Azure ネットワーク セキュリティの概要

ネットワーク セキュリティは、ネットワーク トラフィックを制御することで、承認されていないアクセスや攻撃からリソースを保護します。 Azure には、アプリケーションとサービスの接続要件をサポートする堅牢なネットワーク インフラストラクチャが用意されており、すべてのレイヤーでセキュリティ制御が提供されます。

この記事では、Azure の主要なネットワーク セキュリティ機能について説明します。

• ネットワーク アクセス制御
• Azure Firewall
• セキュリティで保護されたリモート アクセスとクロスプレミス接続
• 可用性と負荷分散
• 名前解決
• DDoS 保護
• Azure Front Door
• 監視と脅威の検出

注意

Web ワークロードの場合は、 Azure DDoS Protection と Web アプリケーション ファイアウォール を使用して DDoS 攻撃から保護することをお勧めします。 Web アプリケーション ファイアウォールを備えた Azure Front Door は、ネットワーク レベルの DDoS 攻撃に対するプラットフォーム レベルの保護を提供します。

Azure 仮想ネットワーク

Azure Virtual Network は、Azure のプライベート ネットワークの基本的な構成要素です。 各仮想ネットワークは他の仮想ネットワークから分離されているため、デプロイ内のネットワーク トラフィックに他の Azure ユーザーがアクセスできないようにします。 仮想ネットワークを使用すると、Azure リソースは互い、インターネット、およびオンプレミスネットワークと安全に通信できます。

詳細情報:

• Azure Virtual Network の概要
• 仮想ネットワークを計画する

ネットワーク アクセス制御

ネットワーク アクセス制御では、仮想ネットワーク内の特定のデバイスまたはサブネットとの間の接続を制限します。 目標は、仮想マシンとサービスへのアクセスを承認されたユーザーとデバイスに制限することです。

ネットワーク セキュリティ グループ

ネットワーク セキュリティ グループ (NSG) は、IP アドレスと TCP/UDP プロトコルに基づく基本的なステートフル パケット フィルタリングを提供します。 NSG は、5 タプル (送信元 IP、送信元ポート、宛先 IP、宛先ポート、プロトコル) を使用してアクセスを制御します。

NSG には、管理を簡略化する機能が含まれています。

• 拡張セキュリティ規則: 複数の単純なルールではなく複雑なルールを作成して同じ結果を得る
• サービス タグ: 動的に更新される IP アドレスのグループを表す Microsoft が管理するラベル
• アプリケーション セキュリティ グループ: リソースをアプリケーション グループに整理し、それらのグループに基づいてアクセスを制御する

詳細情報:

• ネットワーク セキュリティ グループ
• ネットワーク セキュリティのベスト プラクティス

サービス エンドポイント

Virtual Network サービス エンドポイントは、直接接続を介して仮想ネットワークのプライベート アドレス空間を Azure サービスに拡張します。 サービス エンドポイントは、Azure バックボーン ネットワーク上のトラフィックを保持し、サポートされているサービスとの通信を仮想ネットワークのみに制限します。

詳細情報:

• 仮想ネットワーク サービス エンドポイント

Azure Private Link

Azure Private Link は、仮想ネットワークから Azure PaaS サービス、顧客所有サービス、または Microsoft パートナー サービスへのプライベート接続を提供します。 Private Link トラフィックは Microsoft Azure バックボーン ネットワーク上に残り、パブリック インターネットへの露出を排除します。

詳細情報:

• Azure Private Link とは
• プライベート エンドポイント

Azure Firewall

Azure Firewall は、クラウド ワークロードに対する脅威保護を提供する、クラウドネイティブでインテリジェントなネットワーク ファイアウォール セキュリティ サービスです。 組み込みの高可用性とクラウドの無制限のスケーラビリティを備えた、完全にステートフルなサービスとしてのファイアウォールです。

Azure Firewall は、次の 3 つの SKU で利用できます。

• Azure Firewall Basic: 中小企業向けのセキュリティの簡素化
• Azure Firewall Standard: Microsoft Cyber Security による L3-L7 フィルタリングおよび脅威インテリジェンス
• Azure Firewall Premium: 迅速な攻撃検出のための署名ベースの IDPS を含む高度な機能

詳細情報:

• Azure Firewall とは
• 適切な Azure Firewall SKU を選択する
• 脅威の検出と保護の概要

セキュリティで保護されたリモート アクセスとクロスプレミス接続

Azure では、Azure リソースを管理し、ハイブリッド IT ソリューションをデプロイするためのセキュリティで保護されたリモート アクセス シナリオがいくつかサポートされています。

ポイント対サイト VPN

ポイント対サイト VPN 接続を使用すると、個々のユーザーが仮想ネットワークへのプライベートでセキュリティで保護された接続を確立できます。 ユーザーは、認証後に Azure の仮想マシンとサービスにアクセスできます。 ポイント対サイト VPN では、次の機能がサポートされます。

• Secure Socket Tunneling Protocol (SSTP): 専用の SSL ベースの VPN プロトコル (Windows デバイス)
• IKEv2 VPN: Standards ベースの IPsec VPN ソリューション (Mac デバイス)
• OpenVPN プロトコル: SSL/TLS ベースの VPN プロトコル (Android、iOS、Windows、Linux、Mac デバイス)

詳細情報:

• ポイント対サイト VPN について
• ポイント対サイト VPN 接続を構成する

サイト間 VPN

サイト間 VPN Gateway 接続により、オンプレミス ネットワークと Azure 仮想ネットワークの間にセキュリティで保護されたクロスプレミス接続が確立されます。 サイト間 VPN では、安全性の高い IPsec トンネル モード VPN プロトコルが使用されます。

VPN Gateway は、サービスの一部が Azure とオンプレミスの両方でホストされるハイブリッド IT シナリオに不可欠です。

詳細情報:

• VPN Gateway について
• サイト間接続を作成する

ExpressRoute

ExpressRoute には、オンプレミス ネットワークと Microsoft クラウド サービス間の専用 WAN リンクが用意されています。 ExpressRoute 接続はパブリック インターネットを経由しないため、セキュリティ、信頼性、速度が向上し、インターネット接続と比較して待機時間が短くなります。

ExpressRoute では、次の機能がサポートされます。

• ExpressRoute Direct: Microsoft グローバル ネットワークへの直接接続
• ExpressRoute Global Reach: ExpressRoute 回線を介したオンプレミス サイト間の接続

詳細情報:

• ExpressRoute の概要
• ExpressRoute 接続モデル

VNet ピアリング

Virtual Network ピアリングは 2 つの Azure 仮想ネットワークを接続し、どちらのネットワーク内のリソースも相互に通信できるようにします。 VNet ピアリングでは、パブリック インターネットをバイパスする Microsoft バックボーン インフラストラクチャが使用されます。 ピアリングでは、同じ Azure リージョン内または異なるリージョン間 (グローバル VNet ピアリング) 間の接続がサポートされます。

詳細情報:

• 仮想ネットワーク ピアリング
• VNet ピアリングを作成する

可用性と負荷分散

負荷分散により、接続が複数のデバイスに分散され、可用性とパフォーマンスが向上します。 Azure には、いくつかの負荷分散オプションが用意されています。

Azure Load Balancer

Azure Load Balancer は、すべての UDP および TCP プロトコルに対して、高パフォーマンスで待機時間の短いレイヤー 4 負荷分散を提供します。 Load Balancer は、構成された規則と正常性プローブに従って、バックエンド インスタンスに受信トラフィックを分散します。

ロード バランサーの機能は次のとおりです。

• 内部および外部の負荷分散シナリオのサポート
• ゾーン冗長性とゾーン展開
• TCP および UDP アプリケーションのサポート
• バックエンド インスタンスの可用性を判断するための正常性プローブ

詳細情報:

• Azure Load Balancer とは
• Standard Load Balancer と可用性ゾーン

Azure Application Gateway

Azure Application Gateway は、Web アプリケーションへのトラフィックを管理する Web トラフィック ロード バランサー (レイヤー 7) です。 Application Gateway は、URI パスやホスト ヘッダーなどの HTTP 要求属性に基づいてルーティングの決定を行います。

Application Gateway の機能は次のとおりです。

• 一元的な保護のための Web アプリケーション ファイアウォール (WAF)
• Web サーバーでの暗号化オーバーヘッドを削減するための TLS 終了
• Cookie ベースのセッション アフィニティ
• URL ベースのコンテンツ ルーティング
• 自動スケールとゾーン冗長性

詳細情報:

• Azure Application Gateway とは
• Application Gateway コンポーネント

Azure Traffic Manager

Azure Traffic Manager は、グローバル Azure リージョン間でサービスにトラフィックを最適に分散する DNS ベースのトラフィック ロード バランサーです。 Traffic Manager は、トラフィック ルーティング方法とエンドポイントの正常性に基づいて、クライアント要求を最も適切なサービス エンドポイントにルーティングすることで、高可用性と応答性を提供します。

Traffic Manager では、優先順位、重み付け、パフォーマンス、地理的、複数値、サブネットのルーティングなど、複数のルーティング方法がサポートされています。

詳細情報:

• Traffic Manager について
• Traffic Manager のルーティング方法

名前解決

セキュリティで保護された名前解決は、すべてのクラウドでホストされるサービスにとって重要です。 侵害された名前解決関数は、悪意のあるサイトに要求をリダイレクトする可能性があります。

Azure DNS

Azure DNS は、Microsoft Azure インフラストラクチャを使用して、高可用性とパフォーマンスの高い名前解決を提供します。 Azure DNS では、次の機能がサポートされます。

• Azure グローバル インフラストラクチャでホストされているパブリック DNS ドメイン
• 仮想ネットワーク内および仮想ネットワーク間での名前解決用のプライベート DNS ゾーン
• プライベート クエリとパブリック クエリで同じドメイン名が異なる方法で解決される、スプリットホライズン DNS シナリオ

詳細情報:

• Azure DNS の概要
• Azure プライベート DNS ゾーン

DDoS 保護

分散型サービス拒否 (DDoS) 攻撃は、アプリケーションをクラウドに移行するお客様にとって最大の可用性とセキュリティの問題の 1 つです。 Azure DDoS Protection は、DDoS 攻撃から Azure リソースを保護します。

Azure DDoS Protection SKU:

• DDoS インフラストラクチャ保護: 追加コストなしですべての Azure プロパティで基本保護が既定で有効になっている
• DDoS ネットワーク保護: アダプティブ チューニング、軽減ポリシー、監視を使用した仮想ネットワーク内のリソースの高度な保護

DDoS ネットワーク保護機能は次のとおりです。

• Azure portal を使用したネイティブ プラットフォームと構成の統合
• 常時トラフィックの監視とリアルタイムの対策
• 軽減策レポートやフロー ログを含む攻撃分析
• アプリケーション トラフィック パターンに基づくアダプティブ チューニング
• データ転送とアプリケーション スケールアウト サービス クレジットを含むコスト保証

詳細情報:

• Azure DDoS Protection の概要
• DDoS Protection の管理

Azure Front Door

Azure Front Door は、Microsoft グローバル エッジ ネットワークを使用してセキュリティで保護された高速でスケーラビリティの高い Web アプリを作成するための、スケーラブルなグローバル エントリ ポイントです。 Front Door では、レイヤー 7 の負荷分散、TLS 終端、URL ベースのルーティング、統合セキュリティが提供されます。

Front Door の機能は次のとおりです。

• インスタント フェールオーバーによるグローバル HTTP 負荷分散
• エッジでの TLS 終了
• URL パスベースのルーティング
• Cookie ベースのセッション アフィニティ
• Web アプリケーション ファイアウォールの保護
• プラットフォーム レベルの DDoS 保護
• バックエンドの配信元を保護するための Private Link 統合

詳細情報:

• Azure Front Door とは何ですか？
• Front Door ルーティング アーキテクチャ

監視と脅威の検出

Azure には、ネットワーク セキュリティを監視し、脅威を検出するためのツールが用意されています。

Azure Network Watcher

Azure Network Watcher には、Azure のネットワークを監視、診断、分析するためのツールが用意されています。

Network Watcher の機能は次のとおりです。

• 接続モニター: Azure リソースとエンドポイント間の接続を監視します
• NSG フロー ログ: ネットワーク セキュリティ グループを通過する IP トラフィックに関する情報をログに記録します
• パケット キャプチャ: 仮想マシンとの間のネットワーク トラフィックをキャプチャします
• VPN のトラブルシューティング: VPN ゲートウェイと接続に関する問題を診断する
• ネットワーク診断: ネットワーク構成を検証し、セキュリティの問題を特定する

詳細情報:

• Azure Network Watcher とは
• Network Watcher の監視の概要

Microsoft Defender for Cloud

Microsoft Defender for Cloud は、Azure リソースのセキュリティに対する可視性と制御を強化することで、脅威の防止、検出、対応を支援します。 Defender for Cloud では、ネットワーク セキュリティに関する推奨事項が提供され、ネットワーク セキュリティ構成が監視され、ネットワークベースの脅威に対するアラートが表示されます。

詳細情報:

• Microsoft Defender for Cloud の概要
• ネットワーク リソースの保護
• 脅威検出の概要

次のステップ

• Azure セキュリティのベスト プラクティスとパターン
• ネットワーク セキュリティのベスト プラクティス
• ID 管理のセキュリティの概要
• 脅威の検出と保護