このセクションでは、オンプレミスと Azure の間、および Azure リージョン間で、ネットワーク暗号化を実現するための主な推奨事項について説明します。
設計上の考慮事項
コストと使用可能な帯域幅は、エンドポイント間の暗号化トンネルの長さに反比例します。
Azure Virtual Network 暗号化では、Azure の既存の転送中の暗号化機能を強化し、仮想マシン (VM) と仮想マシン スケール セット間のシームレスなトラフィックの暗号化と暗号化解除を可能にします。
VPN を使用して Azure に接続する場合、インターネット上のトラフィックは IPsec トンネルによって暗号化されます。
プライベート ピアリングで Azure ExpressRoute を使用する場合、現時点ではトラフィックが暗号化されません。
サイトからサイトへのVPN接続を、ExpressRouteのプライベートピアリングを介して構成することができます。
ExpressRoute DirectにMedia Access Control Security (MACsec)暗号化を適用して、ネットワーク暗号化を実現できます。
Azure のトラフィックが (Microsoft または Microsoft の代理によって制御されていない物理的境界の外部で) データセンター間を移動する場合、基になるネットワーク ハードウェア上では MACsec データリンク層暗号化が使用されます。 これは、仮想ネットワーク ピアリング トラフィックに適用されます。
設計の推奨事項
これは暗号化のフローを示す図です。
図 1: 暗号化のフロー。
VPN ゲートウェイを使用してオンプレミスから Azure への VPN 接続を確立すると、トラフィックは IPsec トンネルを通してプロトコル レベルで暗号化されます。 直前の図では、フロー
A
でこの暗号化が示されています。同じ仮想ネットワーク内またはリージョン/グローバルでピアリングされた仮想ネットワーク間でVM間のトラフィックを暗号化する必要がある場合は、仮想ネットワーク暗号化を使用します。
ExpressRoute Direct を使用する際は、組織のルーターと MSEE 間のレイヤー 2 のトラフィックを暗号化するために、MACsec を構成してください。 図では、フロー
B
でこの暗号化が示されています。MACsec がオプションでない Virtual WAN のシナリオ (たとえば、ExpressRoute Direct を使用しない場合) では、Virtual WAN VPN Gateway を使用して、ExpressRoute プライベート ピアリング経由で IPsec トンネルを確立します。 図では、この暗号化がフロー
C
で示されています。Virtual WAN 以外のシナリオで、MACsec がオプションではない場合 (たとえば、ExpressRoute Direct を使用していない場合)、オプションは以下のものだけです。
- パートナーの NVA を使用して、ExpressRoute プライベート ピアリング経由で IPsec トンネルを確立します。
- Microsoft ピアリングを使用して ExpressRoute 経由で VPN トンネルを確立します。
- ExpressRoute プライベート ピアリング経由のサイト間 VPN 接続を構成する能力を評価します。
Azure のネイティブ ソリューション (図のフロー
B
とC
で示されているもの) で要件が満たされない場合は、Azure でパートナーの NVA を使用して、ExpressRoute プライベート ピアリング経由でトラフィックを暗号化します。