クラウドサービスで接続元 IP 制限を行う方法について

2 minute read

この記事は 旧 Japan Azure PaaS Support Blog からのコピーとなります。
記載されている内容は 2017 年 4 月 6 日 時点のものとなり、現時点におきましては変更されている可能性がありますので、ご注意下さい。

こんにちは。CIE サポート小野寺です。

クラウドサービスはインターネットに公開されているエンドポイントです。そのため、デフォルトでは不特定多数の利用者様からのアクセスが可能となっています。

しかしながら、公開するサービスによっては、特定の IP アドレスのみ公開を許可するケースも少なからず存在します。
このようなアクセス制御を実施する場合にはいくつかの方法が考えられますが、ここでは Endpoint の Access Control List を利用した制御についてご案内します。

Endpoint の Access Control List (ACL) を利用する。

クラウドサービスでは、ServiceDefinition.csdef ファイルにサービスにアクセス可能なポートを指定することができます。
この各ポートに対して、ServiceConfiguration.cscfg ファイルでアクセス可能な IP の範囲を指定することが可能です。
今回はその手順について、順を追ってみてみましょう。(英語版の UI となります。ご容赦ください。)

開発環境:
Visual Studio 2015 Enterprise (Update 3)
Azure SDK 2.9 (ACL の機能を利用するためには 2.3 以降が必要となります。)

1. Visual Studio を管理者モードで起動します。

2. Start Page の [New Project] から新規プロジェクトの作成を行います。

920efec9-c321-4992-b432-019d4c85ae60

3. 左ツリーより [Cloud] を選択、 [Azure Cloud Service] のテンプレートを選択、右下 [OK] をクリックします。

1498a4c2-56cf-406f-8489-d7d436599a3f

4. 作成する Role のテンプレート選択画面が出てきますので、 ASP.NET Web Role をWebRole1 として追加し、 [OK] を押下します。

1cb8eb9c-341c-4108-89f5-de33a1041716

5. ASP.NET プロジェクトのテンプレート選択が表示されますので、ここでは MVC を選択し、 [OK] を押下します。

d592b87d-e2f0-4866-aadd-e69524899569

6. プロジェクトの作成が完了しますので、 [Solution Explorer] から ServiceDefinition.csdef をクリックします。

7. サービスにアクセス可能なポートが図のように記載されています。

初期では Endpoint1 という名称で 80 番ポートが外部からのアクセス可能なポートとして設定されています。
f09d756c-e797-4950-96bb-42b1e318716f

8. 今度は [Solution Explorer] から ServiceConfiguration.Cloud.cscfg をクリックします。

9. ACL の設定を追加していきます。今回は以下のように設定を追加しました。

362980ce-e49e-4c94-b79d-d796aadab812

上記の設定では、私の利用している IP アドレスからのアクセスを許可し、それ以外の IP アドレスからのアクセスは拒否する設定となっています。
(私の環境は 131.107.0.112 でアクセスを行っています。)
ACL の設定は order の数値が小さいほど優先度の高い設定値となります。ここではまず order 200 の設定により、すべての
IP アドレスからの接続をいったん拒否としています。その後 order 100 の設定で、131.107.0.112 からのアクセスだけ許可しています。
(アドレスの指定には CIDR フォーマットを利用いただく必要がありますので、ご承知おき下さい。)

では実際に作成したソリューションをクラウドサービス (acltestsample.cloudapp.net) に発行し、アクセスをしてみます。

A. 私の端末からアクセスした場合
アクセスできました。
879e54cd-5bf6-4127-adbd-5f2e7129e86b

B. Azure 上の仮想マシンからアクセスした場合。
アクセスできませんでした。
682b025c-bac4-4186-b9fd-296524b96af6 Network Monitor でパケットを確認してみると、クラウドサービスに対して Syn パケットを送っていますが、応答がクラウドサービスから帰ってこないため、接続の確立ができなかったことがわかります。
9c187bcb-4749-4916-836f-831543f17857

上記のように、ACL を設定することで、特定の端末からのみのアクセスを許可するといった制御がクラウドサービスでも実現することができます。お役に立ちましたら幸いです。


本情報の内容 (添付文書、リンク先などを含む) は、作成日時点でのものであり、予告なく変更される場合があります。