次の方法で共有

ゼロ トラスト原則を適用してネットワーク トラフィックを可視化する

  • [アーティクル]

この記事では、Azure 環境でのネットワークのセグメント化に対するゼロ トラスト原則の適用に関するガイダンスを提供します。 ゼロ トラストの原則を次に示します。

ゼロ トラストの標準 Definition
明示的に検証する 常に利用可能なすべてのデータポイントに基づいて認証および承認してください。
最小限の特権アクセスを使用する ジャスト・イン・タイムおよびジャスト・エナフ・アクセス(JIT/JEA)、リスクベースのアダプティブ・ポリシー、データ保護により、ユーザー・アクセスを制限します。
侵害を前提とする 影響範囲を最小限に抑えるために、アクセスをセグメント化します。 エンドツーエンドの暗号化を検証し、分析を使用して可視性を得て、脅威検出を促進し、防御を強化します。

この原則は、分析を使用して Azure インフラストラクチャ内のネットワーク トラフィックを可視化することで満たされます。

この記事は、Azure ネットワークにゼロ トラストの原則を適用する方法を示す一連の記事の一部です。

この記事で取り上げるネットワーク トラフィックの種類は次のとおりです。

  • 集中型
  • Azure 仮想ネットワーク (VNet) と Azure サービスおよびオンプレミス ネットワーク間のトラフィック フローである East-West トラフィック
  • Azure 環境とインターネット間のトラフィック フローである North-South トラフィック

リファレンス アーキテクチャ

次の図は、オンプレミスと Azure VNet 間、Azure VNet と Azure サービス間、および Azure 環境とインターネット間のトラフィック検査に関する、このゼロ トラスト ガイダンスの参照アーキテクチャを示しています。

参照アーキテクチャと East-West および North-South のトラフィック フローを示す図。

この参照アーキテクチャには次のものが含まれます。

この記事の内容は?

ゼロ トラスト原則は、参照アーキテクチャ全体に適用されます。 次の表では、「侵害を想定する」というゼロ トラスト原則に基づいて、このアーキテクチャ全体にわたるネットワーク トラフィックの可視性を確保するための推奨事項について説明します。

ステップ タスク
1 一元化されたトラフィック検査ポイントを実装する。
2 East-West トラフィックの検査を実装する。
3 North-South トラフィックの検査を実装する。

ステップ 1: 一元化されたトラフィック検査ポイントを実装する

一元化されたトラフィック検査により、ネットワークに出入りするトラフィックを制御および可視化することができます。 ハブとスポーク VNetAzure Virtual WAN は、Azure で最も一般的な 2 つのネットワーク トポロジです。 これらのネットワーク トポロジは、ネットワークの接続方法にまつわるさまざまな機能と特徴を備えています。 どちらの設計でも、ハブ VNet は中央ネットワークであり、ワークロードをハブ VNet からスポーク VNet へのアプリケーションとワークロードに分割するために使用されます。 一元的な検査には、North-South、East-West、またはその両方向に流れるトラフィックが含まれます。

ハブとスポークのトポロジ

ハブ アンド スポーク モデルの特性の 1 つは、VNet がすべてユーザーによって管理されることです。 カスタマーハブ マネージド VNet は、他のスポーク VNet が接続する共有 VNet として機能します。 この一元化された VNet は、通常、次の目的に使用されます。

  • オンプレミス ネットワークへのハイブリッド接続を確立すること。
  • Azure Firewall またはサード パーティのネットワーク仮想アプライアンス (NVA) を使用してトラフィックの検査とセグメント化を行うこと。
  • Azure Application Gateway などのアプリケーション配信サービスの検査を WAF で一元化すること。

このトポロジでは、ハブ VNet 内に Azure Firewall または NVA を配置し、ユーザー定義ルート (UDR) を構成して、スポーク VNet およびオンプレミス ネットワークからハブ VNet へトラフィックを誘導します。 Azure Firewall または NVA は、スポーク仮想ネットワーク間でトラフィックをルーティングするルート エンジンとしても機能します。 カスタマー マネージド VNet ハブ アンド スポーク モデルの最も重要な機能の 1 つは、UDR を使用したトラフィックのきめ細かい制御と、それらのルートのルーティング、セグメント化、伝達を手動で変更できることです。

Azure バーチャル WAN

Azure Virtual WAN は、Azure マネージド ハブ VNet であり、その内部にはすべてのブランチおよびすべてのスポークに出入りするルートの伝達を監視する Route Service インスタンスが含まれています。 これにより、実質的に Any-to-Any 接続が可能になります。

マネージド VNet (マネージド仮想ハブと呼ばれる) との大きな違いの 1 つは、ルーティング制御の細分性がユーザーに対して抽象化されていることです。 主に、次のようなベネフィットがあります。

  • ネイティブの Any-to-Any 接続を使用して簡素化されたルート管理。 トラフィックの分離が必要な場合は、カスタム ルート テーブルや既定のルート テーブル内の静的ルートを手動で構成することができます。
  • ハブ内にデプロイできるのは、仮想ネットワーク ゲートウェイ、Azure Firewall、承認済みの NVA またはソフトウェア定義型 WAN (SD-WAN) デバイスのみです。 DNS や Application Gateway などの一元化されたサービスは、通常のスポーク VNet 上に配置する必要があります。 スポークは、VNet ピアリングを使用して仮想ハブに接続する必要があります。

マネージド VNet は、次の場合に最適です。

  • あらゆる場所との間のトラフィック検査を提供するトランジット接続を必要とする、複数のリージョンにわたる大規模なデプロイ。
  • 30 を超えるブランチ サイトまたは 100 を超えるインターネット プロトコル セキュリティ (IPsec) トンネル。

Virtual WAN の最も優れた機能には、スケーラビリティを備えたルーティング インフラストラクチャと相互接続性が含まれます。 ハブあたり 50 Gbps のスループットや 1,000 個のブランチ サイトなどがスケーラビリティの例として挙げられます。 さらにスケーリングする場合は、複数の仮想ハブを相互接続して、より大きな Virtual WAN メッシュ ネットワークを形成することができます。 Virtual WAN のもう 1 つの利点は、ボタンをクリックするだけでプレフィックスを挿入して、トラフィック検査のためのルーティングを簡素化できることです。

それぞれの設計に独自の長所と短所があります。 予想される将来の成長と管理オーバーヘッドの要件に基づいて、適切な選択を決定する必要があります。

ステップ 2: East-West トラフィックの検査を実装する

East-West トラフィック フローには、VNet 間および VNet からオンプレミスへのトラフィックが含まれます。 East-West 間のトラフィックを検査するには、ハブ仮想ネットワーク内に Azure Firewall または NVA をデプロイすることができます。 これには、検査のためにプライベート トラフィックを Azure Firewall または NVA に誘導する UDR が必要です。 同じ VNet 内では、ネットワーク セキュリティ グループをアクセス制御に利用できますが、検査のためにさらに深いレベルの制御が必要な場合は、ローカル ファイアウォールを使用するか、UDR の利用を介してハブ仮想ネットワーク内の一元化されたファイアウォールを使用することができます。

Azure Virtual WAN を使用すると、仮想ハブ内に Azure Firewall または NVA を配置してルーティングを一元化することができます。 Azure Firewall Manager またはルーティング インテントを利用して、すべてのプライベート トラフィックを検査することができます。 検査をカスタマイズする場合は、仮想ハブ内に Azure Firewall または NVA を配置して、目的のトラフィックを検査することができます。 Virtual WAN 環境でトラフィックを誘導する最も簡単な方法は、プライベート トラフィックのルーティング インテントを有効にすることです。 この機能では、ハブに接続されているすべてのスポークにプライベート アドレス プレフィックス (RFC 1918) をプッシュします。 プライベート IP アドレス宛てのすべてのトラフィックが検査のために仮想ハブに誘導されます。

それぞれの方法には長所と短所があります。 ルーティング インテントを使用することの利点は、UDR 管理の簡素化ですが、接続ごとに検査をカスタマイズすることはできません。 ルーティング インテントまたは Firewall Manager を使用しないことの利点は、検査をカスタマイズできることです。 欠点は、リージョン間のトラフィック検査を実行できないことです。

次の図は、Azure 環境内の East-West トラフィックを示しています。

Azure 環境内の East-West トラフィックを含む参照アーキテクチャを示す図。

Azure 内のネットワーク トラフィックを可視化するために、Microsoft では、VNet に Azure Firewall または NVA を実装することをお勧めしています。 Azure Firewall は、ネットワーク層とアプリケーション層の両方のトラフィックを検査できます。 また、Azure Firewall は、侵入検出および防止システム (IDPS)、トランスポート層セキュリティ (TLS) 検査、URL フィルタリング、Web カテゴリ フィルタリングなどの追加機能も備えています。

Azure ネットワークに Azure Firewall または NVA を 含めることは、侵害を想定するというネットワークのゼロ トラスト原則に準拠するために不可欠です。 データがネットワークを通過するたびに侵害が発生する可能性があることを考えると、宛先に到達することが許可されているトラフィックを理解し、制御することが不可欠です。 Azure Firewall、UDR、ネットワーク セキュリティ グループは、ワークロード間のトラフィックを許可または拒否することで、セキュリティで保護されたトラフィック モデルを実現する上で重要な役割を果たします。

VNet トラフィック フローの詳細を表示するには、VNet フロー ログまたは NSG フロー ログを有効にします。 フロー ログ データは Azure Storage アカウントに格納され、そこからアクセスすることで Azure Traffic Analytics などの視覚化ツールにエクスポートすることができます。 Azure Traffic Analytics を使用すると、不明なトラフィックや不要なトラフィックを見つけたり、トラフィック レベルや帯域幅の使用状況を監視したり、アプリケーションの動作を把握するために特定のトラフィックをフィルター処理したりできます。

ステップ 3: North-South トラフィックの検査を実装する

North-South トラフィックには、通常、プライベート ネットワークとインターネット間のトラフィックが含まれます。 ハブ アンド スポーク トポロジで North-South トラフィックを検査するには、UDR を利用してトラフィックを Azure Firewall インスタンスまたは NVA に誘導することができます。 動的アドバタイズメントでは、BGP をサポートする NVA と Azure Route Server を使用して、インターネットに向かうすべてのトラフィックを VNet から NVA に誘導することができます。

Azure Virtual WAN では、VNet からの North-South トラフィックを仮想ハブ内でサポートされている Azure Firewall または NVA に誘導するために、次の一般的なシナリオを使用することができます。

  • ルーティングインテントまたは Azure Firewall Manager で制御される仮想ハブ内の NVA または Azure Firewall を使用して、North-South トラフィックを誘導します。
  • NVA が仮想ハブ内でサポートされていない場合は、スポーク VNet に NVA をデプロイし、UDR を使用して、検査のためにトラフィックを誘導することができます。 Azure Firewall にも同じことが当てはまります。 あるいは、スポーク内の NVA を仮想ハブと BGP ピアリングして、既定のルート (0.0.0.0/0) をアドバタイズすることもできます。

次の図は、Azure 環境とインターネット間の North-South トラフィックを示しています。

参照アーキテクチャと、Azure 環境とインターネット間の North-South トラフィックを示す図。

Azure には、Azure 環境に出入りするネットワーク トラフィックを可視化できるように設計された次のネットワーク サービスが用意されています。

Azure DDoS Protection

パブリック IP リソースを持つ任意の VNet で Azure DDoS Protection を有効にして、仕掛けられる可能性がある分散型サービス拒否 (DDoS) 攻撃を監視および軽減することができます。 この軽減プロセスでは、DDoS ポリシーで事前定義済みのしきい値に対するトラフィック使用率を分析し、その後、その情報をログに記録して、さらに調査します。 将来のインシデントに備えるために、Azure DDoS Protections は、パブリック IP アドレスとサービスに対してシミュレーションを実行する機能を備えており、DDoS 攻撃中のアプリケーションの回復力と対応能力に関する貴重な分析情報を提供します。

Azure Firewall

Azure Firewall には、ネットワーク トラフィックを監視、監査、分析するためのツールのコレクションが用意されています。

  • ログとメトリック

    Azure Firewall は、Azure Log Analytics ワークスペースと統合することで詳細なログを収集します。 Kusto クエリ言語 (KQL) クエリを使用して、アプリケーション ルールやネットワーク ルールなどの主要なルール カテゴリに関する追加情報を抽出することができます。 また、リソース固有のログを取得することもできます。これにより、スキーマと構造は、ネットワーク レベルから脅威インテリジェンスや IDPS ログに至るまで拡張されます。 詳細については、「Azure Firewall の構造化されたログ」を参照してください。

  • Workbooks

    Azure Firewall には、一定期間内のアクティビティのグラフを使用して収集されたデータを表示するブックが用意されています。 このツールは、複数の Azure Firewall リソースを統一インターフェイスにまとめて、視覚化するのにも役立ちます。 詳細については、「Azure Firewall ブックの使用」を参照してください。

  • ポリシー分析

    Azure Firewall Policy Analytics では、実装したポリシーの概要を提供し、ポリシーの分析情報、ルール分析、トラフィック フロー分析に基づいて、トラフィック パターンや脅威に適応するように、実装されたポリシーを調整および変更します。 詳細については、「Azure Firewall Policy Analytics」を参照してください。

これらの機能により、Azure Firewall は、効果的なネットワーク管理に必要なツールを管理者に提供することで、ネットワーク トラフィックをセキュリティで保護するための堅牢なソリューションであり続けます。

Application Gateway

Application Gateway には、セキュリティ目的でトラフィックを監視、監査、分析するための重要な機能が用意されています。 ログ分析を有効にし、定義済みまたはカスタムの KQL クエリを使用すると、問題の特定に重要な役割を果たす 4xx と 5xx の範囲の HTTP エラー コードを表示することができます。

Application Gateway のアクセス ログは、クライアント IP アドレス、要求 URI、HTTP バージョンなどの主要なセキュリティ関連パラメーターのほか、プロトコル、TLS 暗号スイート、SSL 暗号化がいつ有効になっているかなどの SSL/TLS 固有の構成値に関する重要な分析情報も提供します。

Azure Front Door

Azure Front Door は、エニーキャスト TCP を使用して、最も近いデータセンターのポイント オブ プレゼンス (PoP) にトラフィックをルーティングします。 従来のロード バランサーと同様に、Azure Firewall または NVA を Azure Front Door バックエンド プール (配信元とも呼ばれる) に配置することができます。 唯一の要件は、配信元の IP アドレスがパブリックであることです。

要求を受信するように Azure Front Door を構成すれば、Azure Front Door プロファイルの動作の様子を示すトラフィック レポートが生成されます。 Azure Front Door Premium レベルを使用すると、Open Worldwide Application Security Project (OWASP) ルール、ボット保護ルール、カスタム ルールなどの WAF ルールとの一致を示すセキュリティ レポートも利用できます。

Azure WAF

Azure WAF は、第 7 層のトラフィックを検査する追加のセキュリティ機能であり、特定の層でApplication Gateway と Azure Front Door の両方に対してアクティブ化することができます。 これにより、Azure 内から発信されていないトラフィックに対して追加のセキュリティ レイヤーが提供されます。 OWASP コア ルールの定義を使用して、防止モードと検出モードの両方で WAF を構成することができます。

監視ツール

North-South トラフィック フローを包括的に監視するには、NSG フロー ログ、Azure Traffic Analytics、VNet フロー ログなどのツールを使用して、ネットワークの可視性を高めることができます。

次のステップ

Azure ネットワークへのゼロ トラストの適用の詳細については、以下を参照してください。

関連情報

この記事でメンションされているさまざまなサービスとテクノロジについては、次のリンクを参照してください。