShellコマンドを実行します:

    Login-AzAccount

    (Get-AzWebApp -ResourceGroup <group_name> -name <app_name>).OutboundIpAddresses

    これにより、Nerdio Manager App Serviceに関連付けられた複数のIPが返されます。アウトバウンドリクエストは、表示されているIPのいずれかから来る可能性があります。

  2. Azure ポータルで SQL Server を検索し、nmw-app-sql-* サーバーを見つけます。

  3. SQL Server ブレードの左側のメニューで、セキュリティ セクションまでスクロールします。

  4. ネットワーキング を選択します。

  5. パブリックアクセス タブで、次の情報を入力します:

    • 選択したネットワーク を選択します(デフォルトオプション)。

    • App Service に関連付ける各 IP アドレスのルールを入力します。

    • Azure サービスとリソースがこのサーバーにアクセスできる オプションをクリアします。

  6. すべての IP を入力したら、保存 を選択します。

    SQL Server へのトラフィックは、これらのアドレスに制限されます。

App Service のトラフィックを VNet 経由でルーティングする。

App Service のアウトバウンド IP にトラフィックを制限することがセキュリティニーズを満たさない場合は、すべての App Service トラフィックを VNet 経由でルーティングし、SQL トラフィックをその VNet に制限できます。

注:

  • VNet 統合には、App Service が標準プラン以上である必要があります。詳細については、Azure App Serviceをアップグレードします。 を参照してください。

  • 既存の VNet または新しい VNet を VNet 統合に使用できます。

Nerdio Managerの App Service の VNet 統合を有効にするには:

SQL Server を強化するには:

  1. Azure ポータルで SQL Server を検索し、nmw-app-sql-* サーバーを見つけます。

  2. SQL Server ブレードの左側のメニューで、セキュリティ セクションまでスクロールします。

  3. ネットワーキング を選択します。

  4. パブリックアクセス タブで、次の情報を入力します:

    • 選択したネットワーク を選択します(デフォルトオプション)。

    • 必要な 仮想ネットワークファイアウォールルールを追加します。

    • Azure サービスとリソースがこのサーバーにアクセスできる オプションをクリアします。

  5. 必要な情報をすべて入力したら、[保存] を選択します。

    Nerdio ManagerApp Service からのトラフィックは、現在仮想ネットワークを経由して SQL Server サービスエンドポイントにルーティングされています。データベースに接続できるのは、仮想ネットワークからのトラフィックのみです。

関連トピック

この記事は役に立ちましたか?

0人中0人がこの記事が役に立ったと言っています
他にご質問がございましたら、リクエストを送信してください

関連記事

コメント (0件のコメント)

サインインしてコメントを残してください。