受信と送信のインターネット接続を計画する

この記事では、Azure とパブリック インターネット間の受信接続と送信接続に関する考慮事項と推奨事項を示します。

設計上の考慮事項

  • Azure FirewallAzure Application Gateway 上の Azure Web Application Firewall (WAF)Azure Front Door などの Azure ネイティブのネットワーク セキュリティ サービスは、フル マネージド サービスです。 大規模なインフラストラクチャのデプロイに関する運用コストと管理コストおよび複雑さが発生することはありません。

  • Azure 以外のネットワーク仮想アプライアンス (NVA) の使用が組織で望まれる場合や、ネイティブ サービスでは特定の要件が満たされない場合、Azure ランディング ゾーン アーキテクチャはパートナーの NVA と完全に互換性があります。

  • Azure では、仮想マシン (VM) または仮想ネットワーク上のコンピューティング インスタンスに対して、ネットワーク アドレス変換 (NAT) ゲートウェイやロード バランサーなど、インターネットへのいくつかの直接送信接続方法が提供されています。 Azure NAT Gateway は、運用上最も簡単に設定でき、Azure で利用できるあらゆる送信接続方法の中で最もスケーラブルかつ効率的なオプションであるため、送信接続を有効にするための既定として推奨されています。 詳細については、Azure の送信接続方法に関するページを参照してください。

設計の推奨事項

  • インターネットへの直接送信接続には、Azure NAT Gateway を使用します。 NAT ゲートウェイは、スケーラブルかつオンデマンドの SNAT を提供する、フル マネージドで回復性の高い NAT サービスです。

    • 次の場合に NAT ゲートウェイを使用します。

      • インターネットにトラフィックを送信する動的または大規模なワークロード。
      • 送信接続用の静的で予測可能なパブリック IP アドレス。 NAT ゲートウェイは、最大 16 個のパブリック IP アドレスまたは 1 つの /28 パブリック IP プレフィックスに関連付けることができます。
      • ロード バランサーの送信規則Azure Firewall、または Azure App Service でよく発生する SNAT ポート不足に関する問題の軽減。
      • ネットワーク内リソースのセキュリティとプライバシー。 NAT ゲートウェイを通過できるのは、送信トラフィックと戻りトラフィックのみです。
  • 次のものを管理するには Azure Firewall を使用します。

    • インターネットへの Azure 送信トラフィック。
    • HTTP/S ではない受信接続。
    • East-West トラフィックのフィルター処理 (お客様の組織が必要とする場合)。
  • 次のような高度なファイアウォール機能には、Azure Firewall Premium を使用します。

    • トランスポート層セキュリティ (TLS) 検査。
    • ネットワークの侵入の検出と防止システム。
    • URL フィルタリング。
    • Web カテゴリ。
  • Azure Firewall Manager では、Azure Virtual WAN と通常の仮想ネットワークの両方がサポートされます。 Virtual WAN ハブ間またはハブ仮想ネットワーク内に Azure Firewall をデプロイして管理するには、Firewall Manager と Virtual WAN を使用します。

  • Azure Firewall 規則で複数の IP アドレスおよび範囲が一貫して使用される場合は、Azure Firewall で IP グループを設定してください。 IP グループは、Azure のリージョンとサブスクリプションにまたがる複数のファイアウォールに対する Azure Firewall DNAT 規則、ネットワーク規則、アプリケーション規則で使用できます。

  • カスタムのユーザー定義ルート (UDR) を使用して、Azure PaaS (サービスとしてのプラットフォーム) サービスへの送信接続を管理する場合は、アドレス プレフィックスとしてサービス タグを指定します。 サービス タグによって、変更内容を含めるために、基になる IP アドレスを自動的に更新し、ルート テーブルで Azure プレフィックスを管理するオーバーヘッドを削減します。

  • グローバル ネットワーク環境全体でセキュリティ体制を管理するグローバル Azure Firewall ポリシーを作成します。 そのポリシーをすべての Azure Firewall インスタンスに割り当てます。

  • Azure ロールベースのアクセス制御を使用して、増分ポリシーをローカル セキュリティ チームに委任することで、特定のリージョンの要件を満たすきめ細かいポリシーを設定できます。

  • インターネットからの受信 HTTP/S トラフィックを保護するには、ランディング ゾーンの仮想ネットワーク内で WAF を使用します。

  • Azure リージョン間でランディング ゾーンへの受信 HTTP/S 接続に対するグローバルな保護を提供するには、Azure Front Door と WAF ポリシーを使用します。

  • Azure Front Door と Azure Application Gateway を使用して HTTP/S アプリケーションを保護するには、Azure Front Door で WAF ポリシーを使用します。 Azure Application Gateway をロックダウンして、Azure Front Door からのトラフィックのみを受信します。

  • 受信 HTTP/S 接続にパートナーの NVA が必要な場合は、ランディング ゾーンの仮想ネットワーク内に、保護してインターネットに公開するアプリケーションと共に、これらをデプロイします。

  • 送信アクセスの場合は、どのシナリオでも Azure の既定のインターネット送信アクセスは使用しないでください。 既定の送信アクセスで発生する問題は次のとおりです。

    • SNAT ポート不足のリスク増大。
    • 既定で保護されていない。
    • 既定のアクセス IP に依存できない。 これらは顧客所有でないため、変更される可能性があります。
  • オンライン ランディング ゾーン、またはハブ仮想ネットワークに接続されていないランディング ゾーンに NAT ゲートウェイを使用します。 送信インターネット アクセスを必要とし、Azure Firewall Standard または Premium、またはサードパーティの NVA のセキュリティを必要としないコンピューティング リソースでは、オンライン ランディング ゾーンを使用できます。

  • 送信接続の保護に役立てるために SaaS (サービスとしてのソフトウェア) セキュリティ プロバイダーを組織で使用する必要がある場合、Firewall Manager 内のサポートされるパートナーを構成します。

  • 東西または南北のトラフィック保護とフィルター処理にパートナー NVA を使用する場合:

    • Virtual WAN ネットワーク トポロジの場合は、別の NVA 仮想ネットワークに NVA をデプロイします。 その仮想ネットワークを、リージョンの Virtual WAN ハブと、NVA にアクセスする必要があるランディング ゾーンに接続します。 詳細については、「シナリオ: NVA を経由するトラフィックのルーティング」を参照してください。
    • Virtual WAN 以外のネットワーク トポロジの場合は、パートナーの NVA を中央ハブの仮想ネットワークにデプロイします。
  • VM 管理ポートをインターネットに開放しないでください。 管理タスクの場合:

    • パブリック IP を使用した VM の作成を防ぐには、Azure Policy を使用します。
    • ジャンプボックス VM にアクセスするには、Azure Bastion を使用します。
  • 仮想ネットワーク内でホストされているパブリック エンドポイントを保護するには、Azure DDoS Protection 保護プランを使用します。

  • オンプレミスの境界ネットワークの概念とアーキテクチャを Azure に複製しようとしないでください。 Azure には同様のセキュリティ機能がありますが、実装とアーキテクチャがクラウドに適合されています。