Azure VMからPaaSへの通信はユーザ毎に分離されているか
Azure内の通信において、他のAzureユーザの通信とどの程度分離されているか、確認してみました。
通信経路
Azure VMからAzure PaaSへの通信は以下の通りです
Azure VM → VNET → Microsoftグローバルネットワーク → 各種PaaS (Log Analyticsなど)
★インターネットは経由しません
(参照)
マイクロソフトのグローバル ネットワーク
最高のクラウド ネットワークの実現
— (引用) —
Microsoft Azure 内のデータセンター間、または Virtual Machines、Microsoft 365、Xbox、SQL DB、Storage、仮想ネットワークなどの
Microsoft サービス間のあらゆるトラフィックはこのグローバル トラフィック内でルーティングされ、決してパブリック インターネットを経由しません。
— — —
通信がユーザ毎に分離されている箇所、されていない箇所
■VNET
Azure の仮想化基盤 (SDN) により、論理的にネットワークが他の Azure ユーザーと分離されている
■Microsoftグローバルネットワーク → PaaS (Log Analyticsなど)
通常のパブリックな インターネット区間と同様の扱いと同じであるため、他の Azure ユーザーと通信が分離されていない
プライベートエンドポイントを使うことでエンドtoエンドで分離される
プライベート エンドポイントを利用した場合には、VNet 内の通信と同等の通信となるため、 Azure VM から各種 PaaS 間の通信は SDN により論理的にネットワークが分離された状態となります。
Microsoft グローバル ネットワーク内の通信は暗号化されているのか
Microsoft グローバル ネットワークは通信のルーティングのみ行われるだけであり、通信の暗号化に関与することありません(MSサポート回答)。
そのため、Microsoft グローバル ネットワーク内に、非暗号化通信を通したくない場合は、Azure VM と PaaS 間での End-to-End の暗号化が必要となりますが、Azure VM と PaaS 間の通信が暗号化されるかは、各PaaSサービスの観点で確認が必要です。