Azure 実稼働環境のネットワーク
Azure 実稼働環境のネットワークのユーザーには、独自の Azure アプリケーションにアクセスする外部のお客様と実稼働環境のネットワークを管理する内部の Azure サポート担当者の両方が含まれます。 この記事では、Azure 実稼働環境のネットワークへの接続を確立するための、セキュリティ アクセスの方法とセキュリティ保護のメカニズムについて説明します。
インターネット ルーティングとフォールト トレランス
複数のプライマリとセカンダリの DNS サーバー クラスターと組み合わされたグローバル冗長の内部と外部の Azure ドメイン ネーム サービス (DNS) インフラストラクチャでは、フォールト トレランスが提供されます。 同時に、追加の Azure ネットワーク セキュリティ コントロール (NetScaler など) を使用して、分散型サービス拒否 (DDoS) の攻撃を回避し、Azure DNS サービスの整合性を保護します。
Azure DNS サーバーは、複数のデータセンター施設に置かれています。 Azure DNS 実装には、Azure のお客様のドメイン名をパブリックに解決するために、セカンダリとプライマリの DNS サーバーの階層が組み込まれています。 ドメイン名は通常、お客様のサービスの仮想 IP (VIP) アドレスをラップする CloudApp.net アドレスに解決されます。 Azure 固有の動作として、テナント変換の内部の専用 IP (DIP) アドレスに対応する VIP は、その VIP を担当する Microsoft ロード バランサーによって処理されます。
Azure は米国内に地理的に分散した Azure データセンターでホストされ、堅牢でスケーラブルなアーキテクチャの標準を実装している最先端のルーティング プラットフォーム上に構築されています。 次のような注目すべき機能があります。
- Multiprotocol Label Switching (MPLS) ベースのトラフィック エンジニアリング。障害が発生した場合に、効率的なリンクの使用とサービスの正常な低下を提供する。
- ネットワーク。"予備の 1 台" (N+1) の冗長またはそれ以上のアーキテクチャで実装されている。
- 外部的には、データセンターは、高帯域幅の専用ネットワーク回路を備えている。この回路は、複数のピアリング ポイントで、1,200 を超えるインターネット サービス プロバイダーを使って、グローバルにプロパティを冗長接続する。 この接続では、上限の容量として 2,000 ギガバイト/秒 (Gbps) 以上を提供しています。
Microsoft ではデータセンター間に独自のネットワーク回路を所有しているので、これらの属性を利用して、Azure のオファリングでは、従来のサードパーティのインターネット サービス プロバイダーを必要とせずに、99.9% 以上のネットワーク可用性を実現できます。
実稼働環境のネットワークと関連するファイアウォールへの接続
Azure ネットワーク インターネット トラフィック フロー ポリシーでは、米国内の最も近隣地域のデータセンターに設置されている Azure 実稼働環境のネットワークにトラフィックを送信します。 Azure 実稼働環境のデータセンターは、一貫性のあるネットワーク アーキテクチャとハードウェアを保持しているため、後に続くトラフィック フローの説明はすべてのデータセンターに一貫して適用されます。
Azure のインターネット トラフィックが最も近隣のデータ センターにルーティングされた後、アクセス ルーターへの接続が確立されます。 これらのアクセス ルーターでは、Azure ノードとお客様のインスタンス化された VM 間のトラフィックを個々に独立させます。 アクセスとエッジの位置にあるネットワーク インフラストラクチャ デバイスは、イングレス フィルターとエグレス フィルターが適用される境界ポイントです。 これらのルーターは、階層化されたアクセス制御リスト (ACL) 経由で不要なネットワーク トラフィックをフィルター処理し、必要に応じてトラフィック レートの制限を適用するように構成されています。 ACL で許可されたトラフィックは、ロード バランサーにルーティングされます。 配布ルーターは、Microsoft が承認した IP アドレスのみを許可し、スプーフィング対策を提供し、ACL を使用する TCP 接続を確立するように、設計されています。
外部の負荷分散デバイスは、アクセス ルーターの背後に配置され、インターネット ルーティング可能な IP から Azure 内部 IP への Network Address Translation (NAT) を実行します。 また、デバイスは、有効な実稼働環境の内部 IP とポートにパケットをルーティングし、内部の実稼働ネットワーク アドレス空間の公開を制限する実稼働環境のメカニズムとして動作します。
既定では、Microsoft は、サインインとその後のすべてのトラフィックを含め、お客様の Web ブラウザーに転送されるすべてのトラフィックに対してハイパーテキスト転送プロトコル セキュア (HTTPS) を適用します。 TLS v1.2 の使用によって、トラフィックは安全なトンネルを通過できるようになっています。 アクセス ルーターおよびコア ルーターの ACL は、トラフィックの送信元が想定と一致することを確保します。
従来のセキュリティ アーキテクチャと比較した場合、このアーキテクチャの重要な違いは、通常は Azure 運用環境への接続が確立する前に期待される、専用のハードウェア ファイアウォール、専用の侵入検出/防止デバイス、またはその他のセキュリティ アプライアンスが設置されないことです。 お客様は通常、Azure ネットワークにこれらのハードウェア ファイアウォール デバイスを期待しますが、Azure 内では使用されません。 このようなセキュリティ機能はほぼ例外なく、Azure 環境を実行するソフトウェアに組み込まれており、ファイアウォール機能を含め、堅牢な多層セキュリティ メカニズムを提供しています。 さらに、重要なセキュリティ デバイスの境界のスコープと関連する不規則な範囲は、Azure を実行するソフトウェアで管理されているため、前の図に示すように、管理と保管がより簡単になります。
主要なセキュリティおよびファイアウォール機能
Azure では、さまざまなレベルで堅牢なソフトウェア セキュリティとファイアウォール機能を実装し、従来の環境では通常、主要なセキュリティ認証の境界を保護するために期待されていたセキュリティ機能を強化しています。
Azure セキュリティ機能
Azure では、実稼働環境のネットワークの内部にホスト ベースのソフトウェア ファイアウォールを実装しています。 複数の主要なセキュリティ機能およびファイアウォール機能が、中核となる Azure 環境内に置かれています。 これらのセキュリティ機能は、Azure 環境内の多層防御戦略を反映しています。 Azure 内の顧客データは、次のファイアウォールによって保護されています。
ハイパーバイザー ファイアウォール (パケット フィルター) : このファイアウォールは、ハイパーバイザー内に実装され、ファブリック コントローラー (FC) エージェントによって構成されます。 このファイアウォールは、VM 内で実行されるテナントを未承認のアクセスから保護します。 既定では、VM が作成されると、すべてのトラフィックがブロックされて、FC エージェントが、承認されたトラフィックを許可するようにフィルターにルールと例外を追加します。
ここでプログラムされるルールの 2 つのカテゴリは、次のとおりです。
- マシン構成またはインフラストラクチャのルール: 既定では、すべての通信がブロックされています。 VM が、動的ホスト構成プロトコル (DHCP) 通信と DNS 情報を送受信すること、およびトラフィックを "パブリック" インターネットに送信して、FC クラスターと OS アクティベーション サーバー内の他の VM に発信することを可能にする例外があります。 VM の発信先の許可リストには、Azure ルーター サブネットおよびその他の Microsoft プロパティは含まれていないため、ルールは発信先に対する防御層として機能します。
- ロール構成ファイルのルール: テナントのサービス モデルに基づく受信 ACL を定義します。 たとえば、テナントが特定の VM のポート 80 上に Web フロント エンドを備えている場合、ポート 80 はすべての IP アドレスに開かれています。 VM で worker ロールが実行されている場合、同じテナント内の VM に対してだけ、worker ロールが開かれます。
ネイティブ ホスト ファイアウォール: Azure Service Fabric と Azure Storage は、ハイパーバイザーがないネイティブ OS で実行されるため、Windows ファイアウォールは前の 2 つのルールのセットで構成されます。
ホスト ファイアウォール: ホスト ファイアウォールは、ハイパーバイザーを実行しているホスト パーティションを保護します。 ルールは、FC とジャンプ ボックスだけに特定のポートでのホスト パーティションとの対話を許可するようにプログラミングされています。 その他の例外として、DHCP 応答と DNS 返信の許可があります。 Azure では、ホスト パーティション用のファイアウォール ルールのテンプレートを含む、マシン構成ファイルを使用します。 また、特定のプロトコル/ポートを経由して、ホスト コンポーネント、ワイヤ サーバーおよびメタデータ サーバーと VM が通信できるホスト ファイアウォールの例外も存在します。
ゲスト ファイアウォール: ゲスト OS の Windows ファイアウォールの部分であり、お客様が、お客様の VM およびストレージ上に構成することができます。
Azure 機能に組み込まれる追加のセキュリティ機能には、次が含まれます。
インフラストラクチャのコンポーネントは、DIP に由来する、割り当てられた IP アドレスです。 インターネット上の攻撃者は、Microsoft には到達しないため、これらのアドレスへのトラフィックを扱うことはできません。 インターネット ゲートウェイ ルーターは、実稼働環境のネットワークに入らないため、内部アドレスに単独で対応するパケットをフィルター処理します。 VIP に送信されたトラフィックを受け入れるコンポーネントは、ロード バランサーだけです。
すべての内部ノード上に実装されているファイアウォールには、指定されたシナリオに対して次の 3 つの基本的なセキュリティ アーキテクチャの考慮事項があります。
- ファイアウォールは、ロード バランサーの背後に配置され、任意の場所からのパケットを受信します。 これらのパケットは、外部への公開を意図しており、従来の周辺ファイアウォールでポートを開くことと同じです。
- ファイアウォールは、制限されたアドレスのセットからのみパケットを受け入れます。 この考慮事項は、DDoS 攻撃に対する防御のより詳しい戦略の一部です。 このような接続は、暗号化して認証されます。
- ファイアウォールは、選択された内部ノードからのみアクセスできます。 ファイアウォールではソース IP アドレスの列挙一覧からのみパケットを受信し、一覧に挙げられているのはすべて、Azure ネットワーク内の DIP です。 たとえば、企業ネットワーク上の攻撃では、これらのアドレスに対して要求を送信できますが、パケットのソース アドレスが Azure ネットワーク内の列挙一覧に示されていない限り、攻撃はブロックされます。
- 周辺にあるアクセス ルーターは、静的ルートが構成されているために、Azure ネットワーク内部にあるアドレスに対応する発信パケットをブロックします。
次のステップ
Microsoft が提供する Azure アーキテクチャの保護の詳細については、以下を参照してください。