Azure 仮想ネットワーク TAP (ターミナル アクセス ポイント) を使用すると、仮想マシン ネットワークのトラフィックをネットワーク パケット コレクターまたは分析ツールに連続してストリーミングできます。 コレクターまたは分析ツールは、ネットワーク仮想アプライアンス パートナーから提供されています。 仮想ネットワーク TAP を使用できることが検証されたパートナー ソリューションの一覧については、パートナー ソリューションに関するページを参照してください。
重要
仮想ネットワーク TAP は、一部の Azure リージョンでパブリック プレビュー段階になりました。 詳細については、この記事の 「サポートされているリージョン 」セクションを参照してください。
次の図は、仮想ネットワーク TAP のしくみを示しています。 仮想ネットワークにデプロイされている仮想マシンに接続されたネットワーク インターフェイスに TAP 構成を追加できます。 接続先は、監視対象のネットワーク インターフェイスまたは ピアリングされた仮想ネットワークと同じ仮想ネットワーク内の仮想ネットワーク IP アドレスです。 仮想ネットワーク TAP 用のコレクター ソリューションは、高可用性のために Azure 内部ロード バランサーの背後にデプロイできます。
前提条件
仮想ネットワーク TAP を作成する前に、プレビューに登録されたことを示す確認メールが届いていることを確認します。 Azure Resource Manager で作成された 1 つ以上の仮想マシンと、同じ Azure リージョン内の TAP トラフィックを集計するためのパートナー ソリューションが必要です。 仮想ネットワークにパートナー ソリューションがない場合は、パートナー ソリューションのページを参照してデプロイしてください。
同じ仮想ネットワーク TAP リソースを使用して、同じサブスクリプションまたは異なるサブスクリプションの複数のネットワーク インターフェイスからのトラフィックを集計できます。 監視対象のネットワーク インターフェイスが異なるサブスクリプションにある場合、サブスクリプションは同じ Microsoft Entra テナントに関連付けられている必要があります。 さらに、監視対象のネットワーク インターフェイスと TAP トラフィックを集計するための宛先エンドポイントは、同じリージョン内のピアリングされた仮想ネットワーク内に存在できます。 このデプロイ モデルを使用する場合は、仮想ネットワーク TAP を構成する前に仮想ネットワーク ピアリングが有効になっていることを確認してください。
アクセス許可
ネットワーク インターフェイスで TAP 構成を適用するために使用するアカウントには、ネットワーク共同作成者ロール、または次の表に記載されている必要なアクションを実行できるカスタム ロールが割り当てられている必要があります。
| アクション | 名前 |
|---|---|
| Microsoft.Network/virtualNetworkTaps/* | 仮想ネットワーク TAP リソースを作成、更新、読み取り、削除するために必要です |
| Microsoft.Network/networkInterfaces/read | TAP が構成されるネットワーク インターフェイス リソースを読み取るために必要 |
| Microsoft.Network/tapConfigurations/* | ネットワーク インターフェイスで TAP 構成を作成、更新、読み取り、削除するために必要です |
パブリック プレビューの制限事項
プレビュー期間中の制限事項を次に示します。
- 仮想ネットワーク TAP では、ミラーリング ソースとして仮想マシンの (VM) ネットワーク インターフェイスのみがサポートされます。
- 仮想ネットワーク TAP では、ミラー化されたトラフィックの宛先リソースとして、Load Balancer または VM のネットワーク インターフェイスがサポートされます。
- 仮想ネットワークはライブ マイグレーションをサポートしていません。 仮想ネットワーク TAP のソースとして設定された VM では、ライブ マイグレーションが無効になります。
- フローティング IP が有効になっている Standard Load Balancer の背後にある VM は、ミラーリング ソースとして設定できません。
- Basic Load Balancer の背後にある VM をミラーリング ソースとして設定することはできません。
- 仮想ネットワークでは、受信プライベート リンク サービス トラフィックのミラーリングはサポートされていません。
- 暗号化が有効になっている仮想ネットワーク内の VM をミラーリング ソースとして設定することはできません。
- 仮想ネットワーク TAP は IPv6 をサポートしていません。
- VM がソースとして追加または削除されると、VM でネットワークダウンタイム (最大 60 秒) が発生する可能性があります。
サポートされているリージョン
- 東アジア
- 米国中西部
もうすぐです
- 英国南部
- 米国東部
仮想ネットワーク TAP パートナー ソリューション
ネットワーク パケット ブローカー
| パートナー | プロダクト |
|---|---|
| ギガモン | ギガビュー Cloud Suite for Azure |
| Keysight | CloudLens |
セキュリティ分析、ネットワーク/アプリケーションのパフォーマンス管理
| パートナー | プロダクト |
|---|---|
| Darktrace | Darktrace /NETWORK |
| Netscout | Omnis Cyber Intelligence NDR |
| Corelight | Corelight Open NDR プラットフォーム |
| Vectra | Vectra NDR |
| Fortinet | FortiNDR Cloud |
| FortiGate VM | |
| cPacket | cPacket Cloud Suite |
| TrendMicro | Trend Vision One™ のネットワーク セキュリティ |
| Extrahop | Reveal(x) |
| Bitdefender | ネットワーク用 GravityZone 拡張検出および応答 |
| eSentire | eSentire MDR |
| LinkShadow | LinkShadow NDR |
| AttackFence | AttackFence NDR |
| Arista Networks | Arista NDR |
次のステップ
CLI または Azure portal を使用して仮想ネットワーク TAP を作成する方法について説明します。