境界ネットワークPerimeter networks

境界ネットワークにより、クラウド ネットワークと物理的なオンプレミスのデータセンターのネットワークの間で安全な接続が可能になり、また、インターネットの双方向接続も可能になります。Perimeter networks enable secure connectivity between your cloud networks and your on-premises or physical datacenter networks, along with any connectivity to and from the internet. 境界ネットワークは、スクリーン サブネットまたは DMZ と呼ばれることもあります。A perimeter network is sometimes called a demilitarized zone or DMZ.

境界ネットワークを有効にするには、受信パケットは、バック エンド サーバーに到達する前に、セキュア サブネットでホストされているセキュリティ アプライアンスを通過する必要があります。For perimeter networks to be effective, incoming packets must flow through security appliances hosted in secure subnets before reaching back-end servers. 例としては、ファイアウォール、侵入検出システム、侵入防止システムなどがあります。Examples include the firewall, intrusion detection systems, and intrusion prevention systems. ワークロードからインターネットへのパケットも、ネットワークから送信される前に、境界ネットワーク内のセキュリティ アプライアンスを通過する必要があります。Before they leave the network, internet-bound packets from workloads should also flow through the security appliances in the perimeter network. このフローは、ポリシーの適用、検査、監査を目的としています。The purposes of this flow are policy enforcement, inspection, and auditing.

境界ネットワークは、次の Azure の機能とサービスを利用します。Perimeter networks make use of the following Azure features and services:

注意

Azure の参照アーキテクチャには、独自の境界ネットワークを実装するために使用できるサンプル テンプレートが含まれています。Azure reference architectures provide example templates that you can use to implement your own perimeter networks:

通常、中央 IT チームとセキュリティ チームは、境界ネットワークを運用するための要件定義を担当します。Usually, your Central IT team and security teams are responsible for defining requirements for operating your perimeter networks.

ハブ アンド スポーク ネットワーク トポロジの例 図 1:ハブ アンド スポーク ネットワーク トポロジの例Example of a hub and spoke network topology Figure 1: Example of a hub and spoke network topology.

上の図では、インターネットとオンプレミス ネットワークにアクセスする 2 つの境界の適用を実装するハブ アンド スポーク ネットワークの例が示されています。The diagram above shows an example hub and spoke network topology that implements enforcement of two perimeters with access to the internet and an on-premises network. どちらの境界も DMZ ハブに存在します。Both perimeters reside in the DMZ hub. DMZ ハブでは、WAF と Azure Firewall インスタンスからなるファームを複数利用してスポーク仮想ネットワークを保護すると、多数の基幹業務をサポートするよう、インターネットへの境界ネットワークをスケールアップできます。In the DMZ hub, the perimeter network to the internet can scale up to support many lines of business via multiple farms of WAFs and Azure Firewall instances that help protect the spoke virtual networks. ハブは、必要に応じて VPN または Azure ExpressRoute 経由で接続することもできます。The hub also allows for connectivity via VPN or Azure ExpressRoute as needed.

仮想ネットワークVirtual networks

通常、境界ネットワークは複数のサブネットを含む仮想ネットワークを使用して構築され、NVA、WAF、Azure Application Gateway インスタンスを介してインターネットとの間でやりとりされるトラフィックをフィルター処理および検査するさまざまな種類のサービスをホストします。Perimeter networks are typically built using a virtual network with multiple subnets to host the different types of services that filter and inspect traffic to or from the internet via NVAs, WAFs, and Azure Application Gateway instances.

ユーザー定義のルートUser-defined routes

ユーザー定義ルートを使用すると、顧客はファイアウォール、侵入検出システム、侵入防止システム、およびその他の仮想アプライアンスをデプロイでき ます。By using user-defined routes, customers can deploy firewalls, intrusion detection systems, intrusion prevention systems, and other virtual appliances. お客様はこれらのセキュリティ アプライアンスを経由してネットワーク トラフィックをルーティングして、セキュリティ境界ポリシーを適用、監査、検査できます。Customers can then route network traffic through these security appliances for security boundary policy enforcement, auditing, and inspection. ユーザー定義ルートを作成して、特定のカスタム VM、NVA、ロード バランサーをトラフィックが通過することが保証されるようにすることができます。User-defined routes can be created to guarantee that traffic passes through the specified custom VMs, NVAs, and load balancers.

ハブ アンド スポーク ネットワークの例で、スポーク内に存在する仮想マシンによって生成されたトラフィックがハブ内の正しい仮想アプライアンスを通過することが保証されるようにするには、ユーザー定義ルートをスポークのサブネット内で定義することが必要です。In a hub and spoke network example, guaranteeing that traffic generated by virtual machines that reside in the spoke passes through the correct virtual appliances in the hub requires a user-defined route defined in the subnets of the spoke. このルートは、内部ロード バランサーのフロントエンド IP アドレスを次ホップとして設定します。This route sets the front-end IP address of the internal load balancer as the next hop. 内部ロード バランサーは、内部トラフィックを仮想アプライアンス (ロード バランサーのバックエンド プール) に分散させます。The internal load balancer distributes the internal traffic to the virtual appliances (load balancer back-end pool).

Azure FirewallAzure Firewall

Azure Firewall とは、Azure Virtual Network リソースの保護に役立つクラウドベースのマネージド サービスです。Azure Firewall is a managed cloud-based service that helps protect your Azure Virtual Network resources. これは、組み込みの高可用性とクラウドによる無制限のスケーラビリティを備えた、完全にステートフルなマネージド ファイアウォールです。It's a fully stateful managed firewall with built-in high availability and unrestricted cloud scalability. サブスクリプションと仮想ネットワークをまたいでアプリケーションとネットワークの接続ポリシーを一元的に作成、適用、記録できます。You can centrally create, enforce, and log application and network connectivity policies across subscriptions and virtual networks.

Azure Firewall では、仮想ネットワーク リソースに静的パブリック IP アドレスが使用されます。Azure Firewall uses a static public IP address for your virtual network resources. これにより、仮想ネットワークから送信されるトラフィックを外部のファイアウォールで識別できます。It allows outside firewalls to identify traffic that originates from your virtual network. サービスはログ記録と分析を行うために Azure Monitor と相互運用されます。The service interoperates with Azure Monitor for logging and analytics.

ネットワーク仮想アプライアンスNetwork virtual appliances

インターネットにアクセスする境界ネットワークは、通常、Azure Firewall インスタンスあるいはファイアウォールまたは Web アプリケーション ファイアウォールのファームによって管理されます。Perimeter networks with access to the internet are typically managed through an Azure Firewall instance or a farm of firewalls or web application firewalls.

一般に、さまざまな基幹業務で多くの Web アプリケーションが使用されます。Different lines of business commonly use many web applications. これらのアプリケーションは、さまざまな脆弱性や潜在的な悪用の影響を受ける傾向があります。These applications tend to suffer from various vulnerabilities and potential exploits. Web アプリケーション ファイアウォールでは、Web アプリケーション (HTTP/S) に対する攻撃が汎用ファイアウォールよりも詳細に検出されます。A Web Application Firewall detects attacks against web applications (HTTP/S) in more depth than a generic firewall. 従来のファイアウォール テクノロジと比較すると、Web アプリケーション ファイアウォールは脅威から内部 Web サーバーを保護するのに役立つ特定の機能セットを備えています。Compared with tradition firewall technology, web application firewalls have a set of specific features to help protect internal web servers from threats.

Azure Firewall と "ネットワーク仮想アプライアンス" (NVA) ファイアウォールでは共通管理プレーンが使用され、一連のセキュリティ規則により、スポークでホストされているワークロードが保護され、オンプレミスのネットワークへのアクセスを制御するのに役立ちます。An Azure Firewall instance and a [network virtual appliance][NVA] firewall use a common administration plane with a set of security rules to help protect the workloads hosted in the spokes and control access to on-premises networks. Azure Firewall にはスケーラビリティが組み込まれているのに対して、NVA ファイアウォールはロード バランサーの背後で手動でスケーリングできます。Azure Firewall has built-in scalability, whereas NVA firewalls can be manually scaled behind a load balancer.

ファイアウォール ファームは一般的に、WAF ほど特化したソフトウェアではありませんが、エグレスおよびイングレスのあらゆる種類のトラフィックをフィルター処理して検査する、より広範なアプリケーション スコープを備えています。A firewall farm typically has less specialized software compared with a WAF, but it has a broader application scope to filter and inspect any type of traffic in egress and ingress. NVA アプローチを使用する場合は、Azure Marketplace からソフトウェアを検索してデプロイできます。If you use an NVA approach, you can find and deploy the software from the Azure Marketplace.

インターネットから送信されるトラフィックとオンプレミスから送信されるトラフィックには、それぞれ異なる Azure Firewall インスタンス (または NVA) のセットを使用してください。Use one set of Azure Firewall instances (or NVAs) for traffic that originates on the internet and another set for traffic that originates on-premises. 両方にファイアウォールの同じセットを使用すると、2 つのネットワーク トラフィック セットの間にセキュリティ境界が提供されないため、セキュリティ リスクになります。Using only one set of firewalls for both is a security risk because it provides no security perimeter between the two sets of network traffic. 個別のファイアウォール レイヤーを使用すると、セキュリティ規則のチェックの複雑さが軽減され、規則と受信ネットワーク要求の対応が明確になります。Using separate firewall layers reduces the complexity of checking security rules and makes clear which rules correspond to which incoming network requests.

Azure Load BalancerAzure Load Balancer

Azure Load Balancer が提供する高可用性レイヤー 4 (TCP/UDP) サービスは、負荷分散セットで定義されているサービス インスタンス間に受信トラフィックを分散できます。Azure Load Balancer offers a high-availability Layer 4 (TCP/UDP) service, which can distribute incoming traffic among service instances defined in a load-balanced set. フロントエンド エンドポイント (パブリック IP エンドポイントまたはプライベート IP エンドポイント) からロード バランサーに送信されたトラフィックは、アドレス変換をして、またはしないで、バックエンド IP アドレスのプール (NVA または VM など) に再配信できます。Traffic sent to the load balancer from front-end endpoints (public IP endpoints or private IP endpoints) can be redistributed with or without address translation to a pool of back-end IP addresses (such as NVAs or VMs).

Azure Load Balancer では、さまざまなサーバー インスタンスの正常性をプローブすることもできます。Azure Load Balancer can also probe the health of the various server instances. インスタンスがプローブに応答しない場合、ロード バランサーは異常なインスタンスへのトラフィックの送信を停止します。When an instance fails to respond to a probe, the load balancer stops sending traffic to the unhealthy instance.

ハブ アンド スポーク ネットワーク トポロジを使用する例としては、ハブとスポークの両方に外部ロード バランサーをデプロイできます。As an example of using a hub and spoke network topology, you can deploy an external load balancer to both the hub and the spokes. ハブでは、ロード バランサーによってスポーク内のサービスにトラフィックが効率的にルーティングされます。In the hub, the load balancer efficiently routes traffic to services in the spokes. スポークでは、ロード バランサーによってアプリケーション トラフィックが管理されます。In the spokes, load balancers manage application traffic.

Azure Front DoorAzure Front Door

Azure Front Door は、Microsoft による高可用性かつスケーラブルな Web アプリケーション アクセラレーション プラットフォームとグローバル HTTPS ロード バランサーです。Azure Front Door is Microsoft's highly available and scalable web application acceleration platform and global HTTPS load balancer. Azure Front Door を使用し、動的 Web アプリケーションと静的コンテンツを構築、運用、スケールアウトできます。You can use Azure Front Door to build, operate, and scale out your dynamic web application and static content. Microsoft のグローバル ネットワークのエッジにある 100 を超える場所で実行されます。It runs in more than 100 locations at the edge of Microsoft's global network.

Azure Front Door サービスから、リージョナル/スタンプ メンテナンス自動化、BCDR 自動化、統合クライアント/ユーザー情報、キャッシュ、サービス分析情報がアプリケーションに提供されます。Azure Front Door provides your application with unified regional/stamp maintenance automation, BCDR automation, unified client/user information, caching, and service insights. プラットフォームからは、パフォーマンス、信頼性、サポート SLA が提供されます。The platform offers performance, reliability, and support SLAs. また、コンプライアンス認定資格と、Azure でネイティブに開発、運用、サポートされる監査可能なセキュリティ プラクティスが提供されます。It also offers compliance certifications and auditable security practices that are developed, operated, and supported natively by Azure.

Azure Application GatewayAzure Application Gateway

Azure Application Gateway とは、マネージド アプリケーション配信コントローラーを提供する専用の仮想アプライアンスです。Azure Application Gateway is a dedicated virtual appliance that provides a managed application delivery controller. これは、レイヤー 7 のさまざまな負荷分散機能をお客様のアプリケーションに提供します。It offers various Layer 7 load-balancing capabilities for your application.

CPU 負荷の高い SSL ターミネーションを Azure Application Gateway にオフロードすることによって、Web ファームの生産性を最大限に高めることができます。Azure Application Gateway allows you to optimize web farm productivity by offloading CPU-intensive SSL termination to the application gateway. また、着信トラフィックのラウンド ロビン分散、Cookie ベースのセッション アフィニティ、URL パス ベースのルーティング、単一のアプリケーション ゲートウェイの背後で複数の Web サイトをホストする機能など、レイヤー 7 のその他のルーティング機能も用意されています。It also provides other Layer 7 routing capabilities, including round-robin distribution of incoming traffic, cookie-based session affinity, URL path-based routing, and the ability to host multiple websites behind a single application gateway.

Azure Application Gateway の WAF SKU には、Web アプリケーション ファイアウォールが含まれています。The Azure Application Gateway WAF SKU includes a Web Application Firewall. この SKU は、一般的な Web の脆弱性や悪用から Web アプリケーションを保護します。This SKU provides protection to web applications from common web vulnerabilities and exploits. Azure Application Gateway は、インターネットに接続するゲートウェイ、内部のみのゲートウェイ、あるいは両方の組み合わせとして構成できます。You can configure Azure Application Gateway as an internet-facing gateway, an internal-only gateway, or a combination of both.

パブリック IPPublic IPs

Azure の一部の機能を使用して、インターネットからリソースにアクセスできるように、サービス エンドポイントをパブリック IP アドレスに関連付けることができます。With some Azure features, you can associate service endpoints to a public IP address so that your resource can be accessed from the internet. このエンドポイントでは、ネットワーク アドレス変換 (NAT) を使用して、Azure Virtual Network 上の内部アドレスとポートにトラフィックをルーティングします。This endpoint uses network address translation (NAT) to route traffic to the internal address and port on the Azure Virtual Network. これは、外部トラフィックが仮想ネットワークに到達するための主な経路です。This path is the primary way for external traffic to pass into the virtual network. パブリック IP アドレスを構成すると、仮想ネットワークに渡されるトラフィックと、そのトラフィックが仮想ネットワークのどこでどのように変換されるのかを決定できます。You can configure public IP addresses to determine what traffic is passed in, and how and where it's translated onto the virtual network.

Azure DDoS Protection StandardAzure DDoS Protection Standard

Azure DDoS Protection Standard は、Basic サービス レベルに加えて、特に Azure Virtual Network リソースに対してチューニングされた追加の軽減機能を提供します。Azure DDoS Protection Standard provides additional mitigation capabilities over the basic service tier that are tuned specifically to Azure Virtual Network resources. DDoS Protection Standard の有効化は簡単であり、アプリケーションの変更は不要です。DDoS protection standard is simple to enable and requires no application changes.

保護ポリシーは、専用のトラフィック監視や機械学習アルゴリズムによってチューニングできます。You can tune protection policies through dedicated traffic monitoring and machine-learning algorithms. ポリシーは、仮想ネットワークにデプロイされたリソースに関連付けられているパブリック IP アドレスに適用されます。Policies are applied to public IP addresses associated to resources deployed in virtual networks. 例として、Azure Load Balancer、Application Gateway、および Service Fabric のインスタンスがあります。Examples include Azure Load Balancer, Application Gateway, and Service Fabric instances.

攻撃中および履歴目的の両方で使用するために、Azure Monitor ビューからリアルタイムのテレメトリを使用できます。Real-time telemetry is available through Azure Monitor views both during an attack and for historical purposes. アプリケーション層の保護は、Azure Application Gateway の Web アプリケーション ファイアウォールを使用することによって追加できます。You can add application-layer protection by using the Web Application Firewall in Azure Application Gateway. IPv4 の Azure パブリック IP アドレスに対して保護が提供されます。Protection is provided for IPv4 Azure public IP addresses.