Azure Stack Hub ファイアウォールの統合

Azure Stack Hub は、ファイアウォール デバイスを使ってセキュリティで保護することをお勧めします。 ファイアウォールは、分散型サービス拒否 (DDOS) 攻撃に対する防御、侵入検出、コンテンツ検査などに役立ちます。 ただし、これが BLOB、テーブル、キューなどの Azure ストレージ サービスのスループットのボトルネックになる場合もあります。

切断されたデプロイ モードを使用する場合は、AD FS のエンドポイントを発行する必要があります。 詳細については、データ センターの統合の ID に関する記事をご覧ください。

Azure Resource Manager (管理者)、管理者ポータル、Key Vault (管理者) のエンドポイントには、外部発行が必ずしも必要というわけではありません。 たとえば、サービス プロバイダーはインターネットからではなく、ネットワークの内部からのみ Azure Stack Hub を管理することによって、攻撃面を制限できます。

企業組織では、外部のネットワークは既存の企業ネットワークを指定できます。 このシナリオでは、企業ネットワークから Azure Stack Hub を操作するにはエンドポイントを公開する必要があります。

ネットワーク アドレス変換

ネットワーク アドレス変換 (NAT) は、デプロイ仮想マシン (DVM) がデプロイ中に外部リソースやインターネットにアクセスしたり、登録やトラブルシューティング中に緊急回復コンソール (ERCS) の VM や特権エンドポイント (PEP) にアクセスしたりできるようにするために推奨される方法です。

また、外部ネットワークやパブリック VIP におけるパブリック IP アドレスに代わる働きとして NAT を利用することもできます。 ただし、テナントのユーザー エクスペリエンスが制限され、複雑さも増すため、これを行うことは推奨されません。 1 つオプションは、引き続きプール上のユーザー IP ごとに 1 つのパブリック IP が必要な 1 対 1 の NAT です。 もう 1 つのオプションは、ユーザーが使用する可能性のあるすべてのポートのユーザー VIP ごとに NAT 規則が必要な多対 1 の NAT です。

パブリック VIP に NAT を使うことには、いくつか不利な点もあります。

• ソフトウェア定義ネットワーク (SDN) スタックでは、ユーザーが独自のエンドポイントと独自の公開規則を管理するため、ファイアウォール ルールを管理する場合に NAT はオーバーヘッドを増加させます。 ユーザーは Azure Stack Hub オペレーターと連絡をとって、自分の VIP を公開させ、ポート リストを更新する必要があります。
• NAT の使用によりユーザー エクスペリエンスは制限されますが、オペレーターは公開要求を完全に管理できます。
• Azure でのハイブリッド クラウド シナリオの場合、NAT を使うエンドポイントへの VPN トンネルの設定が Azure ではサポートされていないことを考慮します。

SSL インターセプト

現在は、すべての Azure Stack Hub トラフィックで SSL インターセプト (暗号化解除のオフロードなど) を無効にすることをお勧めします。 将来の更新でサポートされた場合は、Azure Stack Hub に対して SSL インターセプトを有効にする方法のガイダンスが提供される予定です。

エッジ ファイアウォール シナリオ

エッジ デプロイでは、エッジ ルーターまたはファイアウォールのすぐ後ろに Azure Stack Hub がデプロイされます。 これらのシナリオでは、ファイアウォールは、アクティブ/アクティブとアクティブ/パッシブの両方のファイアウォール構成がサポートされる場合に、境界より上に配置されること (シナリオ 1)、あるいは、アクティブ/アクティブのファイアウォール構成だけがサポートされる場合に、フェールオーバーに BGP または静的ルーティングを使用する ECMP (Equal Cost Multi Path) に依存して境界デバイスとして機能すること (シナリオ2) が、サポートされています。

パブリックにルーティング可能な IP アドレスは、デプロイ時に、外部ネットワークからのパブリック VIP プールに対して指定されます。 エッジのシナリオでは、セキュリティの目的のために、他のどのネットワークに対しても、パブリックにルーティング可能な IP を使用することは推奨されません。 このシナリオでは、Azure などのパブリック クラウドでのエクスペリエンスのような、完全に自己管理型のクラウドを体験できます。

企業イントラネットまたは境界ネットワークのファイアウォール シナリオ

企業イントラネットまたは境界デプロイでは、Azure Stack Hub のデプロイ先が、マルチゾーン ファイアウォールか、またはエッジ ファイアウォールと内部の企業ネットワーク ファイアウォールとの間になります。 そのトラフィックは、セキュア ゾーン、境界ネットワーク ゾーン (DMZ)、セキュリティ保護なしゾーンに分散されます。

• セキュア ゾーン: これは、ルーティング可能な内部 (または企業) IP アドレスを使用した内部ネットワークです。 セキュア ネットワークは、分割できるほか、ファイアウォール上で NAT を介したインターネット アウトバウンド アクセスを設定することができます。また、通常は、内部ネットワークを介して、データセンター内のどこからでもアクセスすることができます。 Azure Stack Hub のネットワークは、外部ネットワークのパブリック VIP プールを除き、すべてセキュア ゾーンに存在します。
• 境界ゾーン. 通常、境界ネットワークには、Web サーバーなど、外部 (インターネットに公開される) アプリがデプロイされます。 一般的に、DDoS や侵入 (ハッキング) などの攻撃を防ぐためにファイアウォールによって監視され、インターネットからは指定した受信トラフィックが引き続き許可されます。 Azure Stack Hub の中で、DMZ ゾーンに存在する必要があるのは、外部ネットワークのパブリック VIP プールだけです。
• セキュリティ保護なしゾーン これは外部ネットワーク、つまりインターネットです。 セキュリティ保護なしゾーンに Azure Stack Hub をデプロイすることは推奨されません。

詳細情報

Azure Stack Hub のエンドポイントで使用されるポートとプロトコルについて詳しく確認します。

次のステップ

Azure Stack Hub PKI の要件