Azure Container Registry パブリックアクセス無効化とプライベートエンドポイントの設定

このブログシリーズ 「クラウドセキュリティ 実践集」 では、一般的なセキュリティ課題を取り上げ、「なぜ危険なのか？」 というリスクの解説から、 「どうやって直すのか？」 という具体的な修復手順（コンソール、Azure CLI、Terraformなど）まで、分かりやすく解説します。

この記事では、Azure Container Registryでパブリックアクセスを無効化する手順について、リスクと対策を解説します。

ポリシーの説明

Azure Container Registryのパブリックアクセスは、インターネット経由でコンテナーレジストリにアクセスできる機能です。デフォルトでは有効になっており、適切な認証情報があれば世界中のどこからでもインターネット経由でコンテナーイメージをプルまたはプッシュできます。

技術的な要件と制限事項：

• プライベートエンドポイントの使用にはPremium SKUが必須
• ファイアウォールルールとサービスエンドポイントはBasic/Standard SKUでも利用可能
• プライベートエンドポイント設定後も、Azureサービスからのアクセスを許可するオプションあり

セキュリティのベストプラクティスでは、本番環境ではパブリックアクセスを無効化し、プライベートエンドポイント経由でのアクセスのみを許可することで、レジストリへのアクセスを仮想ネットワーク内に限定することが強く推奨されています。これにより、ゼロトラストネットワークアーキテクチャの実現が可能になります。

修復方法

コンソールでの修復手順

Azure コンソールを使用して、Container Registryのパブリックアクセスを無効化します。

前提条件

• Premium SKUのContainer Registry（プライベートエンドポイントを使用する場合に必須）
• 適切なAzure権限（共同作成者または所有者ロール）
• 仮想ネットワーク（VNet）の事前準備
• DNS解決の考慮（カスタムDNSサーバーを使用している場合）
• ネットワーク共同作成者ロール（プライベートエンドポイント作成時）

ステップ1: Container Registryの設定に移動

1. Azure Portalにサインイン
2. 対象のContainer Registryリソースに移動
3. 左側メニューの「設定」セクションから「ネットワーク」を選択

ステップ2: パブリックアクセスを無効化

1. 「パブリック アクセス」タブを選択
2. 「パブリック ネットワーク アクセスを許可する」で「無効」を選択
3. 「保存」をクリックして変更を適用

ステップ3: プライベートエンドポイントの作成（推奨）

1. 「プライベート アクセス」タブを選択
2. 「+ プライベート エンドポイント」をクリック
3. 基本設定：
   • 名前: pe-acr-<レジストリ名>
   • リージョン: レジストリと同じリージョン
   • リソース グループ: 適切なグループを選択
4. リソース設定：
   • 接続方法: 「ディレクトリ内の Azure リソースに接続します」
   • リソースの種類: Microsoft.ContainerRegistry/registries
   • リソース: 対象のコンテナーレジストリを選択
   • 対象サブリソース: registry
5. 仮想ネットワーク設定：
   • 仮想ネットワーク: 使用するVNetを選択
   • サブネット: プライベートエンドポイント用サブネットを選択
6. DNS設定：
   • プライベート DNS ゾーンと統合する: 「はい」
   • プライベート DNS ゾーン: privatelink.azurecr.io
   • 注意: 既存のプライベートDNSゾーンがある場合はそれを選択
   • DNSゾーングループを使用して自動DNSレコード管理を有効化
7. 「確認および作成」をクリックして作成

ステップ4: 接続の検証

• VNet内のリソースからレジストリへの接続をテスト
• DNS解決がプライベートIPアドレスを返すことを確認
• パブリックインターネットからアクセスできないことを確認
• データエンドポイントが有効な場合は、その接続も検証

最後に

この記事では、Azure Container Registryでパブリックアクセスを無効化する手順について、リスクと対策を解説しました。

この問題の検出は弊社が提供するSecurifyのCSPM機能で簡単に検出及び管理する事が可能です。 運用が非常に楽に出来る製品になっていますので、ぜひ興味がある方はお問い合わせお待ちしております。 最後までお読みいただきありがとうございました。この記事が皆さんの役に立てば幸いです。

参考情報

• Azure Container Registry のプライベート エンドポイント – プライベートエンドポイント設定の詳細手順
• Azure Container Registry のネットワーク アクセス制限 – ネットワークアクセス制御の包括的な説明
• Azure Container Registry の認証 – 各種認証方法の詳細とベストプラクティス
• Azure プライベート エンドポイント – プライベートエンドポイントの基本概念と実装方法
• Azure Container Registry のSKUと機能比較 – Basic、Standard、Premiumの機能差異
• Azure セキュリティ ベースライン – Container Registry – セキュリティベストプラクティス
• Azure Well-Architected Framework – セキュリティの柱 – Azureアーキテクチャにおけるセキュリティ設計原則
• Azure Container Registry セキュリティのベスト プラクティス – 運用上のセキュリティ推奨事項