Azure Data Explorer のネットワーク セキュリティ

Azure Data Explorer クラスターは、パブリック URL を使用してアクセスできるように設計されています。 クラスター上の有効な ID を持つすべてのユーザーは、任意の場所からアクセスできます。 組織として、データのセキュリティ保護は、最も優先度の高いタスクの 1 つである場合があります。 そのため、クラスターへのアクセスを制限してセキュリティで保護することも、プライベート仮想ネットワーク経由のクラスターへのアクセスのみを許可することもできます。 この目標を達成するには、次のいずれかのオプションを使用できます。

• プライベート エンドポイント (推奨)
• 仮想ネットワーク (VNet) インジェクション

プライベート エンドポイントを使用して、ご利用のクラスターへのネットワーク アクセスをセキュリティで保護することを強くお勧めします。 このオプションには、"仮想ネットワーク インジェクション" よりも多くの利点があります。これにより、デプロイ プロセスが簡単になり、仮想ネットワークの変更に対する堅牢性が向上するなど、メンテナンスのオーバーヘッドが削減されます。

次のセクションでは、プライベート エンドポイントと仮想ネットワーク インジェクションを使用して、ご利用のクラスターをセキュリティで保護する方法について説明します。

プライベート エンドポイント

プライベート エンドポイントは、仮想ネットワークのプライベート IP アドレスを使用するネットワーク インターフェイスです。 ユーザーはこのネットワーク インターフェイスにより、Azure Private Link を利用するクラスターにプライベートかつ安全に接続します。 プライベート エンドポイントを有効にして、サービスを仮想ネットワークに取り込みます。

クラスターをプライベート エンドポイントに正常にデプロイするには、一連のプライベート IP アドレスのみが必要です。

仮想ネットワーク インジェクション

仮想ネットワーク インジェクションを使用すると、クラスターを仮想ネットワークに直接デプロイできます。 クラスターには、仮想ネットワーク内から VPN ゲートウェイ経由でプライベートにアクセスするか、オンプレミス ネットワークから Azure ExpressRoute でアクセスできます。 クラスターを仮想ネットワークに挿入すると、そのすべてのトラフィックを管理できます。 これには、クラスターにアクセスするためのトラフィックと、そのすべてのデータ インジェストまたはエクスポートが含まれます。 さらに、管理と稼働状況の監視のために Microsoft がクラスターにアクセスできるようにする必要があります。

クラスターを仮想ネットワークに正常に挿入するには、次の要件を満たすように仮想ネットワークを構成する必要があります。

• サービスを有効にし、"ネットワーク意図ポリシー" の形式でデプロイの前提条件を定義するために、サブネットを Microsoft.Kusto/clusters に委任する必要があります
• クラスターの使用量の将来の増加をサポートするために、サブネットを適切にスケーリングする必要があります
• クラスターを管理し、正常であることを確認するために、2 つのパブリック IP アドレスが必要です
• 必要に応じて、追加のファイアウォール アプライアンスを使用してネットワークをセキュリティで保護する場合は、クラスターが送信トラフィック用に一連の完全修飾ドメイン名 (FQDN) に接続できるようにする必要があります

プライベート エンドポイントと仮想ネットワークインジェクション

仮想ネットワークの挿入により、ファイアウォールで FQDN リストを維持したり、制限された環境にパブリック IP アドレスをデプロイしたりするなどの実装の詳細が原因で、メンテナンスのオーバーヘッドが高くなる可能性があります。 そのため、プライベート エンドポイントを使用してクラスターに接続することをお勧めします。

次の表は、ネットワーク セキュリティ関連の機能を、仮想ネットワークに挿入されたクラスターに基づいて実装する方法、またはプライベート エンドポイントを使用してセキュリティで保護する方法を示しています。

関連コンテンツ

• Azure Data Explorer のプライベート エンドポイント
• Azure Data Explorer を仮想ネットワークにデプロイする