ゼロ トラストの原則を適用して、レガシ ネットワーク セキュリティ テクノロジを停止する

この記事では、Azure 環境でレガシ ネットワーク セキュリティを停止するために、ゼロ トラストの原則を適用するためのガイダンスを提供します。 ゼロ トラストの原則を次に示します。

この記事は、Azure ネットワークにゼロ トラストの原則を適用する方法を示す一連の記事の一部です。

レガシ ネットワーク セキュリティ テクノロジの使用を停止するために確認する Azure ネットワーク領域は、次のとおりです。

• ネットワーク基盤サービス
• 負荷分散とコンテンツ配信サービス
• ハイブリッド接続サービス

レガシ ネットワーク セキュリティ テクノロジの使用からの切り替えにより、攻撃者が環境にアクセスしたり、環境間を移動して広範囲の被害を与えたりするのを防ぐことができます (侵害を想定するゼロ トラストの原則)。

リファレンス アーキテクチャ

次の図は、Azure 環境内のコンポーネントのレガシ ネットワーク セキュリティ テクノロジを停止するための、このゼロ トラスト ガイダンスの参照アーキテクチャを示しています。

この参照アーキテクチャには次のものが含まれます。

• Azure 仮想マシンで実行される Azure IaaS ワークロード。
• Azure サービス。
• Azure VPN Gateway と Azure Application Gateway を含むセキュリティ仮想ネットワーク (VNet)。
• Azure Load Balancer を含むインターネット エッジ VNet。
• Azure 環境のエッジにある Azure Front Door。

この記事の内容は？

ゼロ トラストの原則を、インターネットまたはオンプレミス ネットワーク上のユーザーと管理者から Azure 環境への、あるいは Azure 環境内での参照アーキテクチャに対して適用します。 次の表は、侵害を想定するゼロ トラストの原則に関して、このアーキテクチャ全体でレガシ ネットワーク セキュリティ テクノロジを停止するための主要なタスクを示しています。

手順 1: ネットワーク基盤サービスを確認する

ネットワーク基盤サービスの確認には、次のものが含まれます。

• Basic パブリック IP SKU から Standard パブリック IP SKU に移行する
• 仮想マシンの IP アドレスが明示的な送信アクセスを使用していることを確認する

この図は、参照アーキテクチャで Azure ネットワーク基盤サービスを更新するためのコンポーネントを示しています。

Basic パブリック IP SKU

IP アドレス (パブリックとプライベート) は、プライベート リソースとパブリック リソース間の通信を可能にする Azure の IP サービスの一部です。 パブリック IP は、VNet ゲートウェイ、アプリケーション ゲートウェイなど、インターネットへの送信接続を必要とするサービスにリンクされます。 パブリック IP を使用すると、Azure リソース間の通信が内部的に可能になります。

Basic パブリック IP SKU は現在レガシと見なされており、Standard パブリック IP SKU よりも多くの制限があります。 Basic パブリック IP SKU のゼロ トラストの主な制限事項の 1 つは、ネットワーク セキュリティ グループの使用は必須ではないが、推奨される一方、Standard パブリック IP SKU では必須であることです。

Standard パブリック IP SKU のもう 1 つの重要な機能は、Microsoft グローバル ネットワーク経由のルーティングなど、ルーティングの優先順位を選択できることです。 この機能は、可能な場合は常に Microsoft バックボーン ネットワーク内のトラフィックをセキュリティで保護し、送信トラフィックは可能な限りサービスまたはエンド ユーザーの近くに出力されます。

詳細については、Azure Virtual Network IP サービスに関するページを参照してください。

既定の送信アクセス

既定では、Azure はインターネットへの送信アクセスを提供します。 リソースからの接続は、既定ではシステム ルートと、配置されたネットワーク セキュリティ グループの既定のアウトバウンド規則によって許可されます。 つまり、明示的な送信接続方法が構成されていない場合、Azure は既定の送信アクセス IP アドレスを構成します。 ただし、明示的な送信アクセスがないと、特定のセキュリティ リスクが発生します。

Microsoft は、仮想マシンの IP アドレスをインターネット トラフィックに対して開いたままにしないことをお勧めします。 既定の送信 IP アクセスは制御することができず、IP アドレスはその依存関係とともに変更される可能性があります。 複数のネットワーク インターフェイス カード (NIC) を搭載した仮想マシンの場合、すべての NIC IP アドレスのインターネット送信アクセスを許可することはお勧めしません。 代わりに、必要な NIC のみにアクセスを制限する必要があります。

Microsoft は、次のいずれかのオプションを使用して、明示的な送信アクセスを設定することをお勧めします。

• Azure NAT Gateway

  送信元ネットワーク アドレス変換 (SNAT) ポートの最大数について、Microsoft は送信接続用に Azure NAT Gateway を使用することをお勧めします。

• Standard SKU の Azure Load Balancers

  これには、SNAT をプログラムするための負荷分散規則が必要です。これは、Azure NAT Gateway ほど効率的ではない可能性があります。

• パブリック IP アドレスを制限付きで使用できる

  仮想マシンへの直接パブリック IP の割り当ては、スケーラビリティとセキュリティに関する考慮事項があるため、テスト環境または開発環境でのみ行うべきです。

手順 2: コンテンツ配信と負荷分散サービスを確認する

Azure には、Web アプリケーションへのトラフィックの送信と分散するのに役立つ多くのアプリケーション配信サービスがあります。 サービスの新しいバージョンまたはレベルによってエクスペリエンスが向上し、最新の更新プログラムが提供される場合があります。 各アプリケーション配信サービス内で移行ツールを使用すると、最新バージョンのサービスに簡単に切り替え、新機能と強化された機能を利用できます。

コンテンツ配信と負荷分散サービスの確認には、次のものが含まれます。

• Azure Front Door レベルをクラシック レベルから Premium レベルまたは Standard レベルに移行する
• Azure Application Gateway を WAF_v2 に移行する
• Standard SKU の Azure Load Balancer に移行する

この図は、Azure コンテンツ配信と負荷分散サービスを更新するためのコンポーネントを示しています。

Azure Front Door

Azure Front Door には、Standard、Premium、クラシックの 3 つの異なるレベルがあります。 Standard レベルと Premium レベルでは、Azure Front Door クラシック レベル、Azure Content Delivery Network、Azure Web Application Firewall (WAF) の機能を 1 つのサービスにまとめます。

Microsoft は、これらの新機能と更新プログラムを利用するために、従来の Azure Front Door プロファイルを Premium レベルまたは Standard レベルに移行することをお勧めします。 Premium レベルは、バックエンド サービスへのプライベート接続、Microsoft マネージド WAF ルール、Web アプリケーションのボット保護などの強化されたセキュリティ機能に重点を置いています。

強化された機能に加えて、Azure Front Door Premium には、追加料金なしでサービスに組み込まれているセキュリティ レポートが含まれています。 これらのレポートは、WAF セキュリティ規則を分析し、Web アプリケーションが直面する可能性がある攻撃の種類を確認するのに役立ちます。 セキュリティ レポートでは、さまざまなディメンション別にメトリックを調べることもできます。これは、トラフィックの発生元と上位イベントの内訳を条件別に把握するのに役立ちます。

Azure Front Door の Premium レベルでは、クライアントと Web アプリケーションの間で最も堅牢なインターネット セキュリティ対策が提供されます。

Azure Application Gateway

Azure Application Gateway には、2 種類の SKU (v1 と v2) と、どちらの SKU にも適用できる WAF バージョンがあります。 Microsoft は、パフォーマンスのアップグレードや、自動スケール、カスタム WAF 規則、Azure Private Link のサポートなどの新機能を利用するために、Azure Application Gateway を WAF_v2 SKU に移行することをお勧めします。

カスタム WAF 規則を使用すると、Azure Application Gateway を通過するすべての要求を評価する条件を指定できます。 これらのルールは、マネージド ルール セットのルールよりも優先度が高く、アプリケーションとセキュリティの要件のニーズに合わせてカスタマイズできます。 カスタム WAF 規則では、IP アドレスを国番号と照合することで、国または地域ごとに Web アプリケーションへのアクセスを制限することもできます。

WAFv2 に移行するもう 1 つの利点は、別の VNet または別のサブスクリプションからアクセスするときに、Azure Private Link サービスを介して Azure Application Gateway に接続できることです。 この機能を使用すると、Azure Application Gateway へのパブリック アクセスをブロックしながら、プライベート エンドポイントを介したユーザーとデバイスのアクセスのみを許可できます。 Azure Private Link 接続では、各プライベート エンドポイント接続を承認する必要があります。これにより、適切なエンティティのみがアクセスできるようになります。 v1 SKU と v2 SKU の違いの詳細については、Azure Application Gateway v2に関するページを参照してください。

Azure Load Balancer

2025 年 9 月に Basic パブリック IP SKU の廃止が予定されている場合は、Basic パブリック IP SKU の IP アドレスを使用するサービスをアップグレードする必要があります。 Microsoft は、現在の Basic SKU Azure Load Balancer を Standard SKU Azure Load Balancer に移行して、Basic SKU に含まれていないセキュリティ対策を実装することをお勧めします。

Standard SKU Azure Load Balancer を使用すると、既定でセキュリティで保護されています。 適用されたネットワーク セキュリティ グループの規則で許可されていない限り、パブリック ロード バランサーへの受信インターネット トラフィックはすべてブロックされます。 この既定の動作により、準備が整う前に仮想マシンまたはサービスへのインターネット トラフィックが誤って許可されるのを防ぎ、リソースにアクセスできるトラフィックを確実に制御できます。

Standard SKU の Azure Load Balancer は、Azure Private Link を使用してプライベート エンドポイント接続を作成します。これは、ロード バランサーの背後にあるリソースへのプライベート アクセスを許可するが、ユーザーが自分の環境からアクセスできるようにする場合に便利です。

手順 3: ハイブリッド接続サービスを確認する

ハイブリッド接続サービスのレビューには、Azure VPN Gateway の新しい世代の SKU の使用が含まれます。

この図は、参照アーキテクチャで Azure ハイブリッド接続サービスを更新するためのコンポーネントを示しています。

現在、Azure のハイブリッド ネットワークを接続する最も効果的な方法は、Azure VPN Gateway の新しい世代の SKU を使用することです。 従来の VPN ゲートウェイを引き続き採用する可能性はありますが、これらは古く、信頼性も効率性も低いです。 クラシック VPN ゲートウェイは最大 10 個のインターネット プロトコル セキュリティ (IPsec) トンネルをサポートしますが、新しい Azure VPN Gateway SKU は最大 100 トンネルまでスケールアップできます。

新しい SKU は、新しいドライバー モデルで動作し、最新のセキュリティ ソフトウェア更新プログラムを組み込みます。 以前のドライバー モデルは、最新のワークロードには適していない古い Microsoft テクノロジに基づいていました。 新しいドライバー モデルは、優れたパフォーマンスとハードウェアを提供するだけでなく、強化された回復性も提供します。 SKU の AZ セットの VPN ゲートウェイを可用性ゾーンに配置し、複数のパブリック IP アドレスを使用したアクティブ/アクティブ接続をサポートできます。これによって、回復性が向上し、ディザスター リカバリーのオプションが向上します。

さらに、動的ルーティングのニーズについては、クラシック VPN ゲートウェイでは Border Gateway Protocol (BGP) を実行できず、IKEv1 のみを使用し、動的ルーティングをサポートしませんでした。 要約すると、クラシック SKU VPN ゲートウェイは、小規模なワークロード、低帯域幅、静的接続用に設計されています。

クラシック VPN ゲートウェイには、IPsec トンネルのセキュリティと機能にも制限があります。 IKEv1 プロトコルを使用したポリシーベースのモードと、侵害の影響を受けやすい暗号化とハッシュ アルゴリズムの限られたセットのみがサポートされます。 Microsoft は、フェーズ 1 とフェーズ 2 プロトコルの幅広いオプションを提供する新しい SKU に移行することをお勧めします。 主な利点は、ルートベースの VPN ゲートウェイで IKEv1 と IKEv2 のメイン モードをどちらも使用できるため、実装の柔軟性が向上し、より堅牢な暗号化とハッシュ アルゴリズムが提供できることです。

既定の暗号化の値よりも高いセキュリティが必要な場合、ルートベースの VPN ゲートウェイでは、フェーズ 1 とフェーズ 2 のパラメーターをカスタマイズして、特定の暗号とキーの長さを選択できます。 より強力な暗号化グループには、グループ 14 (2048 ビット)、グループ 24 (2048 ビット MODP グループ)、ECP (楕円曲線グループ) 256 ビットまたは 384 ビット (それぞれグループ 19 とグループ 20) が含まれます。 さらに、トラフィック セレクター設定を使用して、暗号化されたトラフィックの送信を許可するプレフィックス範囲を指定して、承認されていないトラフィックからトンネル ネゴシエーションをさらに保護できます。

詳細については、Azure VPN Gateway の暗号化に関するページを参照してください。

Azure VPN Gateway SKU は、ポイント対サイト (P2S) VPN 接続を容易にし、IKEv2 標準に基づく IPsec プロトコルと SSL/TLS に基づく VPN プロトコル (OpenVPN、SSL トンネリング プロトコル (SSTP) など) の両方を利用できるようにします。 このサポートにより、ユーザーはさまざまな実装方法が提供され、異なるデバイス オペレーティング システムを使用して Azure に接続できるようになります。 Azure VPN Gateway SKU には、証明書認証、Microsoft Entra ID 認証、Active Directory Domain Services (AD DS) 認証など、多くのクライアント認証オプションも用意されています。

推奨されるトレーニング

• Azure 管理者向けの仮想ネットワークの構成と管理
• ネットワーク セキュリティ グループとサービス エンドポイントを使うことで Azure リソースへのアクセスをセキュリティで保護し、分離する
• Azure Front Door の概要
• Azure Application Gateway の概要
• Azure Web アプリケーション ファイアウォールの概要
• Azure Private Link の概要
• VPN Gateway を使用してオンプレミス ネットワークを Azure に接続する

次のステップ

Azure ネットワークへのゼロ トラストの適用の詳細については、以下を参照してください。

• Azure ベースのネットワーク通信を暗号化する
• Azure ベースのネットワーク通信をセグメント化する
• ネットワーク トラフィックを可視化する
• ゼロ トラストによるネットワークのセキュリティ保護
• Azure 内のスポーク仮想ネットワーク
• Azure 内のハブ仮想ネットワーク
• Azure PaaS サービスを使用したスポークバーチャル ネットワーク
• Azure バーチャル WAN

関連情報

この記事でメンションされているさまざまなサービスとテクノロジについては、次のリンクを参照してください。

• Azure Virtual Network IP サービス
• Azure NAT Gateway
• Azure Load Balancer
• Azure Front Door
• Azure Application Gateway
• Azure Content Delivery Network
• Azure Web アプリケーション ファイアウォール (WAF)
• Azure Private Link
• Azure VPN Gateway