PostgreSQLサーバーでAzureサービスからのアクセスを制限する設定手順
このブログシリーズ 「クラウドセキュリティ 実践集」 では、一般的なセキュリティ課題を取り上げ、「なぜ危険なのか?」 というリスクの解説から、 「どうやって直すのか?」 という具体的な修復手順(コンソール、Azure CLI、Terraformなど)まで、分かりやすく解説します。
この記事では、Azure Database for PostgreSQL で「Azure サービスへのアクセス許可」が有効化されている場合のリスクと、セキュリティを向上させるための具体的な修復手順を解説します。
ポリシーの説明
Azure Database for PostgreSQL では、「Azure サービスへのアクセスを許可」という設定があります。この設定を有効にすると、すべての Azure サービス(他のサブスクリプションのリソースも含む)から PostgreSQL サーバーへのアクセスが許可されます。これはゼロトラストセキュリティの原則に反し、重大なセキュリティリスクを引き起こします。本ポリシーでは、この設定を無効化し、必要最小限のネットワークアクセスに制限することを強く推奨します。
修復方法
コンソールでの修復手順
- Azure Portal (https://portal.azure.com) にサインインします
- 「すべてのサービス」から「Azure Database for PostgreSQL フレキシブル サーバー」を選択します
- 対象の PostgreSQL Flexible Server を選択します
- 左側のメニューから「ネットワーキング」を選択します
- 「パブリック アクセス」タブを選択します(プライベート エンドポイントが構成されていない場合)
- “AllowAllAzureServices”、”AllowAzureIps”、または “0.0.0.0 – 0.0.0.0” のルールがある場合は、右側の「削除」アイコンをクリックして削除します
- 必要に応じて、特定の IP アドレスまたは Virtual Network ルールを追加します:
- 「+ ファイアウォール ルールの追加」をクリック
- ルール名、開始IP、終了IPを入力
- 複数のルールが必要な場合は、この手順を繰り返します
- プライベート アクセスを使用する場合(最も安全):
- 「プライベート エンドポイント」タブを選択
- 「+ プライベート エンドポイントの追加」をクリック
- 必要な設定を構成
- 「保存」をクリックして変更を適用します
最後に
この記事では、Azure Database for PostgreSQL で「Azure サービスへのアクセス許可」を無効化する設定手順について、リスクと具体的な修復手順を解説しました。
ゼロトラストセキュリティの観点から、データベースへのアクセスは必要最小限に制限することが重要です。特に、Azure サービスからの一括アクセス許可は最大のセキュリティリスクの一つであり、速やかに対処すべき課題です。
組織のセキュリティポスチャを強化するため、Private Endpoint の使用を強く推奨します。
この問題の検出は弊社が提供するSecurifyのCSPM機能で簡単に検出及び管理することが可能です。 運用負荷を大幅に削減できる製品となっていますので、ご興味がある方はぜひお問い合わせください。
最後までお読みいただきありがとうございました。この記事が皆さんのクラウドセキュリティ強化の一助となれば幸いです。