Microsoft Azure のネットワーク セキュリティに関するホワイトペーパーの第 3 版を公開

このポストは、3 月 2 日に投稿された Microsoft Azure Network Security Whitepaper version 3 is now available の翻訳です。

今回更新されたホワイトペーパーでは、お客様が Azure のネイティブなネットワーク セキュリティ機能を使用して情報資産を保護する方法について説明しています。

Microsoft Azure のネットワーク セキュリティに関するホワイトペーパー (第 3 版) の全文はこちらのリンクからダウンロードできます。今回の更新版では 2015 年 1 月時点で利用可能な機能について扱っています。主な内容は下記のとおりです。

お客様のインフラストラクチャをパブリック クラウドで論理的に分離することは、セキュリティを維持するうえでの原則となっています。このため、Azure では分散型の仮想ファイアウォールを使用しています。お客様は論理的に分離された複数のプライベート ネットワークを複数デプロイすることができます。下位レベルで分割されたこのようなネットワークは、通常、次の 2 種類のいずれかに該当します。

• デプロイメント ネットワーク: それぞれのデプロイメントはネットワーク レベルで相互に分離されています。あるデプロイメントの中に存在する複数の VM は、プライベート IP アドレスを使用して相互に通信できます。
• 仮想ネットワーク: 仮想ネットワークは他の仮想ネットワークから分離されています。同一サブスクリプション内に存在する複数のデプロイメントは、同一の仮想ネットワークに配置することができます。この場合、各デプロイメントはプライベート IP アドレスを使用して相互に通信できます。

 

図 1: 仮想ネットワーク トポロジの例。Azure でホストされている分離された多層型 IaaS アプリケーションの例を示しています。

ネットワーク管理者は、これらの分離されたプライベート ネットワークをオンプレミスのプライベート ネットワークと同様に管理することができます。

管理者が Azure のプライベート ネットワークでネットワーク セキュリティを管理するメカニズムは Azure Cloud Access Layer に組み込まれています。この階層は、インターネットに接続されている企業ネットワークの境界部分に相当します。Cloud Access Layer にはファイアウォール、ロード バランサー、およびネットワーク アドレス変換 (NAT) 機能が含まれ、これらの機能はお客様の管理者が管理します。