NSGを使用してAzure PaaS（api apps）を保護する

Question

Azure Active DirectoryなしでAPIアプリエンドポイントを保護しようとしています。 SQL Serverのエンドポイントを保護するためのNSGの例を見てきました。 しかし、PaaSサービス（web apps/api apps/logic apps）はVNETSを持っていないので、NSGがどのようにトラフィックを制限するか混乱しています。

Apiアプリブレードでは、「ネットワーキング」オプションが表示され、クリックするとVNET統合の設定が始まります。 VNetセットアップをクリックすると、ゲートウェイのセットアップと構成が開始されます。

APIゲートウェイまたはAAD認証ではなくNSGを使用してバックエンドのAPIサービスをセキュリティで保護している人はいますか？

ありがとうございます！

Answer 1

アプリケーションサービスをvnetと統合する場合は、NSGを使用してトラフィックを制限できますが、プライベートネットワーク経由で接続するトラフィックの場合にのみ使用できます。 vnetの統合はvpn接続と連動します。したがって、vnet上にゲートウェイを配置する必要があります。

この設定では、APGアプリケーションは引き続きインターネット上でアクセス可能で、vnetには触れないため、トラフィックはNSGの影響を受けません。

ネットワークの発信元に基づいて着信トラフィックを保護する場合は、アプリケーションでそのトラフィックを実装することができますが、セキュリティにのみ依存することを推奨しません。