Azure WebSites で IP のブラックリスト入りを回避する


このポストは、7 月 29 日に投稿した Avoiding IP Blacklisting with Azure WebSites の翻訳です。

複数の顧客が多数の IP アドレスを共有するマルチテナント環境では、Web サイトに悪意のあるコンテンツが含まれることが少なくありません。外部からのハッキングによる場合もあれば、意図的な場合もありますが、いずれにせよ、共有 IP アドレスが Web 上に存在するブラックリスト サービスのリストに載ってしまうことになります。共有 IP がブラックリストに載ってしまうと、関係のない無害なサイトにもその被害が生じることになります。

こうした事態が発生した場合、ブラックリストから IP を削除して再びサイトにアクセス可能になるようにホスティング業者に要請するのが一般的な対応です。ただし、これは応急措置に過ぎず、結局 (それもあっという間に) 再び IP がブラックリストに載ってしまいます。

自分のサイトを守るには

Azure では他の利用者のサイトをコントロールすることはできないので、どのサイトのせいでブラックリストに載ってしまうのかを把握することはできません。これを解決し、再発から自分のサイトを守る唯一確実な方法は、サイトに専用 IP を設定して他のサイトとは共有されない独自の IP を使用することです。Azure では、IP SSL を構成すれば専用 IP を簡単に取得できます。このオプションは Standard レベルのサイトでしか利用できませんが、カスタム ドメインを使用している場合は他の対応も可能です。

カスタム ドメインを使用し、その CNAME レコードが Azure の WebSites 名 (例: contoso.azurewebsites.net) を参照している場合は、単純にレコードを DNS プロバイダーで変更して IP-SSL を構成します。

一方、A レコードを使用して IP のホスト名を解決している場合は、次の対応をお勧めします。

  1. ホスト名のマッピング (例: www.contoso.com) を A レコードから自分の Microsoft Azure WebSites (例: contoso.azurewebsites.net) を指す CNAME に変更します。同じ IP を指しているのでダウンタイムは発生しません。DNS のレプリケーションが完了するまでしばらく待ちます。
  2. www.contoso.com の証明書を WebSites にアップロードします。これは、[Configure] タブの [Domain names] で行います。証明書は証明書プロバイダーから購入するのが一般的ですが、実際に SSL を使用するつもりがない場合は、自己署名証明書を利用すれば発行が簡単で、費用もかかりません。SSL に関するガイドの「自己署名証明書 (省略可能)」セクションを参照してください。
  3. IP ベースの SSL バインディングを www.contoso.com に設定します。このオプションは [Configure] タブの [SSL Binding] にあります。SSL に関するガイドの「SSL の構成」セクションを参照してください。

問題を報告する

自分の WebSites の専用 IP への移行が完了したら、マイクロソフトに問題をご報告ください。根本的な原因の究明や、他の利用者にとっても助けになります。Cert.Microsoft.com (英語) から詳細をお知らせください。マイクロソフトのセキュリティ チームが内容を確認し、適切な措置を講じます。

セキュリティに関する詳しい情報については、Microsoft Azure のトラスト センターをご覧ください。

Comments (0)

Skip to main content