暗号化要件と Azure VPN ゲートウェイについて
この記事では、Azure 内でクロスプレミスの S2S VPN トンネルと VNet 間接続の両方の暗号化要件を満たすように Azure VPN ゲートウェイを構成する方法について説明します。
Azure VPN 接続のための IKEv1 と IKEv2 について
従来から、IKEv1 接続は Basic SKU に対してのみ許可し、IKEv2 接続は Basic SKU 以外のすべての VPN ゲートウェイ SKU に対して許可してきました。 Basic SKU では 1 つの接続のみが許可され、パフォーマンスなどの他の制限と共に、IKEv1 プロトコルのみをサポートするレガシ デバイスを使用している顧客はエクスペリエンスが制限されました。 IKEv1 プロトコルを使用している顧客のエクスペリエンスを向上させるために、Basic SKU を除くすべての VPN ゲートウェイ SKU に対して IKEv1 接続が許可されるようになりました。 詳細については、VPN ゲートウェイの SKU に関するページを参照してください。 IKEv1 を使う VPN ゲートウェイの場合、メイン モードのキー更新時にトンネルの再接続数が高くなる可能性があることに注意してください。
IKEv1 および IKEv2 接続が同じ VPN ゲートウェイに適用されている場合、これらの 2 つの接続間の転送は自動的に有効になります。
Azure VPNゲートウェイの IPsec/IKE ポリシーのパラメーターについて
IPsec/IKE 標準プロトコルは、幅広い暗号アルゴリズムをさまざまな組み合わせでサポートしています。 暗号化アルゴリズムとパラメーターの特定の組み合わせを要求しない場合、Azure VPN ゲートウェイは一連の既定の提案を使用します。 既定の構成では、幅広いサード パーティ製 VPN デバイスとの相互運用性を最大化できるように、既定のポリシー セットが選択されています。 そのため、ポリシーと提案の数は、使用可能な暗号化アルゴリズムとキーの強度の可能な組み合わせのすべてを網羅できません。
既定のポリシー
Azure VPN ゲートウェイの既定のポリシー セットは、「サイト間 VPN ゲートウェイ接続用の VPN デバイスと IPsec/IKE パラメーターについて」のドキュメントに示されています。
暗号化要件
特定の暗号化アルゴリズムまたはパラメーターを必要とする通信 (通常はコンプライアンスまたはセキュリティの要件のために) では、Azure の既定のポリシー セットではなく、特定の暗号化アルゴリズムとキーの強度を備えたカスタム IPsec/IKE ポリシーを使用するように Azure VPN ゲートウェイを構成できるようになりました。
たとえば、Azure VPN ゲートウェイの IKEv2 メイン モード ポリシーでは Diffie-Hellman グループ 2 (1024 ビット) のみを利用するのに対して、IKE でグループ 14 (2048 ビット)、グループ 24 (2048 ビット MODP グループ)、ECP (楕円曲線グループ) 256 または 384 ビット (それぞれグループ 19 およびグループ 20) などのより強力なグループが使用されるように指定することが必要になる場合があります。 IPsec クイック モード ポリシーにも同じような要件が適用されます。
Azure VPN ゲートウェイでのカスタム IPSEC/IKE ポリシー
Azure VPN ゲートウェイは、接続ごとのカスタム IPsec/IKE ポリシーをサポートします。 次の例のように、サイト間または VNet 間接続の場合、必要なキーの強度を備えた、IPsec および IKE の暗号化アルゴリズムの特定の組み合わせを選択できます。
IPsec/IKE ポリシーを作成し、新規または既存の接続に適用することができます。
ワークフロー
- ほかのハウツー ドキュメントの説明に従って、お使いの接続トポロジー用に仮想ネットワーク、VPN ゲートウェイ、またはローカル ネットワーク ゲートウェイを作成します。
- IPsec/IKE ポリシーを作成します。
- ポリシーは、S2S または VNet 間接続を作成するときに適用できます。
- 接続が既に作成されている場合、既存の接続に対してポリシーを適用または更新することができます。
IPsec/IKE ポリシーに関する FAQ
カスタム IPsec/IKE ポリシーはすべての Azure VPN Gateway SKU でサポートされていますか。
カスタム IPsec/IKE ポリシーは、Basic SKU を除くすべての Azure SKU でサポートされています。
1 つの接続に対してポリシーはいくつ指定できますか。
ある特定の接続に対して指定できるポリシーの組み合わせは 1 つだけです。
接続に対してポリシーを部分的に指定することはできますか (IKE アルゴリズムのみ指定し、IPsec は指定しないなど)。
いいえ。IKE (メイン モード) と IPsec (クイック モード) の両方について、すべてのアルゴリズムとパラメーターを指定する必要があります。 ポリシーを部分的に指定することはできません。
カスタム ポリシーでサポートされるアルゴリズムとキーの強度を教えてください。
次の表は、構成可能なサポートされている暗号アルゴリズムとキーの強度を一覧にしたものです。 各フィールドについて、オプションを 1 つ選択する必要があります。
| IPsec/IKEv2 | [オプション] |
|---|---|
| IKEv2 暗号化 | GCMAES256、GCMAES128、AES256、AES192、AES128 |
| IKEv2 整合性 | SHA384、SHA256、SHA1、MD5 |
| DH グループ | DHGroup24、ECP384、ECP256、DHGroup14、DHGroup2048、DHGroup2、DHGroup1、なし |
| IPsec 暗号化 | GCMAES256、GCMAES192、GCMAES128、AES256、AES192、AES128、DES3、DES、なし |
| IPsec 整合性 | GCMAES256、GCMAES192、GCMAES128、SHA256、SHA1、MD5 |
| PFS グループ | PFS24、ECP384、ECP256、PFS2048、PFS2、PFS1、なし |
| QM SA の有効期間 | (オプション: 指定されていない場合、既定値が使用されます) 秒 (整数: 最小 300/既定値 27,000 秒) キロバイト数 (整数: 最小 1024/既定値 102,400,000 キロバイト) |
| トラフィック セレクター | UsePolicyBasedTrafficSelectors** ($True/$False; Optional、指定されていない場合、既定値は $False) |
| DPD タイムアウト | 秒 (整数: 最小 9、最大 3600、既定値 45 秒) |
ご使用のオンプレミス VPN デバイスの構成は、Azure IPsec/IKE ポリシーで指定した次のアルゴリズムおよびパラメーターと一致している (または含んでいる) 必要があります。
- IKE 暗号化アルゴリズム (メイン モード/フェーズ 1)
- IKE 整合性アルゴリズム (メイン モード/フェーズ 1)
- DH グループ (メイン モード/フェーズ 1)
- IPsec 暗号化アルゴリズム (クイック モード/フェーズ 2)
- IPsec 整合性アルゴリズム (クイック モード/フェーズ 2)
- PFS グループ (クイック モード/フェーズ 2)
- トラフィック セレクター (UsePolicyBasedTrafficSelectors が使用される場合)
- SA の有効期間はローカルの指定のみであり、一致している必要はありません。
IPsec 暗号化アルゴリズム用として GCMAES を使用する場合は、IPsec 整合性のため、同じ GCMAES アルゴリズムとキーの長さを選択する必要があります。たとえば、両方に GCMAES128 を使用します。
アルゴリズムとキーテーブルで次のようにします。
- IKE はメイン モードまたはフェーズ 1 に対応します。
- IPsec はクイック モードまたはフェーズ 2 に対応しています。
- DH グループは、メイン モードまたはフェーズ 1 で使用される Diffie-Hellman グループを指定します。
- PFS グループは、クイック モードまたはフェーズ 2 で使用される Diffie-Hellman グループを指定しました。
IKE メイン モード SA の有効期間は、Azure VPN ゲートウェイで 28,800 秒に固定します。
'UsePolicyBasedTrafficSelectors' は、省略可能な接続に関するパラメーターです。 接続の UsePolicyBasedTrafficSelectors を $True に設定すると、Azure VPN ゲートウェイは、オンプレミスのポリシーベースの VPN ファイアウォールに接続するように構成されます。 PolicyBasedTrafficSelectors を有効にする場合は、オンプレミス ネットワーク (ローカル ネットワーク ゲートウェイ) プレフィックスと Azure Virtual Network プレフィックスのすべての組み合わせに対応するトラフィック セレクターが VPN デバイスに定義されている必要があります (any-to-any は不可)。 Azure VPN Gateway では、Azure VPN Gateway に構成されている内容に関係なく、リモート VPN Gateway によって提案されたトラフィック セレクターが受け入れられます。
たとえば、オンプレミス ネットワークのプレフィックスが 10.1.0.0/16 と 10.2.0.0/16 で、仮想ネットワークのプレフィックスが 192.168.0.0/16 と 172.16.0.0/16 である場合、次のトラフィック セレクターを指定する必要があります。
- 10.1.0.0/16 <====> 192.168.0.0/16
- 10.1.0.0/16 <====> 172.16.0.0/16
- 10.2.0.0/16 <====> 192.168.0.0/16
- 10.2.0.0/16 <====> 172.16.0.0/16
ポリシー ベースのトラフィック セレクターの詳細については、複数のオンプレミスのポリシー ベース VPN デバイスへの接続に関する記事を参照してください。
DPD タイムアウト - Azure VPN ゲートウェイでは、既定値は 45 秒です。 タイムアウトを短い期間に設定すると、IKE によるキー更新がより積極的になり、場合によっては接続が切断されているように見えます。 これは、オンプレミスの場所が VPN ゲートウェイが存在する Azure リージョンから離れている場合や、物理的なリンク条件によってパケット損失が発生する可能性がある場合には望ましくないことがあります。 一般的な推奨事項は、30 から 45 秒間のタイムアウトを設定することです。
詳細については、複数のオンプレミスのポリシーベース VPN デバイスへの接続に関する記事を参照してください。
どの Diffie-Hellman グループがサポートされていますか。
以下の表は、カスタム ポリシーでサポートされている、対応する Diffie-Hellman グループを示したものです。
| Diffie-Hellman グループ | DHGroup | PFSGroup | キーの長さ |
|---|---|---|---|
| 1 | DHGroup1 | PFS1 | 768 ビット MODP |
| 2 | DHGroup2 | PFS2 | 1024 ビット MODP |
| 14 | DHGroup14 DHGroup2048 |
PFS2048 | 2048 ビット MODP |
| 19 | ECP256 | ECP256 | 256 ビット ECP |
| 20 | ECP384 | ECP384 | 384 ビット ECP |
| 24 | DHGroup24 | PFS24 | 2048 ビット MODP |
詳細については、RFC3526 と RFC5114 を参照してください。
Azure VPN Gateway に対する既定の IPsec/IKE ポリシー セットは、カスタム ポリシーによって置き換えられるのでしょうか。
はい。特定の接続に対してカスタム ポリシーが指定されると、Azure VPN Gateway は、IKE イニシエーターと IKE レスポンダーのどちらとして機能する場合も、その接続に対してそのポリシーのみを使用するようになります。
カスタム IPsec/IKE ポリシーを削除した場合、接続は保護されなくなるのですか。
いいえ。接続は引き続き IPsec/IKE によって保護されます。 接続からカスタム ポリシーが削除されると、Azure VPN Gateway は、既定の IPsec/IKE 候補リストに復帰し、オンプレミス VPN デバイスとの間で再度 IKE ハンドシェイクを開始します。
IPsec/IKE ポリシーを追加または更新した場合、VPN 接続は中断されますか。
はい。短時間 (数秒) の中断が生じる可能性があります。Azure VPN Gateway は、既存の接続を破棄します。そのうえで、IKE ハンドシェイクを再開し、新しい暗号アルゴリズムとパラメーターで IPsec トンネルを再度確立します。 中断を最小限に抑えるために、対応するアルゴリズムおよびキーの強度を使ってオンプレミス VPN デバイスが構成されていることを確認してください。
接続ごとに異なるポリシーを使用することはできますか。
はい。 カスタム ポリシーは接続ごとに適用されます。 接続ごとに異なる IPsec/IKE ポリシーを作成して適用することができます。 また、接続の一部に対してカスタム ポリシーを適用することもできます。 それ以外の部分では、Azure の既定の IPsec/IKE ポリシー セットが使用されます。
カスタム ポリシーは VNet 間接続にも使用できますか。
はい。カスタム ポリシーは、IPsec クロスプレミス接続と VNet 間接続のどちらにでも適用できます。
VNet 間接続の両方のリソースに同じポリシーを指定する必要はありますか。
はい。 VNet 間トンネルは、Azure 内の 2 つの接続リソースで構成されます (1 方向につき 1 つ)。 両方の接続リソースに同じポリシーを適用する必要があります。それ以外の場合、VNet 間接続は確立されません。
DPD タイムアウトの既定値は何ですか。 別の DPD タイムアウトを指定できますか。
既定の DPD タイムアウトは 45 秒です。 各 IPsec または VNet 間接続に対して、9 秒から 3600 秒の異なる DPD タイムアウト値を指定できます。
注意
Azure VPN ゲートウェイでは、既定値は 45 秒です。 タイムアウトを短い期間に設定すると、IKE によるキー更新がより積極的になり、場合によっては接続が切断されているように見えます。 これは、オンプレミスの場所が VPN ゲートウェイが存在する Azure リージョンから離れている場合や、物理的なリンク条件によってパケット損失が発生する可能性がある場合には望ましくないことがあります。 一般的な推奨事項は、30 から 45 秒間のタイムアウトを設定することです。
ExpressRoute 接続でカスタム IPsec/IKE ポリシーは機能しますか。
いいえ。 IPsec/IKE ポリシーは、Azure VPN Gateway を介した VNet 間接続と S2S VPN 接続でのみ機能します。
プロトコルの種類 IKEv1 または IKEv2 で接続を作成するにはどうすればよいですか。
IKEv1 接続は、Basic SKU、Standard SKU、およびその他のレガシ SKU を除く、VPN の種類が RouteBased のすべての SKU で作成できます。 接続の作成時に、接続プロトコルの種類として IKEv1 または IKEv2 を指定できます。 接続プロトコルの種類を指定しない場合は、IKEv2 が既定のオプションとして使用されます (該当する場合)。 詳細については、PowerShell コマンドレットのドキュメントを参照してください。 SKU の種類と IKEv1 または IKEv2 のサポートについては、ポリシーベースの VPN デバイスへのゲートウェイの接続に関するページを参照してください。
IKEv1 と IKEv2 の接続間での転送は許可されていますか。
はい。 IKEv1 と IKEv2 の接続間での転送はサポートされています。
VPN の種類が RouteBased の Basic SKU で IKEv1 のサイト間接続を利用できますか。
いいえ。 Basic SKU で、これはサポートされません。
接続の作成後に接続プロトコルの種類を変更できますか (IKEv1 から IKEv2 またはその逆)。
いいえ。 接続が作成されたら、IKEv1 または IKEv2 プロトコルを変更することはできません。 削除し、必要なプロトコルの種類を使用して新しい接続を作成し直す必要があります。
IKEv1 接続が頻繁に再接続される理由
静的ルーティングまたはルート ベースの IKEv1 接続が一定間隔で切断される場合、VPN Gateway がインプレース キー更新をサポートしていないことが原因の可能性があります。 メイン モードがキー更新されると、IKEv1 トンネルが切断され、再接続に最大 5 秒かかります。 メイン モードのネゴシエーション タイムアウト値によって、キー更新の頻度が決まります。 この再接続を防ぐには、インプレース キー更新をサポートする IKEv2 の使用に切り替えます。
接続がランダムに再接続される場合は、トラブルシューティング ガイドに従ってください。
構成についての情報や手順はどこで入手できますか。
詳細や構成手順については、次の記事を参照してください。
- Configure IPsec/IKE policy for S2S or VNet-to-VNet connections - Azure portal (S2S または VNet 間接続の IPsec/IKE ポリシーを構成する - Azure portal)
- Configure IPsec/IKE policy for S2S or VNet-to-VNet connections - Azure PowerShell (S2S または VNet 間接続の IPsec/IKE ポリシーを構成する - Azure PowerShell)
次のステップ
接続にカスタム IPsec/IKE ポリシーを構成する手順については、IPsec/IKE ポリシーの構成に関するページをご覧ください。
UsePolicyBasedTrafficSelectors オプションの詳細については、複数のポリシー ベース VPN デバイスの接続に関するページもご覧ください。