Azure VPN Gatewayを使用します。接続クライアントのGlobal IPを見て接続する拠点をフィルタリングすることは可能でしょうか？

Question

こんにちは。アべです。

ユーザの要件書の非機能要件＞セキュリティが、「VPN」＆「グローバルIPのフィルタリング」となっています。
Azure VPN Gatewayを使用しようと考えていますが、VPN接続は簡単にできたのですが、この接続してくる端末のグローバルIPを見て、IPフィルタリングが出来ずに困っています。

そもそも、出来るものなのでしょうか？

Answer 1

要件として IP フィルタリングは VPN 装置で実施する必要があるのでしょうか？

でなければ（VM が接続する）サブネットで NSG を構成すれば良いかと思います。

※ゲートウェイ サブネットに NSG を構成することはできません

---

Hebikuzure aka Murachi Akira

Answer 2

Point to Site VPN を終端する VPN Gateway には、送信元 IP アドレスを条件として VPN 接続を許可・拒否する機能がありません。

要件を実現できそうな実装が Azure AD 認証＋条件付きアクセス です。Azure AD の条件付きアクセスを使えば、送信元グローバル IP アドレスを利用して認証を許可・拒否できます。

まずは、Point to Site VPN の認証に Azure AD を利用します。そして、VPN 接続を許可したい IPアドレスを名前付きの場所に登録します。この名前付きの場所を利用して「Point to Site VPN の認証は名前付き場所を除いてすべてブロック」という条件付きアクセスを設定すれば、許可されたグローバル IP アドレスのみが VPN 接続できるようになるはずです。

ただし検証していませんので、お客様にご提案される場合は事前にご検証ください。

参考 URL

• https://docs.microsoft.com/ja-jp/azure/vpn-gateway/openvpn-azure-ad-mfa
• https://azuread.net/2019/02/07/%E6%9D%A1%E4%BB%B6%E4%BB%98%E3%81%8D%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E3%81%AE%E8%A8%AD%E5%AE%9A/
  その5：特定の場所からアクセスするユーザーにのみアクセス許可を与える

Answer 3

情報をありがとうございます。まずは頂いた情報を検討して、検証フェーズにいくか否かを決めたいと思います。

Answer 4

Azure Firewall を組み合わせることで、よりセキュアな構成にすることができるかと思います。

http://techtalk.cloud/azure-firewall/