ネットワークのセキュリティ管理
このユニットでは、Azure VMware Solution プライベート クラウドがインターネットに接続できるように、きめ細かい規則を構成する方法について説明します。
既定でブロック
Azure Firewall は、"既定でブロック" という設計で構成されています。 つまり、それを通過するように構成されているネットワーク トラフィックはブロックされます。 ここまでは、Azure VMware Solution プライベート クラウドの Azure Firewall を介して既定のルートを挿入しました。 しかし、Azure Firewall の "既定でブロック" 構成では、いかなるトラフィックも許可されません。 これは、より厳密なネットワーク制御を可能にする、きめ細かい規則を構成するためのベースとなる優れた原則です。
送信ネットワーク規則
"既定でブロック" は優れた原則ですが、正当なトラフィックはこの原則から除外する必要があります。 Azure Firewall によって提供される 2 つの機能のいずれかを使って、正当なトラフィックを "既定でブロック" 構成から除外できます。 最初の機能は、"クラシック規則" または単に "規則" と呼ばれます。その名前が示すように、各 Azure Firewall インスタンスは規則を使って構成され、それはプロトコル、送信元 IP アドレス空間、送信元ポート、送信先 IP アドレス空間、送信先ポートで構成されます。 これは、小規模なデプロイに最適な選択肢です。 ただし、エンタープライズ レベルのデプロイの場合、このアプローチではスケーラビリティが制限されます。規則は Azure Firewall インスタンスごとに定義されるためです。 複数の Azure Firewall インスタンスがある場合、規則を定義するプロセスが繰り返し行われ、管理が困難になります。 ここで、"Azure Firewall ポリシー" を使う 2 つ目の機能が便利になります。 Azure Firewall ポリシーを使う場合、規則は 1 回だけ定義され、複数の Azure Firewall インスタンスに適用されます。
Azure VMware Solution のファイアウォール規則
このユニットでは、"Azure Firewall ポリシー" 機能ではなく "規則" 機能を使います。 ただし、エンタープライズ レベルのデプロイでは、スケーラビリティと管理性が向上するため、"Azure Firewall ポリシー" 機能を使うことをお勧めします。 Azure VMware Solution のファイアウォール規則を定義するには、ワークロード セグメントの IP アドレス空間、プロトコル、ポートを使います。 送信先の種類には、[IP アドレス] を選択します。 送信先アドレス空間には [*] を選択し、送信先ポートには [*] を選択するか、80 や 443 などの特定のポートを選択します。 その他。
