Azure Virtual WAN は、ネットワーク、セキュリティ、ルーティングのさまざまな機能をまとめて、1 つの運用インターフェイスを提供するネットワーク サービスです。 これにより、組織はグローバル トランジット ネットワーク アーキテクチャを介してブランチ オフィス、リモート ユーザー、および Azure リソースを接続してセキュリティで保護できます。 ミッション クリティカルな接続のために Virtual WAN をデプロイする場合は、ネットワーク インフラストラクチャと転送中のデータを保護するための包括的なセキュリティ制御を実装する必要があります。
この記事では、Azure Virtual WAN デプロイを最適にセキュリティで保護する方法に関するガイダンスを提供します。
ネットワークのセキュリティ
Virtual WAN のネットワーク セキュリティでは、転送中のデータの保護、オンプレミスリソースとクラウド リソース間の接続のセキュリティ保護、すべてのネットワーク通信に対する適切な暗号化の実装に重点を置いています。 Virtual WAN のハブアンドスポーク アーキテクチャでは、包括的なネットワーク保護を確保するために、トラフィック フロー、暗号化プロトコル、セキュリティで保護された接続オプションを慎重に考慮する必要があります。
Virtual WAN で ExpressRoute 暗号化を有効にする: ExpressRoute トラフィックに Virtual WAN のネイティブ暗号化機能を使用して、オンプレミス ネットワークと Azure 仮想ネットワークの間のデータをセキュリティで保護します。 これにより、トラフィックがパブリック インターネットを通過したり、パブリック IP アドレスを使用したりする必要なく、暗号化されたトランジットが提供されます。 詳細については、「 転送中の暗号化」を参照してください。
セキュリティで保護されたサイト間 VPN 接続を構成する: サイト間接続用の強力な暗号化プロトコルを使用して IPsec VPN 接続を実装します。 Virtual WAN では、優先する暗号化アルゴリズムと認証方法を構成できるカスタム IPsec ポリシーがサポートされています。 詳細については、「 IPsec 接続の既定のポリシー」を参照してください。
リモート ユーザー向けのセキュリティで保護されたポイント対サイト VPN: 証明書ベースまたは Azure Active Directory 認証を使用してユーザー VPN (ポイント対サイト) 接続をデプロイし、セキュリティで保護されたリモート アクセスを提供します。 リモート ユーザー接続を保護するために、適切な暗号化設定とアクセス ポリシーを構成します。 詳細については、「 ユーザー VPN (ポイント対サイト) 接続の作成」を参照してください。
ルーティング ポリシーを使用してネットワークセグメント化を実装する: Virtual WAN のカスタム ルーティング機能を使用して、ネットワークのセグメント化を実装し、異なるネットワーク セグメント間のトラフィック フローを制御します。 ルート テーブルとルーティング ポリシーを構成して、トラフィックが承認された宛先にのみ送信されるようにします。 詳細については、「仮想ハブ ルーティングについて」を参照してください。
トラフィック検査用に Azure Firewall をデプロイする: Virtual WAN ハブで Azure Firewall を構成し、ハブ間、ブランチ間、インターネットにバインドされたトラフィックを含むすべてのネットワーク トラフィックを検査してフィルター処理します。 ルーティング意図とルーティング ポリシーを使用して、包括的なセキュリティ検査のために Azure Firewall 経由でトラフィックを自動的にルーティングします。 詳細については、「 Application Gateway とバックエンド プール間のトラフィックをセキュリティで保護する」を参照してください。
ポイント対サイト VPN の強制トンネリングを有効にする: 検査とポリシーの適用のために、リモート ユーザーから Azure 経由ですべてのインターネットにバインドされたトラフィックをルーティングするように強制トンネリングを構成します。 これにより、リモート ユーザー トラフィックがオンプレミス トラフィックと同じセキュリティ制御の対象になります。 詳細については、「 Virtual WAN ポイント対サイト VPN の強制トンネリングを構成する」を参照してください。
高度なセキュリティのためにネットワーク仮想アプライアンス (NVA) を使用する: Virtual WAN ハブにサードパーティの NVA をデプロイして、次世代のファイアウォール機能と組み合わせた SD-WAN 接続を提供します。 詳細なパケット検査と高度な脅威保護のために NVA 経由でトラフィックを送信するようにルーティング ポリシーを構成します。 詳細については、「 Virtual WAN ハブのネットワーク仮想アプライアンスについて」を参照してください。
ID 管理
Virtual WAN の ID 管理により、承認されたユーザーとサービスのみがネットワーク リソースにアクセスし、Virtual WAN 構成を管理できるようになります。 適切な ID 制御は、機密性の高いネットワーク インフラストラクチャへの不正アクセスを防ぎ、グローバル ネットワーク アーキテクチャの整合性を維持するのに役立ちます。
資格情報管理には Azure Key Vault を使用します。構成ファイルやコードに埋め込む代わりに、VPN 事前共有キー (PSK)、証明書、およびその他の資格情報を Azure Key Vault に安全に格納および管理します。 Virtual WAN のサイト間 VPN 接続は、セキュリティで保護された資格情報ライフサイクル管理のために Azure Key Vault と統合できます。 詳細については、 Azure Key Vault の統合に関するページを参照してください。
ユーザー VPN 用に Azure Active Directory 認証を実装する: ポイント対サイト VPN 接続用に Azure Active Directory 認証を構成し、一元化された ID 管理、条件付きアクセス ポリシー、多要素認証を活用します。 これにより、従来の証明書ベースの認証よりも強力なセキュリティが提供されます。 詳細については、「 ユーザー VPN (ポイント対サイト) 接続の作成」を参照してください。
Virtual WAN 管理にロールベースのアクセス制御 (RBAC) を適用する: Azure RBAC を使用して、Virtual WAN リソースを管理できるユーザーと実行できるアクションを制御します。 ネットワーク インフラストラクチャ管理の最小特権の原則に従うために、適切なロールをユーザーとサービス プリンシパルに割り当てます。
自動化のためにマネージド ID を有効にする: Azure サービスまたはカスタム アプリケーションを使用して Virtual WAN 操作を自動化する場合は、マネージド ID を使用します。 これにより、Azure リソースへの安全なアクセスを提供しながら、コードまたは構成ファイルに資格情報を格納する必要がなくなります。
適切なライフサイクル管理を使用して証明書ベースの認証を構成する: ローテーションや失効などの適切な証明書ライフサイクル管理を使用して、VPN 接続に証明書ベースの認証を実装します。 証明書を安全に保存し、承認されたデバイスにのみ適切に配布されるようにします。 詳細については、ポイントツーサイトの証明書の生成とエクスポートを参照してください。
一元化されたユーザー管理に RADIUS 認証を使用する: RADIUS サーバー認証を実装してユーザー管理を一元化し、既存の ID インフラストラクチャを活用します。 証明書ベースの認証の EAP-TLS や、ユーザー名/パスワード認証の EAP-MSCHAPv2 などの強力なプロトコルを使用して RADIUS 認証を構成します。 詳細については、「 Microsoft Entra ID 認証用に P2S ユーザー VPN ゲートウェイを構成する」を参照してください。
データ保護
Virtual WAN のデータ保護では、すべてのネットワーク トラフィックが適切に暗号化され、暗号化キーが安全に管理されるようにすることに重点を置いています。 Virtual WAN は、転送中と保存時の両方で保護する必要がある機密性の高いネットワーク データと接続情報を処理します。
すべての接続に対して転送中データ暗号化を有効にする: サイト間 VPN、ポイント対サイト VPN、ExpressRoute を含むすべての Virtual WAN 接続の暗号化を構成します。 Virtual WAN では、ネットワーク インフラストラクチャを通過するデータを保護するために、さまざまな暗号化プロトコルと暗号スイートがサポートされています。 詳細については、「 転送中のデータの暗号化」を参照してください。
暗号化キー管理に Azure Key Vault を使用する: Virtual WAN と Azure Key Vault を統合して、VPN 接続に使用される暗号化キー、証明書、シークレットを一元的に管理します。 これにより、すべての暗号化マテリアルの適切なキー ライフサイクル管理、ローテーション、およびアクセス制御が保証されます。 詳細については、「 Azure Key Vault でのキー管理」を参照してください。
資格情報スキャンとセキュリティで保護されたストレージを実装する: 資格情報スキャナーを使用して、コードまたは構成ファイルに誤って格納される可能性のある資格情報を識別します。 検出されたすべての資格情報を Azure Key Vault などのセキュリティで保護された場所に移動して、ネットワーク リソースへの不正アクセスを防ぎます。
強力な暗号化アルゴリズムを構成する: すべての VPN 接続に強力な暗号化アルゴリズムとキー サイズを選択します。 非推奨または脆弱な暗号化プロトコルを避け、暗号化設定を定期的に確認して、現在のセキュリティ標準とコンプライアンス要件を満たしていることを確認します。
ログ記録と脅威の検出
Virtual WAN のログ記録と監視により、ネットワーク アクティビティ、接続の正常性、および潜在的なセキュリティの脅威を可視化できます。 包括的なログ記録を使用すると、異常な動作を検出し、接続の問題のトラブルシューティングを行い、セキュリティ要件への準拠を維持することができます。
Virtual WAN の Azure リソース ログを有効にする: Virtual WAN と関連リソースのリソース ログを構成して、ネットワーク アクティビティ、接続試行、トラフィック フローに関する詳細情報をキャプチャします。 リソース ログは、ExpressRoute 接続と VPN 接続の両方で使用でき、Log Analytics、Event Hubs、またはストレージ アカウントに送信できます。 詳細については、「 リソース ログ」を参照してください。
Azure Monitor を使用して一元的なログ収集を構成する: Azure Monitor を使用して、接続ログ、トラフィック分析、パフォーマンス メトリックなど、Virtual WAN リソースからログを収集して分析します。 Log Analytics ワークスペースを構成して、ログ ストレージを一元化し、複数の Virtual WAN コンポーネント間の相関関係を有効にします。 詳細については、「 Azure Monitor を使用した Virtual WAN の監視」を参照してください。
Virtual WAN 用の Azure Monitor Insights を設定する: Azure Monitor Insights を実装して、Virtual WAN のパフォーマンス、接続状態、ネットワーク トポロジの可視性を強化します。 これにより、Virtual WAN 監視用に特別に設計された事前構築済みのダッシュボードと分析が提供されます。 詳細については、「 Azure Monitor Insights を使用した監視」を参照してください。
接続エラーと異常のアラートを構成する: 接続エラー、パフォーマンスの低下、または異常なトラフィック パターンを管理者に通知するように Azure Monitor アラートを設定します。 潜在的な問題にタイムリーに対応できるように、適切なしきい値と通知チャネルを構成します。
資産管理
Virtual WAN の資産管理により、ネットワーク インフラストラクチャの構成が組織のポリシーとセキュリティ標準に準拠することが保証されます。 適切な資産管理は、デプロイ全体の一貫性を維持し、自動化されたコンプライアンス監視を可能にします。
構成コンプライアンスに Azure Policy を使用する: Azure Policy を実装して、組織のセキュリティ標準に従って Virtual WAN 構成を監視および適用します。 カスタム ポリシーを作成して、暗号化設定、認証方法、およびネットワーク構成がコンプライアンス要件を満たしていることを確認します。 詳細については、 Azure Policy のサポートに関するページを参照してください。
構成ドリフト検出を実装する: Azure Monitor を使用して、Virtual WAN リソースで構成の変更が発生したときにアラートを作成します。 これにより、承認されていない変更を検出し、セキュリティ構成の一貫性を維持できます。
Microsoft Defender for Cloud でのコンプライアンス監視を自動化する: セキュリティのベスト プラクティスとコンプライアンス フレームワークに対して Virtual WAN 構成を継続的に評価するように Microsoft Defender for Cloud を構成します。 提供されている推奨事項を使用して、Virtual WAN デプロイ全体で最適なセキュリティ体制を維持します。
適用に Azure Policy 効果を使用する: Azure Policy の [拒否] 効果と [存在しない場合のデプロイ] 効果を実装して、Virtual WAN リソース間でセキュリティで保護された構成を自動的に適用します。 これにより、準拠していない構成の展開が防止され、一貫したセキュリティ標準が保証されます。
ディザスター リカバリー計画を実装する: 災害発生時のビジネス継続性を確保するために、マルチリージョントポロジとマルチハブ トポロジを設計します。 ローカライズされた障害と致命的な障害の両方から保護するために、リージョン内およびリージョン間で冗長な仮想ハブを実装することを検討してください。 自動フェールオーバー メカニズムを計画し、復旧手順を定期的にテストします。 詳細については、「 Azure Virtual WAN のディザスター リカバリー設計」を参照してください。