従来のエンタープライズ ネットワークは、企業が運営するデータ センターでホストされているアプリケーションやデータへのアクセスをユーザーに強力な境界セキュリティで提供するように設計されています。 しかし、現代の職場では、企業のファイアウォールの外側にあるサービスとデータがますます使用されています。 アプリとサービスがクラウドに移行されました。 ユーザーは、さまざまな職場や個人のデバイスからアクセスする必要があります。
ネットワーク ソリューションは、ゼロ トラストの重要な部分です。 ネットワークの端にあるイングレスとエグレスが許可されていることを確認し、トラフィックで悪意のあるコンテンツを検査します。 組織がネットワークをセグメント化し、アクセスが必要なネットワークのセグメントにのみユーザーを接続できるようにすることで、最小限の特権アクセスと "侵害の想定" の原則をサポートします。
ゼロ トラストとネットワークの統合に関するガイダンス
独立系ソフトウェア ベンダー (ISV) パートナーは、Microsoft のネットワーク ソリューションと統合し、独自のセキュリティの専門知識を活用して製品を強化します。
この記事では、ネットワーク統合パートナーについて説明します。これにより、お客様は、ユーザーのインターネット アクセスを保護するために、使い慣れた、最新の Microsoft 以外のサービスとしてのセキュリティ (SECaaS) オファリングを使用できます。 ISV パートナーになる方法の詳細については、 Microsoft 365 ネットワーク パートナー プログラムを参照してください。
Gateway Load Balancer
ゲートウェイ ロード バランサーは、Microsoft 以外のネットワーク仮想アプライアンス (NVA) を使用した高パフォーマンスおよび高可用性のシナリオに対応した Azure Load Balancer ポートフォリオの製品です。 NVA のデプロイ、スケーリング、管理を簡単に行うことができます。
Virtual WAN
Virtual WAN は、ネットワーク、セキュリティ、ルーティングのさまざまな機能をまとめて、1 つの運用インターフェイスを提供するネットワーク サービスです。 ブランチ (VPN/SD-WAN デバイス)、ユーザー (Azure VPN/OpenVPN/IKEv2 クライアント)、ExpressRoute 回線、仮想ネットワーク用に組み込まれたスケールとパフォーマンスを備えたハブ アンド スポーク アーキテクチャを提供します。 これにより、グローバルトランジットネットワークアーキテクチャが可能になり、クラウドでホストされるネットワーク ハブ により、異なる種類の スポークに分散される可能性のあるエンドポイント間の推移的な接続が可能になります。
Azure Web Application Firewall
Azure Web アプリケーション ファイアウォール (WAF) では、一般的な悪用や脆弱性から Web アプリケーションを一元的に保護します。 WAF は、Azure Application Gateway、Azure Front Door、Microsoft の Azure Content Delivery Network (CDN) サービスを使用してデプロイできます。 Azure CDN の WAF は現在、パブリック プレビュー段階です。
DDOS 保護
Azure DDoS Protection とアプリケーション設計のベスト プラクティスを組み合わせることで、DDoS 攻撃から防御するための強化された DDoS 軽減機能が提供されます。 自動チューニングは、仮想ネットワーク内の特定の Azure リソースを保護するのに役立ちます。 保護は新規または既存の仮想ネットワークで簡単に有効にでき、アプリケーションやリソースを変更する必要はありません。
Azure Firewall Manager
Azure Firewall Manager は、クラウドベースのセキュリティ境界の中央セキュリティ ポリシーとルート管理を提供するセキュリティ管理サービスです。
Azure Firewall Manager と統合されたセキュリティ パートナー プロバイダーにより、お客様は、ユーザーのインターネット アクセスを保護するために、使い慣れた、最高のサービスとしての Microsoft 以外のサービスとしてのセキュリティ (SECaaS) オファリングを使用できます。 お客様は、サポートされているセキュリティ パートナーを使用してハブをセキュリティで保護し、リージョン内の仮想ネットワーク (VNet) またはブランチの場所からインターネット トラフィックをルーティングおよびフィルター処理できます。 ハブを複数の Azure リージョンにデプロイして、インターネット/SaaS アプリケーション トラフィック用のセキュリティ パートナーのオファリングと、セキュリティで保護されたハブ内のプライベート トラフィック用の Azure Firewall を使用して、世界中のどこでも接続とセキュリティを取得できます。
サポートされているセキュリティ パートナーは、Zscaler、Check Point、iboss です。
ソリューションが Microsoft 365 に接続している場合は、 Microsoft 365 ネットワーク パートナー プログラム のガイダンスを使用して、ソリューションが Microsoft 365 ネットワーク接続の原則に従っていることを確認できます。 このプログラムの目的は、お客様の展開における最適な Microsoft 365 接続のための主要な原則への整合を一貫して示す検証済みのパートナー ソリューションを簡単に発見することで、Microsoft 365 の優れたカスタマー エクスペリエンスを促進することです。