SitecoreデプロイメントのMicrosoft Azureリソースの保護

Sitecore環境では、AzureポータルとAzure Resource Manager REST APIを使用して、すべてのリソースに対して管理操作を実行します。これには、リソースの作成と削除、リソースのプロパティの取得と設定、可用性のスケーリングと監視が含まれます。どのリソースに対して誰が管理操作を実行できるかを制御するには、Owner、Contributor、Readerなどのロールベースのアクセス制御 (RBAC) ロールを使用します。各ロールでは、権限のレベルが下がっています。

Azureポータルでロールベースのアクセス制御を使用する方法の詳細については、Microsoft Azureのドキュメントを参照してください。

Sitecoreは、Microsoft Azure Web Apps®を使用して、Content Management (CM)、Content Delivery (CD)、Processing、ReportingなどのWebフロントエンドをホストしています。Web Appsには、環境へのアクセスをロックダウンするための2つの主要なオプションとして、IPホワイトリストと認証 (Web Apps認証はSitecore認証の上位に位置し、Sitecore認証を置き換えるものではありません) があります。

Azure認証を使用して、CMロールとProcessingロールにセキュリティの追加レイヤーを提供できます。この追加のレイヤーをReportingロールに追加することはできません。これは、CMロールとCDロールがこのサービスを呼び出す必要があるためです。 Microsoft Azure App Serviceでの認証と承認の詳細については、Microsoft Azureのドキュメントを参照してください。

IPホワイトリスト は、WebアプリにアクセスできるIPアドレスを制限し、主にCM、Processing、およびReportingロールへのアクセスを制御するのに役立ちます。IPホワイトリストは、新しいSitecoreデプロイで実行する最初のタスクの1つにします。 Content Managementロールは会社のIPからのみアクセス可能にし、Processingロールは誰にもアクセスできず、ReportingロールはAzure内からのみアクセス可能にすることをお勧めします。 送信Microsoft Azure App Service® のIPアドレスを見つける方法の詳細については、Microsoft Azureのドキュメントを参照してください。

Sitecore Webアプリのみにアクセスを制限することはできないため、Webアプリが共有する4つの送信IPアドレスにロックダウンする必要があります。これにより、Webアプリにアクセスできるユーザーの数が減ります。

Sitecoreは、 多くのセキュリティ機能も備えているため、Microsoft Azure SQL®を使用してすべてのデータベースをホストしています。

新しくプロビジョニングされたSitecore環境では、アクセスする必要があるロールとデータベースごとに異なるユーザーも作成されます。たとえば、CMコア ユーザーとCMマスター ユーザーがいるとします。このレベルの粒度により、誰が何にアクセスできるかを正確に制御する柔軟性が大幅に向上します。これらのユーザーのパスワードと権限は、 SQLデータベース・ログインを管理することで変更できます。

デフォルトでは、Azure SQLインスタンスにはAzure環境内からのみアクセスできます。企業環境などの外部IPへのアクセスを拡張するには、次のドキュメントの手順に従います。