PaaSにプライベート接続を提供する サービスエンドポイント とは?

サービスエンドポイントとは、Azure上の各種PaaS系サービスとの接続を、仮想ネットワーク(サブネット)からの接続に限定してしまうセキュリティ機能です。この機能を利用すると、完全に閉じた環境でPaaS系サービスを利用できます。
ファイアウォールは「IP」でフィルタリングを行いますが、サービスエンドポイントは
「リソースID」でフィルタリングを行います。

【オンプレミス → Azure PaaSへの場合】
今まで通り、各PaaSのファイアウォールにて、送信元のPIPを許可する必要がある。
送信元IPは[Public IP]に限る。Microsoft Peer経由での接続も可能
※サービスエンドポイントを有効にしても影響なし

【Azure IaaS → Azure PaaSへの場合】
今までだと、各PaaSのファイアウォールにて、送信元のPIPを許可する必要があった。
※強制トンネリング時には、オンプレミス経由となっていた。

サービスエンドポイントを有効にすると、ファイアウォールでは無く、
接続を許可する[仮想ネットワーク(サブネット)]を選択する。
※PaaSとサブネットは同一リージョンである必要があります。
また、リソースIDによりフィルタリングを行うので、同じIPセグメントを持つ別のサブネットからでも通信が可能

【特徴】
・ファイアウォールとサービスエンドポイントは、共存可能
・リソースIDでフィルタリング
・強制トンネリング時でもオンプレミスを経路せずに通信が可能
・予約済みPIPが不要

【ご注意】
・オンプレミスからPAT(SNAT)接続する場合、拠点内の端末を全て許可する事になる
ー拠点内ACL、StaticNATを利用して制御
・Azure IaaSから接続する場合、サブネット内の端末を全て許可する事になる
ーNSGを利用して制御

【対応済みPaaS】 ※ぞくぞく追加予定
Azure Storage Services
Azure SQL Database
Azure SQL Data Warehouse
Azure Database for PostgreSQL
Azure Database for MySQL
Azure Database for MariaDB
Azure Cosmos DB
Azure Key Vault
Azure Service Bus
Azure Event Hubs
Azure Data Lake Store Gen1
Azure App Service
Azure Container Registry (Preview)


それでは、やってみよう!!

【仮想ネットワークでの設定】

サービス:
Microsoft.AzureActiveDirectory
Microsoft.AzureCosmosDB
Microsoft.ContainerRegistry
Microsoft.EventHub
Microsoft.KeyVault
Microsoft.ServiceBus
Microsoft.SQL
Microsoft.Storage
Microsoft.Web

サブネット:PaaSと同一リージョンのサブネットを選択

【PaaS(Blob)での設定】

設定後確認すると、
ルーティングテーブルを確認すると、[Microsoft.Storage]向けのルートが追加されています!