none
Azure VPN Gatewayを使用します。接続クライアントのGlobal IPを見て接続する拠点をフィルタリングすることは可能でしょうか? RRS feed

  • 質問

  • こんにちは。アべです。

    ユーザの要件書の非機能要件>セキュリティが、「VPN」&「グローバルIPのフィルタリング」となっています。
    Azure VPN Gatewayを使用しようと考えていますが、VPN接続は簡単にできたのですが、この接続してくる端末のグローバルIPを見て、IPフィルタリングが出来ずに困っています。

    そもそも、出来るものなのでしょうか?

    2020年6月26日 8:14

すべての返信

  • 要件として IP フィルタリングは VPN 装置で実施する必要があるのでしょうか?

    でなければ(VM が接続する)サブネットで NSG を構成すれば良いかと思います。

    ※ゲートウェイ サブネットに NSG を構成することはできません


    Hebikuzure aka Murachi Akira

    2020年6月27日 7:49
  • Point to Site VPN を終端する VPN Gateway には、送信元 IP アドレスを条件として VPN 接続を許可・拒否する機能がありません。

    要件を実現できそうな実装が Azure AD 認証+条件付きアクセス です。Azure AD の条件付きアクセスを使えば、送信元グローバル IP アドレスを利用して認証を許可・拒否できます。

    まずは、Point to Site VPN の認証に Azure AD を利用します。そして、VPN 接続を許可したい IPアドレスを名前付きの場所に登録します。この名前付きの場所を利用して「Point to Site VPN の認証は名前付き場所を除いてすべてブロック」という条件付きアクセスを設定すれば、許可されたグローバル IP アドレスのみが VPN 接続できるようになるはずです。

    ただし検証していませんので、お客様にご提案される場合は事前にご検証ください。

    参考 URL

    2020年6月30日 15:46
  • 情報をありがとうございます。まずは頂いた情報を検討して、検証フェーズにいくか否かを決めたいと思います。

    2020年7月1日 2:00
  • Azure Firewall を組み合わせることで、よりセキュアな構成にすることができるかと思います。

    http://techtalk.cloud/azure-firewall/

    2020年7月3日 7:29