Azure Firewall Premium における TLS 検査 を経由したオンプレミス通信の送信元IPアドレスについて

1252 植田 克弥 20 評価のポイント
2024-05-30T02:20:13.3566667+00:00

ExpressRoute Gatewayでオンプレミス環境と接続されたVNetがあり、VNet内にはAzure Firewall Premium がデプロイされており、TLS 検査が有効になっています。オンプレミスの端末からVNet内のあるアプリケーションエンドポイント(Azure Application Gatewayなど)にHTTPSで通信するケースにおいて、必ずAZFWを経由をさせます。(ゲートウェイサブネットUDR:0.0.0.0/0 -> AZFW )

またオンプレミスとAZFW間、AZFWとアプリケーションエンドポイント間はそれぞれHTTPS通信をするための証明書設定がされています。

Azure環境にて実検証させていただきましたが、以下のことが分かりました
①アプリケーションエンドポイントのあるサブネットNSGは、オンプレミス端末のIPアドレスからのアクセス許可ルールが必要である(今回Azure規定ルールはALLDNYでオーバライドし、こちらで明示的に許可ルールを作成しています)

AZFWとアプリケーションエンドポイント間のHTTPS通信において、HTTPSハンドシェイクの送信元IPアドレスはAZFWになると想定しておりました。(AZFWのTLS検査機能により、TLS終端され、アプリケーションエンドポイントへのHTTPS通信のために新たにTLSセッションが構成される。)

なのでアプリケーションエンドポイントのあるサブネットNSGは、AZFWのサブネット範囲を指定すればよいと考えておりました。

質問としては、上記の認識が正しいか含めTLS機能の通信内部処理に関して情報提供いただければと考えております。

Azure
Azure
Microsoft が管理する世界のデータ センター ネットワークを介してアプリケーションとサービスを構築、配置、および管理するインフラストラクチャおよびクラウド コンピューティング プラットフォーム。
410 件の質問
0 件のコメント コメントはありません
{count} 件の投票

お客様の回答

回答は、質問作成者が [承諾された回答] としてマークできます。これは、ユーザーが回答が作成者の問題を解決したことを知るのに役立ちます。