Azure 仮想ネットワーク暗号化とは?

Azure 仮想ネットワーク暗号化は、Azure 仮想ネットワークの機能です。 仮想ネットワーク暗号化を使用すると、Azure 仮想マシン間のトラフィックをシームレスに暗号化および復号化できます。

Azure のお客様のトラフィックがデータセンター間を移動するたびに、Microsoft は IEEE 802.1AE MAC セキュリティ標準 (MACsec) を使用してデータリンク レイヤー暗号化の方法を適用します。 この暗号化は、Microsoft や Microsoft の代理によって制御されていない物理的な境界外のトラフィックをセキュリティで保護するために実装されています。 この方法は、基盤のネットワーク ハードウェア全体におけるポイントツーポイントで適用されています。 仮想ネットワーク暗号化を使用すると、同じ仮想ネットワーク内の仮想マシンと仮想マシン スケール セット間のトラフィックを暗号化できます。 また、リージョンとグローバルでピアリングされた仮想ネットワーク間のトラフィックも暗号化されます。 仮想ネットワーク暗号化により、Azure の既存の転送中の暗号化機能が強化されます。

Azure の暗号化の詳細については、「Azure 暗号化の概要」を参照してください。

要件

仮想ネットワーク暗号化には、次の要件があります。

• 仮想ネットワーク暗号化は、次を含む汎用およびメモリ最適化 VM インスタンス サイズでサポートされています。

  Type	VM シリーズ	VM の SKU
  汎用ワークロード	D シリーズ V4 D シリーズ V5	Dv4 シリーズと Dsv4 シリーズ Ddv4 シリーズと Ddsv4 シリーズ Dav4 シリーズと Dasv4 シリーズ Dv5 シリーズと Dsv5 シリーズ Ddv5 シリーズと Ddsv5 シリーズ Dlsv5 シリーズと Dldsv5 シリーズ Dasv5 シリーズと Dadsv5 シリーズ
  汎用ワークロードとメモリ集中型ワークロード	E シリーズ V4 E シリーズ V5	Ev4 シリーズと Esv4 シリーズ Edv4 シリーズと Edsv4 シリーズ Eav4 シリーズと Easv4 シリーズ Ev5 シリーズと Esv5 シリーズ Edv5 シリーズと Edsv5 シリーズ Easv5 シリーズと Eadsv5 シリーズ
  ストレージ集中型ワークロード	LSv3	LSv3 シリーズ
  メモリ集中型ワークロード	M シリーズ	Mv2 シリーズ Msv2 および Mdsv2 シリーズの中規模メモリ Msv3 および Mdsv3 中規模メモリ シリーズ

• 高速ネットワークを仮想マシンのネットワーク インターフェイスで有効にする必要があります。 高速ネットワークの詳細については、「高速ネットワークとは?」を参照してください。

• 暗号化は、仮想ネットワーク内の仮想マシン間のトラフィックにのみ適用されます。 トラフィックは、プライベート IP アドレス間で暗号化されます。

• サポートされていない仮想マシンへのトラフィックは暗号化されません。 仮想ネットワーク フロー ログを使用して、仮想マシン間のフロー暗号化を確認します。 詳細については、Virtual Network フロー ログに関する記事を参照してください。

• 仮想ネットワークで暗号化を有効にした後、既存の仮想マシンの開始/停止が必要になります。

可用性

Microsoft Azure Virtual Network 暗号化は、すべての Azure パブリック リージョンで一般提供されています。

制限事項

Azure Virtual Network 暗号化には、次の制限があります。

• PaaS が関係するシナリオでは、PaaS がホストされている仮想マシンによって、仮想ネットワーク暗号化がサポートされているかどうかが決まります。 仮想マシンは、一覧表示されている要件を満たしている必要があります。

• 内部ロード バランサーについては、ロード バランサーの背後にあるすべての仮想マシンは、サポートされている仮想マシン SKU である必要があります。

次のステップ

• Azure 仮想ネットワークの詳細については、「Azure 仮想ネットワークとは?」を参照してください