ゼロ トラスト モデルは侵害を想定し、制御されていないネットワークから送信されたかのように各要求を検証します。 Azure ネットワーク セキュリティ サービスは、クラウド環境全体のトラフィックを検査、フィルター処理、ログ記録することで、ゼロ トラスト原則を適用する上で重要な役割を果たします。
次の推奨事項は、Azure ネットワーク セキュリティ体制の評価と強化に役立ちます。 各推奨事項は、セキュリティ チェック、そのリスク レベル、および修復手順を説明する詳細なガイドにリンクしています。
ヒント
一部の組織では、これらの推奨事項が書かれたとおりに行われる場合もあれば、独自のビジネス ニーズに基づいて変更を加える場合もあります。 該当する場合は、次のすべてのコントロールを実装することをお勧めします。 これらのパターンとプラクティスは、セキュリティで保護された Azure ネットワーク環境の基盤を提供するのに役立ちます。 このドキュメントには、時間の経過に伴ってさらに多くのコントロールが追加されます。
自動評価
環境の構成に対してこのガイダンスを手動で確認すると、時間がかかり、エラーが発生しやすくなります。 ゼロ トラスト評価では、自動化によってこのプロセスが変換され、これらのセキュリティ構成項目などをテストできます。 詳細については、「ゼロ トラスト評価とは」を参照してください。
Azure DDoS Protection
Azure DDoS Protection は、公開されているリソースを分散型サービス拒否攻撃から保護します。 次の推奨事項では、DDoS 保護が有効であり、適切に監視されていることを確認します。
詳細については、「 Azure DDoS Protection のゼロ トラストに関する推奨事項」を参照してください。
| レコメンデーション | リスク レベル | ユーザーへの影響 | 実装コスト |
|---|---|---|---|
| VNet 内のすべてのパブリック IP アドレスに対して DDoS Protection が有効になっている | High | 低 | 低 |
| DDoS で保護されたパブリック IP に対してメトリックが有効になっている | 中程度 | 低 | 低 |
| DDoS で保護されたパブリック IP に対して診断ログが有効になっている | 中程度 | 低 | 低 |
Azure Firewall
Azure Firewall では、仮想ネットワーク全体で一元化されたネットワーク セキュリティ ポリシーの適用とログ記録が提供されます。 次の推奨事項では、主要な保護機能がアクティブであることを確認します。
詳細については、「 Azure Firewall のゼロ トラストに関する推奨事項」を参照してください。
| レコメンデーション | リスク レベル | ユーザーへの影響 | 実装コスト |
|---|---|---|---|
| VNet 統合ワークロードからの送信トラフィックは、Azure Firewall 経由でルーティングされます | High | 低 | 中程度 |
| Azure Firewall 上で拒否モードとして脅威インテリジェンスが有効化されています | High | 低 | 低 |
| High | 低 | 低 | |
| Azure Firewall で送信 TLS トラフィックの検査が有効になっている | High | 低 | 低 |
| Azure Firewall で診断ログが有効になっている | High | 低 | 低 |
Application Gateway WAF
Application Gateway 上の Azure Web Application Firewall は、Web アプリケーションを一般的な悪用や脆弱性から保護します。 次の推奨事項では、WAF が適切に構成され、監視されていることを確認します。
詳細については、「 Application Gateway WAF のゼロ トラストに関する推奨事項」を参照してください。
| レコメンデーション | リスク レベル | ユーザーへの影響 | 実装コスト |
|---|---|---|---|
| Application Gateway WAF は防止モードで有効になっています | High | 低 | 低 |
| Application Gateway WAF で要求本文の検査が有効になっている | High | 低 | 低 |
| Application Gateway WAF で既定の規則セットが有効になっている | High | 低 | 低 |
| Application Gateway WAF でボット保護規則セットが有効になり、割り当てられる | High | 低 | 低 |
| Application Gateway WAF で HTTP DDoS 保護規則セットが有効になっている | High | 低 | 低 |
| Application Gateway WAF でレート制限が有効になっている | High | 低 | 中程度 |
| Application Gateway WAF で JavaScript チャレンジが有効になっている | 中程度 | 低 | 低 |
| Application Gateway WAF で診断ログが有効になっている | High | 低 | 低 |
Azure Front Door WAF
Front Door 上の Azure Web アプリケーション ファイアウォールは、ネットワーク エッジで Web アプリケーションを保護します。 次の推奨事項では、WAF が適切に構成され、監視されていることを確認します。
詳細については、「 Azure Front Door WAF のゼロ トラストに関する推奨事項」を参照してください。
| レコメンデーション | リスク レベル | ユーザーへの影響 | 実装コスト |
|---|---|---|---|
| Azure Front Door WAF は防止モードで有効になっています | High | 低 | 低 |
| Azure Front Door WAF で要求本文の検査が有効になっている | High | 低 | 低 |
| 既定の規則セットは Azure Front Door WAF で割り当てられます | High | 低 | 低 |
| ボット保護規則セットが有効になっており、Azure Front Door WAF で割り当てられている | High | 低 | 低 |
| Azure Front Door WAF でレート制限が有効になっている | High | 低 | 中程度 |
| Azure Front Door WAF で JavaScript チャレンジが有効になっている | 中程度 | 低 | 低 |
| AZURE Front Door WAF で CAPTCHA チャレンジが有効になっている | 中程度 | 低 | 低 |
| Azure Front Door WAF で診断ログが有効になっている | High | 低 | 低 |