デプロイしたアプリケーションはそれほど複雑ではなく、専用の Azure VM は必要ありません。
基本的には Azure App Service (デプロイ スロット付き) であり、Azure SQL データベースが必要で、Azure Blob Storage にいくつかのデータを保存し、Azure Key Vault が必要です。また、Azure Function App をいくつか追加したいのですが、これらのいずれも VNet に存在しません。
VNet を作成し、それらのすべてのリソースに対して VNet 内にエンドポイントを作成することもできますが、セキュリティや管理の面でそれが何かの役に立つかどうかはわかりません。
結論: Azure VM を実行しないシステムに VNet は本当に必要ですか? App Service が他のリソースに直接アクセスできるようにするよりも安全ですか?
答え1
ソリューションを機能させるために VNet は必要ありません。私は、VNet ありとなしの両方で、お客様と同様のソリューションを構築しました。
VNet を使用すると、セキュリティ上の利点が得られます。
VNet とエンドポイントを使用すると、App Service サイトはプライベート IP 経由で Azure SQL データベースおよびストレージと通信できるようになります。これにより、パブリック インターネットへのトラフィックを遮断できます。重要なのは、Azure SQL データベースおよびストレージへのすべてのパブリック アクセスをブロックするか、少なくともパブリック管理 IP のみにロックダウンできるということです。
個人的には、VNet を使用する方が安定していて安全だと感じています。ただし、ソリューションによって、どの程度のセキュリティが必要か、GDPR やデータ保護のリスクがあるかどうかが異なります。
私はいつもクラウド ソリューションに関する質問に戻ります。これをオンプレミス ソリューションとして構築する場合、別の方法があれば、SQL サーバーとファイル サーバーをパブリックにアクセス可能にします。
ありがとうフィル