ハブスポーク ネットワークをセキュリティで保護する

完了

Azure には、組織がクラウド インフラストラクチャをセキュリティで保護するのに役立つ多数のサービスが用意されています。 組織は、新しいネットワークをセキュリティで保護する方法と、使用可能なその他の Azure サービスについて理解する必要があります。

このユニットでは、Azure プラットフォームの安全なネットワークについて調べ、Azure Firewall の概要を確認します。 また、ネットワーク セキュリティ グループを使用して仮想ネットワークをセキュリティで保護する方法についても学習します。

Azure でのセキュリティで保護されたネットワーク設計

Diagram of Azure network infrastructure.

上の図には、Azure ネットワーク インフラストラクチャと、オンプレミス環境、Azure でホストされているリソース、パブリック インターネットをより安全に接続できるようにする方法が示されています。

セキュリティで保護されたネットワークの設計の一環として考慮すべき、次のようないくつかの機能があります。

  • Azure 仮想ネットワーク: 認証されていないアクセスや望ましくないアクセスを防ぐために、Azure 内で環境を論理的に分離することによって、セキュリティの基本レイヤーを提供します。
  • Azure DNS: ドメイン名のホスティング サービス。 Azure DNS は、仮想ネットワーク内のドメイン名を管理および解決するセキュリティで保護されたサービスです。
  • Azure Application Gateway:Web アプリケーション ファイアウォール (WAF) などのアプリケーション配信コントローラーをサービスとして提供する専用の仮想アプライアンス。
  • Azure Traffic Manager:Azure でユーザー トラフィックの分散を制御するサービス。
  • Azure Load Balancer:高可用性とネットワーク パフォーマンスを Azure アプリケーションに提供します。
  • 境界ネットワーク: Azure 仮想ネットワークとインターネットの間で資産をセグメント化します。

さらに、ネットワークのセキュリティ向上のために、ご使用のネットワーク アーキテクチャに次の要素をいくつか組み込むことを検討してください。

  • ネットワーク アクセス制御。 そのような制御により、必要とするユーザーとデバイスからのみ Azure サービスにアクセスできます。
  • 仮想ネットワークのトラフィックを制御するパケット フィルタリング ファイアウォールとしてのネットワーク セキュリティ グループ。
  • インフラストラクチャを介してカスタム ルートを定義し、サービスがインターネット デバイスに確実に接続されないようにするルート制御と強制トンネリング。
  • Azure Marketplace から仮想ネットワーク セキュリティ アプライアンスを有効にする。
  • オンプレミスのネットワークを Azure に安全に拡張するには、専用 WAN リンクに Azure ExpressRoute を使用します。
  • ご使用の Azure サービスに対する脅威の防止、検出、対処のための Microsoft Defender for Cloud。
  • ネットワーク セキュリティ サービスとしての Azure Firewall。

組織にはさまざまなセキュリティ ソリューションがあり、その多くは相互に補完して追加のセキュリティ層を提供します。 組織は、Microsoft が推奨するベスト プラクティスに従う必要があります。 その後、組織の内部セキュリティ要件を満たすために必要な機能を実装します。

ハブスポーク トポロジ用の Azure セキュリティの基本コンポーネント

ネットワーク トラフィックを制御することによって、承認されていないアクセスや攻撃からリソースを確実に保護する必要があります。 ハブスポーク モデルには、実装する必要があるコンポーネントがいくつかあります。

ネットワーク セキュリティ グループ

トポロジ内の各サブネットには、ネットワーク セキュリティ グループが構成されています。 ネットワーク セキュリティ グループにより、トポロジ内の各リソース間のネットワーク トラフィックを許可または拒否するセキュリティ規則が実装されます。

境界ネットワーク

境界ネットワークは、外部トラフィックをルーティングするために、ハブ仮想ネットワークの独自のサブネット内に構成します。 境界ネットワークは、ネットワーク仮想アプライアンスをホストして、ファイアウォールやパケット検査などのセキュリティ機能を提供するように設計されています。 境界ネットワークからの送信トラフィックを仮想アプライアンス経由でルーティングできます。 トラフィックは監視され、セキュリティで保護され、監査されます。

ネットワーク仮想アプライアンス

ネットワーク仮想アプライアンス (NVA) では、受信と送信のすべてのネットワーク トラフィックをチェックすると、セキュリティで保護されたネットワーク境界が提供されます。 その後、ネットワーク セキュリティ規則を満たすトラフィックのみが NVA を通過するようになり、NVA は実質的にファイアウォールとして機能します。

この記事で説明されているいくつかのコンポーネントを Azure Firewall で置き換えて、Azure ネットワーク リソースへのアクセスを制御することができます。 詳細については、Azure Firewall のセクションを参照してください。

Azure ExpressRoute

ExpressRoute により、ハブ仮想ネットワーク内でオンプレミス リソースと Azure ゲートウェイ サブネット間に専用のプライベート WAN リンクが作成されます。 オンプレミス ネットワークと ExpressRoute プロバイダー エッジ ルーターの間に、ネットワーク セキュリティ アプライアンスを追加します。 このアプライアンスにより、仮想ネットワークからの承認されていないトラフィックのフローが制限されます。

Azure Firewall

このネットワーク セキュリティ サービスは Microsoft が管理しています。 接続ポリシーを一元的に管理して適用できるようにすることで、Azure 仮想ネットワークとそのリソースを保護します。 Azure Firewall では、仮想ネットワーク リソースに静的パブリック IP アドレスが使われており、外部のファイアウォールが仮想ネットワーク トラフィックを識別できるようになっています。

Azure Firewall は、完全なステートフル ネットワーク ファイアウォールで、動作状態と、通過するネットワーク接続の特性を追跡します。 Azure Firewall を使用すると、ポリシーの適用によって、すべてのネットワーク通信を一元的に制御できます。 ポリシーは、仮想ネットワーク、リージョン、および Azure サブスクリプションの全体に適用できます。 ハブスポーク トポロジでは、Azure Firewall は通常、ネットワーク経由のトラフィックを完全に制御するためにハブでプロビジョニングされます。

Diagram showing Azure Firewall features.

Azure Firewall の監視は、ファイアウォール ログとアクティビティ ログを確認することで成り立ちます。 Azure Firewall は Azure Monitor ログに統合されているので、完全なログはそこで表示することができます。 一部のログは、Azure portal で表示することもできます。

Screenshot of Azure Monitor Logs.

ログは、Azure ストレージ アカウントに格納したり、Azure Event Hub にストリーミングしたり、Azure Monitor ログに送信したりすることができます。

ネットワーク セキュリティ グループを使用したネットワーク セキュリティ

ネットワーク セキュリティ グループ (NSG) を使用してネットワーク トラフィック規則を適用し、制御します。 仮想ネットワーク内のワークロード間の通信を許可または拒否することによって、アクセスが制御されます。 NSG はルールベースであり、5 タプル メソッドを使用してトラフィックを評価します。 トラフィックが許可または拒否されているか判断するために、NSG では次を使用してトラフィックを評価します。

  • 送信元 IP
  • 送信元ポート
  • 宛先 IP
  • 宛先ポート
  • プロトコル

セキュリティ規則を定義する

NSG のセキュリティ規則では、トラフィック フローの制御を定義するメカニズムが提供されます。 NSG には、既定で一連の規則があります。 これらの規則は削除できませんが、独自のカスタム規則でオーバーライドできます。 既定の規則は次のとおりです。

  • 仮想ネットワークを送信元とし、仮想トラフィックが送信先であるトラフィックは、許可されます。
  • インターネットへの送信トラフィックは許可されますが、受信トラフィックはブロックされます。
  • Azure Load Balancer を使用すると、仮想マシンの正常性またはロール インスタンスをプローブすることができます。

その他のセキュリティの考慮事項

トラフィックをリソース経由でルーティングする方法を制御できることは、講じるべき重要なセキュリティ対策です。 Azure では、他のサービスを提供することで、インフラストラクチャ全体のセキュリティの向上を支援します。

  • アプリケーション セキュリティ グループ:ご使用のアプリケーションにポリシーとセキュリティの一元管理が提供されます。 アプリケーション セキュリティ グループを使用して、モニカーを使用して詳細なネットワーク セキュリティ ポリシーを定義します。 これにより、指定したフローのみが許可されるゼロトラスト アプローチを使用できます。
  • Azure Network Watcher: ネットワーク ログと診断に関する洞察を得ることができます。 Network Watcher を使用すると、Azure ネットワークの正常性とパフォーマンスを把握できます。
  • 仮想ネットワーク サービス エンドポイント:仮想ネットワークのプライベート アドレス空間を拡張して、Azure サービスで使用できるようにします。 エンドポイントを使用すると、Azure リソースへのアクセスを制限できます。
  • Azure DDoS Protection: 帯域幅消費型攻撃、プロトコル攻撃、およびリソース レイヤー攻撃を低減できます。

自分の知識をチェックする

1.

ネットワーク セキュリティ グループは、仮想ネットワーク内のトラフィック フローを制御するのにどのように役立ちますか?

2.

Azure ExpressRoute を使用するとセキュリティの向上にどのように役立ちますか?