Azure ストレージアカウントをハードニングする

Avatar
Nerdio Product Support

Azure ストレージアカウントをハードニングする

ストレージアカウントは、AVD と Nerdio Manager の両方によってさまざまな種類のデータを格納するために使用されます。特に、ストレージアカウントは、エンドユーザーの FSLogix プロファイル、ブート診断、カスタム Scripted Actions、および MSIX App Attach パッケージを保持するために使用されます。このトピックでは、ストレージアカウントを使用して一般的なシナリオのセキュリティを強化する際の重要なステップと考慮事項について説明します。

要件

  • App Service プラン(基本的にアプリをホストしているサーバーの「パフォーマンスレベル」)は、既定の Basic (B3) から Standard または Premium にアップグレードする必要があります。これは、運用コストの増加を意味します。詳細については、Azure App Serviceをアップグレードします。を参照してください。

  • App Service とストレージアカウントを接続するために使用できる仮想ネットワーク (VNet)。この仮想ネットワークは、Nerdio Manager が HTTPS (TCP/443) 経由で Nerdio ライセンスサーバーと通信するために、アウトバウンドアクセスも必要です。ライセンスサーバーの URL は https://nwp-web-app.azurewebsites.net/ です。

警告: VNet インテグレーションがない場合、Nerdio Manager はネットワーク制限が有効なストレージアカウントに接続できません。詳細については、Microsoft のこちらの記事を参照してください。

Nerdio Managerの App Service に VNet インテグレーションを有効にする

  1. Azure ポータルで、Nerdio Manager App Service リソースを特定します。

    注意: 通常、名前は nmw-app-xxxxxxxxx の形式です。

  2. App Service ブレードの左側のメニューで、設定セクションまでスクロールします。

  3. ネットワーキングを選択します。

  4. VNet インテグレーションで、ここをクリックして構成を選択します。

  5. 仮想ネットワーク構成で、仮想ネットワークを追加を選択します。

  6. 使用したい仮想ネットワークを選択します。

  7. [OK] を選択します。

    VNet 統合には、App Service 専用に委任されたサブネットが必要です。これは、他の Azure リソースと共有することはできません。統合に選択するサブネットは /28 以上である必要があります。未使用のサブネットや他のサービスに委任されていないサブネットがない場合、インテグレーションに互換性がある追加のサブネットを追加する必要があるかもしれません。この例では、セッションホスト用にすでに使用されている仮想ネットワークがあり、そのアドレスブロック内に未割り当てのIPアドレス範囲が残っていたため、App Service の仮想ネットワークインテグレーション専用に新しいサブネットが作成されました。

    仮想ネットワークが正常にインテグレーションされると、ページは次のようになります:

ストレージアカウントをハードニングする

警告: この制限を不適切に実装すると、セッションホストがFSLogixプロファイル、ユーザーデータ、MSIXアプリ、ソフトウェアデータなどへのアクセスを失う可能性があります。作業を進める前に、これらの新しいネットワーク制限を考慮に入れることを忘れないでください。

  1. Azure ポータルで、ストレージアカウントに移動します。

  2. ハードニングしたいストレージアカウントを特定して、選択します。

  3. ストレージアカウントのブレードの左側のメニューで、セキュリティ + ネットワーキングセクションまでスクロールダウンします。

  4. ネットワーキングを選択します。

  5. ファイアウォールと仮想ネットワークタブで、次の内容を入力します:

    • アクセスを許可する: 選択したネットワークを選択します。

    • + 既存の仮想ネットワークを追加を選択します。

    • 仮想ネットワーク: ドロップダウンリストから使用したい仮想ネットワークおよびサブネットを選択します。

      注意: ストレージアカウントにユーザープロファイルが含まれている場合は、AVDセッションホストを含むすべてのサブネットをリンクして、FSLogixがユーザープロファイルを正常にマウントできるようにしてください。

    • 有効にするを選択します。

      注意: 次のようなメッセージが表示される場合があります:

      "次のネットワークには 'Microsoft-Storage' のサービスエンドポイントが有効になっていません。アクセスを有効にするには、完了までに最大15分かかります。この操作を開始した後、待ちたくない場合は安全に離れて後で戻ることができます。"

      これは、変更が完全に反映されるまでに時間がかかることを示しています。これは正常で予想されることです。

  6. 必要な情報をすべて入力したら、[保存] を選択します。

  7. Nerdio Managerで、コンソールを更新し、ストレージアカウントの場所を確認してください。または、MSIX App Attachストレージの場所をリンクしたり、ストレージの自動スケーリングを有効にしたりするなど、以前に不適切なストレージアカウントの制限によりエラーが発生したアクションを試みてください。

関連トピック

強化 Nerdio Manager

App Service を強化する

SQLを強化する

この記事は役に立ちましたか?

0人中0人がこの記事が役に立ったと言っています
他にご質問がございましたら、リクエストを送信してください

関連記事

コメント (0件のコメント)

サインインしてコメントを残してください。