次の方法で共有

受信と送信のインターネット接続を計画する

この記事では、Azure とパブリック インターネット間の受信接続と送信接続に関する考慮事項と推奨事項を示します。

設計に関する考慮事項

  • Azure Firewall、AzureApplication Gateway 上の Azure Web Application Firewall (WAF)、AzureFront Door などの Azure ネイティブ ネットワーク セキュリティ サービスは、フル マネージドです。 大規模なインフラストラクチャデプロイの運用コストと管理コストと複雑さは発生しません。

  • 組織で Azure 以外のネットワーク仮想アプライアンス (NVA) を使用する場合、またはネイティブ サービスが特定の要件を満たしていない場合は、Azure ランディング ゾーン アーキテクチャはパートナーの NVA と完全に互換性があります。

  • Azure では、仮想マシン (VM) または仮想ネットワーク上のコンピューティング インスタンスに対して、ネットワーク アドレス変換 (NAT) ゲートウェイやロード バランサーなど、インターネットへの直接の送信接続方法がいくつか用意されています。 Azure NAT ゲートウェイ は、運用上最もセットアップが最も簡単であり、Azure で使用できるすべての送信接続方法の中で最もスケーラブルで効率的なオプションであるため、送信接続を有効にする既定として推奨されます。 詳細については、 Azure の送信接続方法に関するページを参照してください。

Azure Firewall 管理 NIC は、もともと強制トンネリングにのみ必要でした。 ただし、この要件は、管理 NIC に依存する新しい Azure Firewall 機能をサポートするように更新されました。 Azure Firewall のドキュメントには、この変更が反映されています。 これらの今後の機能を利用するには、管理 NIC を 有効にして Azure Firewall がデプロイされていることを確認します。 詳細については、「 Azure Firewall Management NIC」を参照してください。

設計に関する推奨事項

  • インターネットへの直接送信接続には、Azure NAT ゲートウェイを使用します。 NAT ゲートウェイは、 スケーラブルでオンデマンドの SNAT を提供する、フル マネージドの回復性の高い NAT サービスです。

    • NAT ゲートウェイは次の目的で使用します。

      • インターネットにトラフィックを送信する動的または大規模なワークロード。
      • 送信接続用の静的で予測可能なパブリック IP アドレス。 NAT ゲートウェイは、最大 16 個のパブリック IP アドレスまたは /28 個のパブリック IP プレフィックスに関連付けることができます。
      • ロード バランサーの送信規則Azure Firewall、または Azure App Service でよく発生する SNAT ポートの枯渇に関する問題の軽減。
      • ネットワーク内のリソースのセキュリティとプライバシー。 送信トラフィックとリターン トラフィックのみが NAT ゲートウェイを通過できます。

  • Azure Firewall を使用して次の管理を行います。

    • インターネットへの Azure 送信トラフィック。
    • HTTP/S 以外の受信接続。
    • 組織で必要な場合は、東西トラフィックのフィルター処理。

  • 管理 NIC を有効にして Azure Firewall をデプロイする

    • AzureFirewallManagementSubnet が事前に作成されていることを確認して、既存の仮想ネットワークを使用する場合のデプロイの問題を回避します。最小サブネット サイズは /26
    • 管理 NIC にパブリック IP アドレスを割り当てます。 この IP により、更新や管理通信など、ファイアウォールの運用タスクが容易になります。
    • 既定では、Azure はシステム指定のルート テーブルを AzureFirewallManagementSubnet に関連付けます。 このテーブルには、インターネットへの既定のルートが含まれており、 ゲートウェイ ルートの伝達を 無効にする必要があります。

  • 次のような高度なファイアウォール機能には 、Azure Firewall Premium を 使用します。

    • トランスポート層セキュリティ (TLS) 検査。
    • ネットワーク侵入検出および防止システム (IDPS)。
    • URL フィルター処理。
    • Web カテゴリ。

Standard および Premium のファイアウォール バージョンの場合、作成プロセス中にファイアウォール管理 NIC を手動で有効にする必要があります。 すべての基本ファイアウォール バージョンとすべてのセキュリティで保護されたハブ ファイアウォールでは、常に管理 NIC が有効になっています。

  • Azure Firewall Manager ではAzure Virtual WAN と通常の仮想ネットワークの両方がサポートされています。 Virtual WAN で Firewall Manager を使用して、Virtual WAN ハブ間またはハブ仮想ネットワーク内に Azure ファイアウォールをデプロイおよび管理します。

  • Azure Firewall ルールで複数の IP アドレスと範囲を一貫して使用する場合は、Azure Firewall で IP グループを 設定します。 Azure Firewall DNAT、ネットワーク、およびアプリケーション規則の IP グループは、Azure リージョンとサブスクリプションにまたがる複数のファイアウォールに対して使用できます。

  • カスタム ユーザー定義ルート (UDR) を使用して、サービスとしての Azure プラットフォーム (PaaS) サービスへの送信接続を管理する場合は、アドレス プレフィックスとして サービス タグ を指定します。 サービス タグは、基になる IP アドレスを自動的に更新して変更を含め、ルート テーブルで Azure プレフィックスを管理するオーバーヘッドを軽減します。

顧客ルート テーブルを AzureFirewallManagementSubnet に関連付けないでください。 カスタム ルート テーブルを管理サブネットに関連付けることで、構成が誤りになり、サービスの中断が発生する可能性があります。 ルート テーブルを関連付ける場合は、サービスの中断を回避するために、インターネットへの既定のルートがあることを確認します。

  • グローバル ネットワーク環境全体のセキュリティ体制を管理するためのグローバル Azure Firewall ポリシーを作成します。 すべての Azure Firewall インスタンスにポリシーを割り当てます。

  • Azure ロールベースのアクセス制御を使用して増分ポリシーをローカル セキュリティ チームに委任することで、細かいポリシーが特定のリージョンの要件を満たせるようにします。

  • インターネットからの受信 HTTP/S トラフィックを保護するために、ランディング ゾーンの仮想ネットワーク内で WAF を使用します。

  • Azure Front Door ポリシーと WAF ポリシーを使用して、ランディング ゾーンへの受信 HTTP/S 接続に対して Azure リージョン全体でグローバル保護を提供します。

  • Azure Front Door と Azure Application Gateway を使用して HTTP/S アプリケーションを保護するには、Azure Front Door で WAF ポリシーを使用します。 Azure Application Gateway をロックダウンして、Azure Front Door からのトラフィックのみを受信します。

  • 受信 HTTP/S 接続にパートナー NVA が必要な場合は、それらを、保護してインターネットに公開するアプリケーションと共に、ランディング ゾーンの仮想ネットワーク内にデプロイします。

  • 送信アクセスの場合は、どのシナリオでも Azure の既定のインターネット送信アクセスを使用しないでください。 既定の送信アクセスで発生する問題は次のとおりです。

    • SNAT ポート枯渇のリスクの増加。
    • 既定では安全ではありません。
    • 既定のアクセス IP に依存することはできません。 これらは顧客が所有していないため、変更される可能性があります。

  • オンライン ランディング ゾーン、またはハブ仮想ネットワークに接続されていないランディング ゾーンには NAT ゲートウェイを使用します。 送信インターネット アクセスを必要とし、Azure Firewall Standard または Premium のセキュリティを必要としないコンピューティング リソース、またはサードパーティの NVA は、オンライン ランディング ゾーンを使用できます。

  • 組織がサービスとしてのソフトウェア (SaaS) セキュリティ プロバイダーを使用して送信接続を保護する場合は、Firewall Manager 内でサポートされているパートナーを構成します。

  • 東西または南北のトラフィック保護とフィルター処理にパートナー NVA を使用する場合:

    • Virtual WAN ネットワーク トポロジの場合は、NVA を別の NVA 仮想ネットワークにデプロイします。 仮想ネットワークをリージョン Virtual WAN ハブと、NVA へのアクセスが必要なランディング ゾーンに接続します。 詳細については、「 シナリオ: NVA を介してトラフィックをルーティングする」を参照してください。
    • 非 Virtual WAN ネットワーク トポロジの場合は、パートナー NVA を中央ハブ仮想ネットワークにデプロイします。

  • VM 管理ポートをインターネットに公開しないでください。 管理タスクの場合:

    • パブリック IP で VM が作成されないようにするには、 Azure Policy を使用します。
    • Azure Bastion を使用してジャンプボックス VM にアクセスします。

  • Azure DDoS Protection 保護プランを使用して、仮想ネットワーク内でホストするパブリック エンドポイントを保護します。

  • オンプレミスの境界ネットワークの概念とアーキテクチャを Azure にレプリケートしないでください。 Azure にも同様のセキュリティ機能がありますが、その実装とアーキテクチャはクラウドに適合しています。

  • Last updated on