Azure のネットワーク セキュリティの概要Azure network security overview

ネットワーク セキュリティは、ネットワーク トラフィックに制御を適用することにより、リソースを未承認のアクセスや攻撃から保護するプロセスとして定義することが可能でした。Network security could be defined as the process of protecting resources from unauthorized access or attack by applying controls to network traffic. その目的は、正当なトラフィックだけを許可することです。The goal is to ensure that only legitimate traffic is allowed. Azure には、アプリケーションとサービスの接続要件をサポートする堅牢なネットワーク インフラストラクチャが組み込まれています。Azure includes a robust networking infrastructure to support your application and service connectivity requirements. ネットワーク接続は、Azure に配置されているリソース間、オンプレミスのリソースと Azure でホストされているリソース間、インターネットと Azure 間で可能です。Network connectivity is possible between resources located in Azure, between on-premises and Azure hosted resources, and to and from the internet and Azure.

この記事では、Azure がネットワーク セキュリティの領域で提供しているオプションについて説明します。This article covers some of the options that Azure offers in the area of network security. 以下について説明します。You can learn about:

  • Azure のネットワークAzure networking
  • ネットワーク アクセス制御Network access control
  • Azure FirewallAzure Firewall
  • セキュリティで保護されたリモート アクセスとクロスプレミス接続Secure remote access and cross-premises connectivity
  • 可用性Availability
  • 名前解決Name resolution
  • 境界ネットワーク (DMZ) のアーキテクチャPerimeter network (DMZ) architecture
  • Azure の DDoS 保護Azure DDoS protection
  • Azure Front DoorAzure Front Door
  • Traffic ManagerTraffic manager
  • 監視と脅威の検出Monitoring and threat detection

Azure のネットワークAzure networking

Azure では、仮想マシンを Azure Virtual Network に接続する必要があります。Azure requires virtual machines to be connected to an Azure Virtual Network. 仮想ネットワークは、物理的な Azure ネットワーク ファブリック上に構築される論理的な構築物です。A virtual network is a logical construct built on top of the physical Azure network fabric. 各仮想ネットワークは、他のすべての仮想ネットワークから分離されています。Each virtual network is isolated from all other virtual networks. これは、自分のデプロイ内のネットワーク トラフィックに他の Azure ユーザーがアクセスすることを防ぐために役立ちます。This helps ensure that network traffic in your deployments is not accessible to other Azure customers.

詳細情報:Learn more:

ネットワーク アクセス制御Network access control

ネットワーク アクセス制御は、仮想ネットワーク内の特定のデバイスまたはサブネットとの間の接続を制限する機能です。Network access control is the act of limiting connectivity to and from specific devices or subnets within a virtual network. ネットワーク アクセス制御の目的は、承認済みのユーザーとデバイスのみが、仮想マシンとサービスにアクセスできるようにすることです。The goal of network access control is to limit access to your virtual machines and services to approved users and devices. アクセス制御は、仮想マシンやサービスとの間の接続を許可するか、それとも拒否するかの決定に基づいて行われます。Access controls are based on decisions to allow or deny connections to and from your virtual machine or service.

Azure では、次のように、いくつかの種類のネットワーク アクセス制御がサポートされています。Azure supports several types of network access control, such as:

  • ネットワーク層制御Network layer control
  • ルート制御と強制トンネリングRoute control and forced tunneling
  • 仮想ネットワークのセキュリティ アプライアンスVirtual network security appliances

ネットワーク層制御Network layer control

セキュリティで保護されたデプロイにはいずれも、ある程度のネットワーク アクセス制御が必要です。Any secure deployment requires some measure of network access control. ネットワーク アクセス制御の目的は、必要なシステムのみが仮想マシンと通信できるようにすることです。The goal of network access control is to restrict virtual machine communication to the necessary systems. その他の通信試行はブロックされます。Other communication attempts are blocked.

注意

Storage のファイアウォールについては、「Azure Storage のセキュリティの概要」の記事に説明されていますStorage Firewalls are covered in the Azure storage security overview article

ネットワーク セキュリティ規則 (NSG)Network security rules (NSGs)

基本レベルのネットワーク アクセス制御 (IP アドレス、TCP または UDP プロトコルに基づくもの) を必要とする場合には、ネットワーク セキュリティ グループ (NSG) を使用できます。If you need basic network level access control (based on IP address and the TCP or UDP protocols), you can use Network Security Groups (NSGs). NSG とは基本的かつステートフルなパケット フィルタリング ファイアウォールであり、5 タプルに基づいてアクセスを制御します。An NSG is a basic, stateful, packet filtering firewall, and it enables you to control access based on a 5-tuple. NSG には、管理を簡素化し、構成ミスの可能性を低減する機能が含まれます。NSGs include functionality to simplify management and reduce the chances of configuration mistakes:

  • 拡張セキュリティ規則 は、NSG ルールの定義を簡素化し、複数の単純なルールを作成するのではなく、複雑なルールを作成して、同じ結果を達成できます。Augmented security rules simplify NSG rule definition and allow you to create complex rules rather than having to create multiple simple rules to achieve the same result.
  • サービス タグ は、Microsoft が作成した IP アドレスのグループを表すラベルです。Service tags are Microsoft created labels that represent a group of IP addresses. それらは、ラベルへの包含を定義する条件を満たす IP 範囲を含むように動的に更新されます。They update dynamically to include IP ranges that meet the conditions that define inclusion in the label. たとえば、東部リージョンのすべての Azure ストレージに適用されるルールを作成する場合は、Storage.EastUS を使用できます。For example, if you want to create a rule that applies to all Azure storage on the east region you can use Storage.EastUS
  • アプリケーション セキュリティ グループ を使用して、アプリケーション グループにリソースをデプロイし、アプリケーション グループを使用するルールを作成してリソースへのアクセスを制御できます。Application security groups allow you to deploy resources to application groups and control the access to those resources by creating rules that use those application groups. たとえば、'Webservers' アプリケーション グループにデプロイした Web サーバーがある場合は、インターネットから 'Webservers' アプリケーション グループ内のすべてのシステムへの 443 トラフィックを許可する規則を作成して NSG に適用できます。For example, if you have webservers deployed to the 'Webservers' application group you can create a rule that applies a NSG allowing 443 traffic from the Internet to all systems in the 'Webservers' application group.

NSG はアプリケーション層検査も、認証済みのアクセス制御も提供しません。NSGs do not provide application layer inspection or authenticated access controls.

詳細情報:Learn more:

ASC Just In Time VM アクセスASC just in time VM access

Azure セキュリティ センター (ASC) は、VM の NSG を管理し、適切な Azure ロール ベースのアクセス制御 (Azure RBAC) のアクセス許可を持つユーザーがアクセスを要求するまで、VM へのアクセスをロックします。Azure security center can manage the NSGs on VMs and lock access to the VM until a user with the appropriate Azure role-based access control Azure RBAC permissions requests access. ユーザーが正常に承認されると、ASC は、選択されたポートに対して指定された時間にわたってアクセスできるように NSG を変更します。When the user is successfully authorized ASC makes modifications to the NSGs to allow access to selected ports for the time specified. 時間切れになると、NSG は、前のセキュリティで保護された状態に戻ります。When the time expires the NSGs are restored to their previous secured state.

詳細情報:Learn more:

サービス エンドポイントService endpoints

サービス エンドポイントは、トラフィックに制御を適用するための別の方法です。Service endpoints are another way to apply control over your traffic. サポートされているサービスとの通信を、直接接続による VNet だけに制限できます。You can limit communication with supported services to just your VNets over a direct connection. VNet から特定の Azure サービスへのトラフィックは、Microsoft Azure のバックボーン ネットワーク上にとどまります。Traffic from your VNet to the specified Azure service remains on the Microsoft Azure backbone network.

詳細情報:Learn more:

ルート制御と強制トンネリングRoute control and forced tunneling

仮想ネットワークでのルーティング動作を制御する機能はきわめて重要です。The ability to control routing behavior on your virtual networks is critical. ルーティングを正しく構成しないと、仮想マシンでホストされるアプリケーションとサービスが、未承認のデバイスに接続する可能性があります。これには潜在的な攻撃者が所有および操作するシステムが含まれます。If routing is configured incorrectly, applications and services hosted on your virtual machine might connect to unauthorized devices, including systems owned and operated by potential attackers.

Azure ネットワークは、仮想ネットワーク上のネットワーク トラフィックのルーティング動作をカスタマイズする機能をサポートしています。Azure networking supports the ability to customize the routing behavior for network traffic on your virtual networks. これにより、ユーザーは仮想ネットワーク内の既定のルーティング テーブル エントリを変更できます。This enables you to alter the default routing table entries in your virtual network. ルーティング動作を制御すると、特定のデバイス、またはデバイスのグループから仮想ネットワークに出入りするすべてのトラフィックに、特定の場所を経由させる上で役立ちます。Control of routing behavior helps you make sure that all traffic from a certain device or group of devices enters or leaves your virtual network through a specific location.

たとえば、仮想ネットワークに仮想ネットワーク セキュリティ アプライアンスがあるとします。For example, you might have a virtual network security appliance on your virtual network. 仮想ネットワークとの間のすべてのトラフィックに仮想セキュリティ アプライアンスを経由させたいと考えています。You want to make sure that all traffic to and from your virtual network goes through that virtual security appliance. これは、Azure でユーザー定義ルート (UDR) を構成することで実現します。You can do this by configuring User Defined Routes (UDRs) in Azure.

強制トンネリングは、サービスがインターネット上のデバイスとの接続を開始する許可を得られないようにするメカニズムです。Forced tunneling is a mechanism you can use to ensure that your services are not allowed to initiate a connection to devices on the internet. これは、着信接続を受け入れて、それに応答することとは異なることにご注意ください。Note that this is different from accepting incoming connections and then responding to them. フロントエンド Web サーバーは、インターネット ホストからの要求に応答することが必要です。したがって、インターネットからのトラフィックがこれらの Web サーバーに着信することは許可され、Web サーバーが応答することも許可されます。Front-end web servers need to respond to requests from internet hosts, and so internet-sourced traffic is allowed inbound to these web servers and the web servers are allowed to respond.

許可すべきでないのは、フロントエンド Web サーバーが送信要求を開始することです。What you don't want to allow is a front-end web server to initiate an outbound request. そのような要求はセキュリティ リスクになり得ます。これらの接続を使用してマルウェアがダウンロードされる恐れがあるためです。Such requests might represent a security risk because these connections can be used to download malware. これらのフロントエンド サーバーがインターネットに向けて送信要求を開始する必要があるとしても、通常は、それらの要求にオンプレミスの Web プロキシを必ず経由させる必要があります。Even if you do want these front-end servers to initiate outbound requests to the internet, you might want to force them to go through your on-premises web proxies. これにより、URL フィルタリングとログ記録が可能になります。This enables you to take advantage of URL filtering and logging.

別の方法として、強制トンネリングを使用してそれを避けることもできます。Instead, you would want to use forced tunneling to prevent this. 強制トンネリングを有効にすると、インターネットに対するすべての接続はオンプレミス ゲートウェイを必ず経由します。When you enable forced tunneling, all connections to the internet are forced through your on-premises gateway. 強制トンネリングは、UDR を活用して構成できます。You can configure forced tunneling by taking advantage of UDRs.

詳細情報:Learn more:

仮想ネットワークのセキュリティ アプライアンスVirtual network security appliances

NSG、UDR、および強制トンネリングを使用すると、 OSI モデルのネットワーク層とトランスポート層に一定レベルのセキュリティ保護を確保することができますが、場合によっては、ネットワーク層より高いレベルのセキュリティが必要になることもあります。While NSGs, UDRs, and forced tunneling provide you a level of security at the network and transport layers of the OSI model, you might also want to enable security at levels higher than the network.

たとえば、セキュリティ要件に次の事柄が含まれることがあります。For example, your security requirements might include:

  • アプリケーションに対するアクセスを許可する前の認証と承認Authentication and authorization before allowing access to your application
  • 侵入検出と侵入応答Intrusion detection and intrusion response
  • アプリケーション層における上位プロトコルの検査Application layer inspection for high-level protocols
  • URL フィルタリングURL filtering
  • ネットワーク レベルのウイルス対策とマルウェア対策Network level antivirus and Antimalware
  • アンチボット保護Anti-bot protection
  • アプリケーション アクセス制御Application access control
  • 追加の DDoS 保護 (Azure ファブリック自体によって提供される DDoS 保護に追加される保護)Additional DDoS protection (above the DDoS protection provided by the Azure fabric itself)

Azure パートナー ソリューションを使用すれば、これらの拡張ネットワーク セキュリティ機能を利用できます。You can access these enhanced network security features by using an Azure partner solution. 最新の Azure パートナー ネットワーク セキュリティ ソリューションについては、Azure Marketplace にアクセスし、"security" および "network security" を検索すると見つかります。You can find the most current Azure partner network security solutions by visiting the Azure Marketplace, and searching for "security" and "network security."

Azure FirewallAzure Firewall

Azure Firewall は、Azure Virtual Network リソースを保護するクラウドベースのマネージド ネットワーク セキュリティ サービスです。Azure Firewall is a managed, cloud-based network security service that protects your Azure Virtual Network resources. これは、組み込みの高可用性とクラウドによる無制限のスケーラビリティを備えた、完全にステートフルなサービスとしてのファイアウォールです。It is a fully stateful firewall as a service with built-in high availability and unrestricted cloud scalability. 機能の一部を以下に示します。Some features include:

  • 高可用性High availability
  • クラウドのスケーラビリティCloud scalability
  • アプリケーションの FQDN のフィルタリング規則Application FQDN filtering rules
  • ネットワーク トラフィックのフィルタリング規則Network traffic filtering rules

詳細情報:Learn more:

セキュリティで保護されたリモート アクセスとクロスプレミス接続Secure remote access and cross-premises connectivity

Azure リソースのセットアップ、構成、管理は、リモートで実行する必要があります。Setup, configuration, and management of your Azure resources needs to be done remotely. また、オンプレミスと Azure パブリック クラウドの両方にコンポーネントがある ハイブリッド IT ソリューションをデプロイする場合もあります。In addition, you might want to deploy hybrid IT solutions that have components on-premises and in the Azure public cloud. こうしたシナリオの場合、セキュリティで保護されたリモート アクセスが必要になります。These scenarios require secure remote access.

Azure のネットワークは、セキュリティで保護されたリモート アクセスの以下のシナリオをサポートしています。Azure networking supports the following secure remote access scenarios:

  • 個々のワークステーションから仮想ネットワークへの接続Connect individual workstations to a virtual network
  • オンプレミス ネットワークから仮想ネットワークへの VPN による接続Connect your on-premises network to a virtual network with a VPN
  • オンプレミス ネットワークから仮想ネットワークへの専用 WAN リンクによる接続Connect your on-premises network to a virtual network with a dedicated WAN link
  • 仮想ネットワークどうしの接続Connect virtual networks to each other

個々のワークステーションから仮想ネットワークへの接続Connect individual workstations to a virtual network

Azure の仮想マシンとサービスの管理を個々の開発者や運用担当者に許可する必要がある場合があります。You might want to enable individual developers or operations personnel to manage virtual machines and services in Azure. たとえば、仮想ネットワーク上の仮想マシンにアクセスする必要があるとします。For example, let's say you need access to a virtual machine on a virtual network. しかし、セキュリティ ポリシーでは、RDP や SSH を使って個々 の仮想マシンにリモート アクセスすることが許可されていません。But your security policy does not allow RDP or SSH remote access to individual virtual machines. この場合、ポイント対サイト VPN 接続を使用できます。In this case, you can use a point-to-site VPN connection.

ポイント対サイト VPN 接続では、ユーザーと仮想ネットワークの間にセキュリティで保護されたプライベート接続を設定できます。The point-to-site VPN connection enables you to set up a private and secure connection between the user and the virtual network. VPN 接続が確立されると、ユーザーは RDP や SSH を VPN リンク経由で使用して、仮想ネットワーク上の任意の仮想マシンにアクセスできるようになりますWhen the VPN connection is established, the user can RDP or SSH over the VPN link into any virtual machine on the virtual network. (ユーザーが認証可能で、かつ承認済みである場合)。ポイント対サイト VPN は以下をサポートしています。(This assumes that the user can authenticate and is authorized.) Point-to-site VPN supports:

  • Secure Socket トンネリング プロトコル (SSTP)。これは、SSL ベースの独自の VPN プロトコルです。Secure Socket Tunneling Protocol (SSTP), a proprietary SSL-based VPN protocol. SSL VPN ソリューションはファイアウォールを通過できます。これは、ほとんどのファイアウォールで開かれている TCP ポート 443 が TLS/SSL で使用されるためです。An SSL VPN solution can penetrate firewalls, since most firewalls open TCP port 443, which TLS/SSL uses. SSTP は、Windows デバイスでのみサポートされます。SSTP is only supported on Windows devices. Azure では、SSTP を備えたすべてのバージョンの Windows (Windows 7 以降) がサポートされています。Azure supports all versions of Windows that have SSTP (Windows 7 and later).

  • IKEv2 VPN。これは、標準ベースの IPsec VPN ソリューションです。IKEv2 VPN, a standards-based IPsec VPN solution. IKEv2 VPN は、Mac デバイス (OSX バージョン 10.11 以上) から接続する際に使用できます。IKEv2 VPN can be used to connect from Mac devices (OSX versions 10.11 and above).

  • OpenVPNOpenVPN

詳細情報:Learn more:

オンプレミス ネットワークから仮想ネットワークへの VPN による接続Connect your on-premises network to a virtual network with a VPN

組織によっては、企業ネットワークの全体 (またはその一部) を仮想ネットワークに接続するニーズが生じることがあります。You might want to connect your entire corporate network, or portions of it, to a virtual network. このようなニーズは、組織のオンプレミス データセンターを Azure に拡張する、ハイブリッド IT のシナリオでよく生じます。This is common in hybrid IT scenarios, where organizations extend their on-premises datacenter into Azure. 多くの場合は、サービスの一部を Azure でホストし、別の部分をオンプレミスでホストします。In many cases, organizations host parts of a service in Azure, and parts on-premises. この方法はたとえば、フロント エンドの Web サーバーが Azure 上にあり、バックエンドのデータベースがオンプレミス上にあるソリューションなどで使用されます。For example,they might do so when a solution includes front-end web servers in Azure and back-end databases on-premises. このような "プレミス横断型" の接続を使用すると、Azure 上にあるリソースの管理もより安全に行えるようになり、Active Directory ドメイン コントローラーを Azure に拡張するシナリオなどにも対応可能になります。These types of "cross-premises" connections also make management of Azure located resources more secure, and enable scenarios such as extending Active Directory domain controllers into Azure.

この接続を実現する 1 つの方法は、 サイト間 VPNを使用することです。One way to accomplish this is to use a site-to-site VPN. サイト間 VPN とポイント間 VPN の違いは、後者の場合、 単一のデバイスが仮想ネットワークに接続されるという点です。The difference between a site-to-site VPN and a point-to-site VPN is that the latter connects a single device to a virtual network. サイト間 VPN では、ネットワーク (オンプレミス ネットワークなど) の全体が仮想ネットワークに接続されます。A site-to-site VPN connects an entire network (such as your on-premises network) to a virtual network. 仮想ネットワークへのサイト間 VPN では、セキュリティに優れた IPsec トンネル モードの VPN プロトコルが使用されます。Site-to-site VPNs to a virtual network use the highly secure IPsec tunnel mode VPN protocol.

詳細情報:Learn more:

ポイント対サイト VPN 接続とサイト間 VPN 接続は、クロスプレミス接続を有効にする上で効果的です。Point-to-site and site-to-site VPN connections are effective for enabling cross-premises connectivity. しかし、これらの方法には次の欠点があると考える組織もあります。However, some organizations consider them to have the following drawbacks:

  • VPN 接続ではデータがインターネット上を移動します。VPN connections move data over the internet. そのため、パブリック ネットワークを移動するデータに潜在的なセキュリティ問題が発生します。This exposes these connections to potential security issues involved with moving data over a public network. また、インターネット接続については信頼性と可用性を保証することはできません。In addition, reliability and availability for internet connections cannot be guaranteed.
  • 仮想ネットワークへの VPN 接続では、最大発信速度が 200 Mbps 前後であるため、アプリケーションや目的によっては、十分な帯域幅が確保できません。VPN connections to virtual networks might not have the bandwidth for some applications and purposes, as they max out at around 200 Mbps.

クロスプレミス接続で最高レベルのセキュリティと可用性を必要とする企業は、専用 WAN リンクを使用してリモート サイトに接続するのが一般的です。Organizations that need the highest level of security and availability for their cross-premises connections typically use dedicated WAN links to connect to remote sites. Azure では、専用の WAN リンクを使用して、オンプレミスのネットワークを仮想ネットワークに接続できます。Azure provides you the ability to use a dedicated WAN link that you can use to connect your on-premises network to a virtual network. Azure ExpressRoute、ExpressRoute Direct、および Express Route Global Reach によって、これが可能になっています。Azure ExpressRoute, Express route direct, and Express route global reach enable this.

詳細情報:Learn more:

仮想ネットワークどうしの接続Connect virtual networks to each other

組織のシステムには、多数の仮想ネットワークが使用されることがあります。It is possible to use many virtual networks for your deployments. これにはさまざまな理由が考えられます。There are various reasons why you might do this. 管理を簡略化するためにそうすることもあれば、セキュリティの向上が目的の場合もあるでしょう。You might want to simplify management, or you might want increased security. リソースを複数の仮想ネットワークに配置する理由は何であれ、各ネットワーク上のリソースを相互に接続する必要が生じることは、よくあることです。Regardless of the motivation for putting resources on different virtual networks, there might be times when you want resources on each of the networks to connect with one another.

ある仮想ネットワーク上のサービスを別の仮想ネットワーク上のサービスに接続する 1 つの方法として、インターネットを介した "ループバック" という方法があります。One option is for services on one virtual network to connect to services on another virtual network, by "looping back" through the internet. これは、1 つの仮想ネットワークで接続を開始し、インターネットを経由して、宛先の仮想ネットワークに戻すというものです。The connection starts on one virtual network, goes through the internet, and then comes back to the destination virtual network. ただし、この接続方法では、インターネット ベースの通信につきもののセキュリティ問題が発生します。This option exposes the connection to the security issues inherent in any internet-based communication.

より望ましいのは、2 つの仮想ネットワーク間を接続する、サイト間 VPN を作成する方法でしょう。A better option might be to create a site-to-site VPN that connects between two virtual networks. この方法では、前述したプレミス横断型のサイト間 VPN 接続と同じ、IPSec トンネル モードのプロトコルが使用されます。This method uses the same IPSec tunnel mode protocol as the cross-premises site-to-site VPN connection mentioned above.

このアプローチの利点は、インターネット経由で接続するのではなく、Azure ネットワーク ファブリックを介して VPN 接続を確立できるという点です。The advantage of this approach is that the VPN connection is established over the Azure network fabric, instead of connecting over the internet. これによって、インターネット経由で接続するサイト間 VPN よりも高度なセキュリティが確保されます。This provides you an extra layer of security, compared to site-to-site VPNs that connect over the internet.

詳細情報:Learn more:

仮想ネットワークを接続する別の方法は VNET ピアリングです。Another way to connect your virtual networks is VNET peering. この機能を使用して、2 つの Azure ネットワーク間の通信が、インターネット経由なしで Microsoft バックボーン インフラストラクチャで発生するように、それらを接続できます。This feature allows you to connect two Azure networks so that communication between them happens over the Microsoft backbone infrastructure without it ever going over the Internet. VNET ピアリングは、同じリージョン内の 2 つの Vnet、または Azure リージョン間で 2 つの VNET を接続できます。VNET peering can connect two VNETs within the same region or two VNETs across Azure regions. NSG を使用して、異なるサブネットまたはシステム間の接続を制限できます。NSGs can be used to limit connectivity between different subnets or systems.

可用性Availability

可用性は、あらゆるセキュリティ プログラムの重要な構成要素です。Availability is a key component of any security program. アクセスする必要のある対象にユーザーとシステムがネットワーク経由でアクセスできない場合、サービスが損なわれたと見なされる可能性があります。If your users and systems can't access what they need to access over the network, the service can be considered compromised. Azure のネットワーク テクノロジは、次の高可用性メカニズムをサポートしています。Azure has networking technologies that support the following high-availability mechanisms:

  • HTTP ベースの負荷分散HTTP-based load balancing
  • ネットワーク レベルの負荷分散Network level load balancing
  • グローバル負荷分散Global load balancing

負荷分散は、複数のデバイス間で接続を均等に配分するように設計されたメカニズムです。Load balancing is a mechanism designed to equally distribute connections among multiple devices. 負荷分散の目的は次のとおりです。The goals of load balancing are:

  • 可用性を高める。To increase availability. 複数のデバイス間で接続の負荷を分散することで、1 つ以上のデバイスが使用できなくなった場合でも、サービスの中断を回避できます。When you load balance connections across multiple devices, one or more of the devices can become unavailable without compromising the service. 残りのオンライン デバイスで実行されているサービスから、コンテンツを提供することができます。The services running on the remaining online devices can continue to serve the content from the service.
  • パフォーマンスを向上させる。To increase performance. 複数のデバイス間で接続の負荷を分散することにより、1 つのデバイスですべての処理負荷を負う必要がなくなります。When you load balance connections across multiple devices, a single device doesn't have to handle all processing. その代わりに、コンテンツ提供に伴う処理とメモリの要求は、複数のデバイスに分散されます。Instead, the processing and memory demands for serving the content is spread across multiple devices.

HTTP ベースの負荷分散HTTP-based load balancing

Web ベースのサービスを実行している組織では、それらの Web サービスの前面に、HTTP ベースのロード バランサーを配置することがよくあります。Organizations that run web-based services often desire to have an HTTP-based load balancer in front of those web services. これは、適切なレベルのパフォーマンスと高可用性を確保するためのものです。This helps ensure adequate levels of performance and high availability. 通常、ネットワーク ベースのロード バランサーでは、ネットワーク層とトランスポート層のプロトコルが使用されますが、Traditional, network-based load balancers rely on network and transport layer protocols. HTTP ベースのロード バランサーでは、HTTP プロトコルの特性に基づいて分散方法が決定されます。HTTP-based load balancers, on the other hand, make decisions based on characteristics of the HTTP protocol.

Azure では、Azure Application Gateway を使用することで、Web ベースのサービスに HTTP ベースの負荷分散を実装できます。Azure Application Gateway provides HTTP-based load balancing for your web-based services. Application Gateway では、次の機能がサポートされます。Application Gateway supports:

  • Cookie ベースのセッション アフィニティ。Cookie-based session affinity. この機能では、ロード バランサーの背後にあるいずれかのサーバーに対して確立された接続が、クライアントとサーバーの間で正常に保たれていることを確認できます。This capability makes sure that connections established to one of the servers behind that load balancer stays intact between the client and server. これにより、トランザクションの安定性が保証されます。This ensures stability of transactions.
  • TLS オフロード。TLS offload. クライアントがロード バランサーに接続すると、そのセッションは HTTPS (TLS) プロトコルを使用して暗号化されます。When a client connects with the load balancer, that session is encrypted by using the HTTPS (TLS) protocol. ただし、パフォーマンスを高めるために、ロード バランサーとその背後にある Web サーバーとの間の接続に、HTTP (暗号化されていない) プロトコルを使用することもできます。However, in order to increase performance, you can use the HTTP (unencrypted) protocol to connect between the load balancer and the web server behind the load balancer. これを "TLS オフロード" と呼びます。ロード バランサーの背後にある Web サーバーでは、暗号化のためのプロセッサ オーバーヘッドが発生しないため、This is referred to as "TLS offload," because the web servers behind the load balancer don't experience the processor overhead involved with encryption. 要求をより迅速に処理することができます。The web servers can therefore service requests more quickly.
  • URL ベースのコンテンツ ルーティング。URL-based content routing. この機能を使用すると、ロード バランサーは、接続の転送先をターゲット URL に基づいて決定できるようになります。This feature makes it possible for the load balancer to make decisions about where to forward connections based on the target URL. これにより、IP アドレスに基づいて負荷分散の決定を行うソリューションに比べて柔軟性がずっと高まります。This provides a lot more flexibility than solutions that make load balancing decisions based on IP addresses.

詳細情報:Learn more:

ネットワーク レベルの負荷分散Network level load balancing

HTTP ベースの負荷分散とは対照的に、ネットワーク レベルの負荷分散では、IP アドレスとポート (TCP または UDP) 番号に基づいて分散方法が決定されます。In contrast to HTTP-based load balancing, network level load balancing makes decisions based on IP address and port (TCP or UDP) numbers. Azure におけるネットワーク レベルの負荷分散の利点を活用するには、Azure Load Balancer を使用できます。You can gain the benefits of network level load balancing in Azure by using Azure Load Balancer. Load Balancer の主要な特性には、次の事柄が含まれます。Some key characteristics of Load Balancer include:

  • IP アドレスとポート番号に基づくネットワーク レベルの負荷分散。Network level load balancing based on IP address and port numbers.
  • あらゆるアプリケーション層プロトコルのサポート。Support for any application layer protocol.
  • Azure 仮想マシンとクラウド サービスのロール インスタンスへの負荷分散。Load balances to Azure virtual machines and cloud services role instances.
  • インターネットに接続する (外部負荷分散) アプリケーションと仮想マシン、およびインターネットに接続しない (内部負荷分散) アプリケーションと仮想マシンのどちらにも使用可能。Can be used for both internet-facing (external load balancing) and non-internet facing (internal load balancing) applications and virtual machines.
  • エンドポイント監視 (ロード バランサーの背後にあるサービスが使用不可になっていないか判別するために使用します)。Endpoint monitoring, which is used to determine if any of the services behind the load balancer have become unavailable.

詳細情報:Learn more:

グローバル負荷分散Global load balancing

可能な限り最高レベルの可用性が必要な組織もあります。Some organizations want the highest level of availability possible. この目的を実現する 1 つの方法は、グローバルに分散したデータセンターでアプリケーションをホストすることです。One way to reach this goal is to host applications in globally distributed datacenters. 世界中にあるデータセンターでアプリケーションがホストされていれば、1 つの地域全体が使用不可になっても、アプリケーションは引き続き稼働できます。When an application is hosted in datacenters located throughout the world, it's possible for an entire geopolitical region to become unavailable, and still have the application up and running.

この負荷分散方法では、パフォーマンス上のメリットも得られます。This load-balancing strategy can also yield performance benefits. サービスへの要求を、要求元のデバイスに最も近いデータ センターに転送できるからです。You can direct requests for the service to the datacenter that is nearest to the device that is making the request.

Azure では、Azure Traffic Manager を使用してグローバル負荷分散の利点が得られます。In Azure, you can gain the benefits of global load balancing by using Azure Traffic Manager.

詳細情報:Learn more:

名前解決Name resolution

名前解決は、Azure でホストするすべてのサービスにとって重要な機能です。Name resolution is a critical function for all services you host in Azure. セキュリティ上の観点からすると、名前解決機能が危害を受けると、攻撃者によって、要求がユーザー サイトから攻撃者のサイトにリダイレクトされる可能性があります。From a security perspective, compromise of the name resolution function can lead to an attacker redirecting requests from your sites to an attacker's site. 名前解決がセキュリティで保護されていることは、クラウドでホストされているすべてのサービスにとって必要条件となっています。Secure name resolution is a requirement for all your cloud hosted services.

対処する必要がある名前解決は、次の 2 種類です。There are two types of name resolution you need to address:

  • 内部名前解決。Internal name resolution. これは、仮想ネットワーク、オンプレミス ネットワーク、またはそれら両方のサービスによって使用されます。This is used by services on your virtual networks, your on-premises networks, or both. 内部名前解決に使用される名前は、インターネットからはアクセスできません。Names used for internal name resolution are not accessible over the internet. 最適なセキュリティを確保するため、内部名前解決スキームは外部ユーザーからアクセスできないことが重要です。For optimal security, it's important that your internal name resolution scheme is not accessible to external users.
  • 外部名前解決。External name resolution. これは、オンプレミス ネットワークや仮想ネットワークの外部のユーザーやデバイスによって使用されます。This is used by people and devices outside of your on-premises networks and virtual networks. これらの名前は、インターネットから参照することができ、クラウド ベースのサービスに接続するために使用されます。These are the names that are visible to the internet, and are used to direct connection to your cloud-based services.

内部名前解決には、次の 2 つのオプションがあります。For internal name resolution, you have two options:

  • 仮想ネットワークの DNS サーバー。A virtual network DNS server. 新しい仮想ネットワークを作成すると、DNS サーバーが作成されます。When you create a new virtual network, a DNS server is created for you. この DNS サーバーは、その仮想ネットワークにあるマシンの名前を解決できます。This DNS server can resolve the names of the machines located on that virtual network. この DNS サーバーは Azure ファブリック マネージャーによって管理され、お客様は構成を変更することができません。これにより、安全な名前解決ソリューションが提供されます。This DNS server is not configurable, is managed by the Azure fabric manager, and can therefore help you secure your name resolution solution.
  • 独自の DNS サーバーの導入。Bring your own DNS server. お客様が選んだ独自の DNS サーバーを、仮想ネットワーク上に配置することもできます。You have the option of putting a DNS server of your own choosing on your virtual network. この DNS サーバーは、Active Directory 統合 DNS サーバーでも、Azure パートナーが提供する専用 DNS サーバー ソリューション (Azure Marketplace から入手可能) でも構いません。This DNS server can be an Active Directory integrated DNS server, or a dedicated DNS server solution provided by an Azure partner, which you can obtain from the Azure Marketplace.

詳細情報:Learn more:

外部名前解決には、次の 2 つのオプションがあります。For external name resolution, you have two options:

  • 独自の外部 DNS サーバーをオンプレミスでホストする。Host your own external DNS server on-premises.
  • 独自の外部 DNS サーバーをサービス プロバイダーによってホストする。Host your own external DNS server with a service provider.

多くの大規模な組織は独自の DNS サーバーをオンプレミスでホストします。Many large organizations host their own DNS servers on-premises. それは、そのためのネットワークの専門知識とグローバルな人的/物的リソースが存在しているためです。They can do this because they have the networking expertise and global presence to do so.

ほとんどの場合には、サービス プロバイダーを使用して独自の DNS 名前解決サービスをホストする方が優れています。In most cases, it's better to host your DNS name resolution services with a service provider. こうしたサービス プロバイダーには、名前解決サービスの非常に高い可用性を確保できるネットワークの専門知識とグローバルな人的/物的リソースがあります。These service providers have the network expertise and global presence to ensure very high availability for your name resolution services. DNS サービスで可用性は不可欠な要素です。名前解決サービスで障害が発生すると、インターネットに接続するサービスに誰もアクセスできなくなるからです。Availability is essential for DNS services, because if your name resolution services fail, no one will be able to reach your internet facing services.

Azure は、Azure DNS という形で可用性とパフォーマンスの高い外部 DNS ソリューションを提供します。Azure provides you with a highly available and high-performing external DNS solution in the form of Azure DNS. この外部名前解決ソリューションは、世界規模の Azure DNS インフラストラクチャを活用します。This external name resolution solution takes advantage of the worldwide Azure DNS infrastructure. これによって、他の Azure サービスと同じ資格情報、API、ツール、課金情報を使用して、Azure でドメインをホストできます。It allows you to host your domain in Azure, using the same credentials, APIs, tools, and billing as your other Azure services. また Azure の一部として、プラットフォームに組み込まれている強力なセキュリティ制御機能も継承します。As part of Azure, it also inherits the strong security controls built into the platform.

詳細情報:Learn more:

境界ネットワーク アーキテクチャPerimeter network architecture

多くの大規模組織では、境界ネットワークを使用してネットワークをセグメント化し、インターネットとサービスの間に緩衝地帯を設けます。Many large organizations use perimeter networks to segment their networks, and create a buffer-zone between the internet and their services. ネットワークの境界部分はセキュリティの低いゾーンと見なされ、高価値の資産がそのネットワーク セグメントに配置されることはありません。The perimeter portion of the network is considered a low-security zone, and no high-value assets are placed in that network segment. 通常、ネットワーク セキュリティ デバイスには、境界ネットワーク セグメント上のネットワーク インターフェイスが使用されます。You'll typically see network security devices that have a network interface on the perimeter network segment. インターネットからの着信接続を受け付ける仮想マシンやサービスがあるネットワークには、別のネットワーク インターフェイスが接続されます。Another network interface is connected to a network that has virtual machines and services that accept inbound connections from the internet.

境界ネットワークの設計方法にはさまざまなものがあります。You can design perimeter networks in a number of different ways. 境界ネットワークをデプロイするかどうかや、どのような種類の境界ネットワークを使用するかは、ネットワークのセキュリティ要件によって決定されます。The decision to deploy a perimeter network, and then what type of perimeter network to use if you decide to use one, depends on your network security requirements.

詳細情報:Learn more:

Azure の DDoS 保護Azure DDoS protection

分散型サービス拒否 (DDoS) 攻撃は、アプリケーションをクラウドに移行している顧客が直面する可用性とセキュリティに関する最大の関心事の一部です。Distributed denial of service (DDoS) attacks are some of the largest availability and security concerns facing customers that are moving their applications to the cloud. DDoS 攻撃では、アプリケーションのリソースを使い果たし、正当なユーザーがアプリケーションを使用できなくなるようにすることが試みられます。A DDoS attack attempts to exhaust an application's resources, making the application unavailable to legitimate users. DDoS 攻撃は、インターネット経由で一般に到達可能なすべてのエンドポイントで実行できます。DDoS attacks can be targeted at any endpoint that is publicly reachable through the internet. Microsoft では、Azure Platform の一部として、Basic と呼ばれる DDoS Protection を提供しています。Microsoft provides DDoS protection known as Basic as part of the Azure Platform. これは無料で提供され、一般的なネットワーク レベル攻撃の監視とリアルタイムの対応策に常に含まれています。This comes at no charge and includes always on monitoring and real-time mitigation of common network level attacks. DDoS Protection Basic に含まれている保護に加え、Standard オプションを有効にできます。In addition to the protections included with DDoS protection Basic you can enable the Standard option. DDoS Protection Standard の機能には、次のものが含まれます。DDoS Protection Standard features include:

  • ネイティブのプラットフォーム統合: Azure にネイティブに統合します。Native platform integration: Natively integrated into Azure. Azure Portal による構成が含まれます。Includes configuration through the Azure portal. DDoS Protection Standard は、ユーザーのリソースおよびリソース構成を理解しています。DDoS Protection Standard understands your resources and resource configuration.
  • ターンキー保護: DDoS Protection Standard が有効になるとすぐに、簡略化された構成によって、仮想ネットワーク上のすべてのリソースが直ちに保護されます。Turn-key protection: Simplified configuration immediately protects all resources on a virtual network as soon as DDoS Protection Standard is enabled. ユーザーが介入したり、ユーザーが定義したりする必要はありません。No intervention or user definition is required. DDoS Protection Standard では、攻撃が検出されるとすぐに自動で軽減されます。DDoS Protection Standard instantly and automatically mitigates the attack, once it is detected.
  • 常時接続のトラフィック監視: DDoS 攻撃の兆候を検出するために、アプリケーションのトラフィック パターンが 24 時間 365 日監視されます。Always-on traffic monitoring: Your application traffic patterns are monitored 24 hour a day, 7 days a week, looking for indicators of DDoS attacks. 軽減策は、保護ポリシーを超えた場合に実行されます。Mitigation is performed when protection policies are exceeded.
  • 攻撃の軽減策レポート: 攻撃の軽減策レポートでは、集約されたネットワーク フロー データを使用して、リソースを対象とした攻撃に関する詳細な情報を提供します。Attack Mitigation Reports Attack Mitigation Reports use aggregated network flow data to provide detailed information about attacks targeted at your resources.
  • 攻撃の軽減フロー ログ: 攻撃の軽減フロー ログを使用すると、アクティブな DDoS 攻撃中に、破棄されたトラフィック、転送されたトラフィック、およびその他の攻撃データをほぼリアルタイムに確認できます。Attack Mitigation Flow Logs Attack Mitigation Flow Logs allow you to review the dropped traffic, forwarded traffic and other attack data in near real-time during an active DDoS attack.
  • アダプティブ チューニング: インテリジェント トラフィック プロファイリングにより、一定期間にわたってアプリケーションのトラフィックが学習され、そのサービスに最も適したプロファイルが選択および更新されます。Adaptive tuning: Intelligent traffic profiling learns your application's traffic over time, and selects and updates the profile that is the most suitable for your service. このプロファイルは、時間の経過とともにトラフィックが変化すると調整されます。The profile adjusts as traffic changes over time. レイヤー 3 からレイヤー 7 までの保護:Web アプリケーション ファイアウォールと併用すると、全スタックにわたって DDoS 保護が提供されます。Layer 3 to layer 7 protection: Provides full stack DDoS protection, when used with a web application firewall.
  • 広範囲にわたる軽減スケール: 60 種類を超える攻撃を軽減することができ、地球規模の容量を利用して、過去最大の DDoS 攻撃からも保護されます。Extensive mitigation scale: Over 60 different attack types can be mitigated, with global capacity, to protect against the largest known DDoS attacks.
  • 攻撃メトリック: 各攻撃から要約されたメトリックに Azure Monitor 経由でアクセスできます。Attack metrics: Summarized metrics from each attack are accessible through Azure Monitor.
  • 攻撃アラート: 組み込みの攻撃メトリックを使用して、攻撃の開始時と停止時、およびその攻撃の期間にわたってアラートを構成できます。Attack alerting: Alerts can be configured at the start and stop of an attack, and over the attack's duration, using built-in attack metrics. アラートは、Microsoft Azure Monitor ログ、Splunk、Azure Storage、電子メール、Azure portal などの運用ソフトウェアに統合されます。Alerts integrate into your operational software like Microsoft Azure Monitor logs, Splunk, Azure Storage, Email, and the Azure portal.
  • コストの保証: データ転送とアプリケーションは、ドキュメント化された DDoS 攻撃のサービス クレジットをスケールアウトします。Cost guarantee: Data-transfer and application scale-out service credits for documented DDoS attacks.
  • DDoS への迅速な対応: DDoS Protection Standard のお客様は、アクティブな攻撃中に Rapid Response チームを利用できるようになりました。DDoS Rapid responsive DDoS Protection Standard customers now have access to Rapid Response team during an active attack. DRR では、攻撃の調査、攻撃中の独自の軽減策、攻撃後の分析に関して支援できます。DRR can help with attack investigation, custom mitigations during an attack and post-attack analysis.

詳細情報:Learn more:

Azure Front DoorAzure Front Door

Azure Front Door サービスでは、Web トラフィックのグローバルなルーティングを定義、管理、監視することができます。Azure Front Door Service enables you to define, manage, and monitor the global routing of your web traffic. 最適なパフォーマンスと高可用性を得るため、トラフィックのルーティングが最適化されます。It optimizes your traffic's routing for best performance and high availability. Azure Front Door を使用すると、アクセス制御のためのカスタムの Web アプリケーション ファイアウォール (WAF) 規則を作成して、クライアント IP アドレス、国番号、および http パラメーターに基づいて HTTP/HTTPS ワークロードを不正使用から保護することができます。Azure Front Door allows you to author custom web application firewall (WAF) rules for access control to protect your HTTP/HTTPS workload from exploitation based on client IP addresses, country code, and http parameters. さらに、Front Door では悪意のあるボット トラフィックと戦うためのレート制限ルールを作成することもできます。これには、TLS オフロードと、HTTP/HTTPS 要求によるアプリケーション レイヤーの処理が含まれます。Additionally, Front Door also enables you to create rate limiting rules to battle malicious bot traffic, it includes TLS offloading and per-HTTP/HTTPS request, application-layer processing.

Front Door プラットフォーム自体は、Azure DDoS Protection Basic によって保護されます。Front Door platform itself is protected by Azure DDoS Protection Basic. さらに保護するために、Azure DDoS Protection Standard を VNET で有効にし、自動チューニングとリスク軽減によってネットワーク層 (TCP または UDP) 攻撃からリソースを保護することもできます。For further protection, Azure DDoS Protection Standard may be enabled at your VNETs and safeguard resources from network layer (TCP/UDP) attacks via auto tuning and mitigation. Front Door はレイヤー 7 のリバース プロキシであり、既定では Web トラフィックに、バックエンド サーバーへのパススルーのみを許可し、他の種類のトラフィックはブロックします。Front Door is a layer 7 reverse proxy, it only allows web traffic to pass through to back end servers and block other types of traffic by default.

詳細情報:Learn more:

Azure Traffic ManagerAzure Traffic manager

Azure Traffic Manager は、世界中の Azure リージョン間でサービスへのトラフィックを最適に配分しつつ、高可用性と応答性を実現する DNS ベースのトラフィック ロード バランサーです。Azure Traffic Manager is a DNS-based traffic load balancer that enables you to distribute traffic optimally to services across global Azure regions, while providing high availability and responsiveness. Traffic Manager は、DNS を使用し、トラフィック ルーティング方法とエンドポイントの正常性に基づいて最適なサービス エンドポイントにクライアント要求を誘導します。Traffic Manager uses DNS to direct client requests to the most appropriate service endpoint based on a traffic-routing method and the health of the endpoints. エンドポイントは、Azure の内部または外部でホストされている、インターネットに公開されたサービスです。An endpoint is any Internet-facing service hosted inside or outside of Azure. Traffic Manager はエンドポイントを監視し、使用できないエンドポイントにはトラフィックを転送しません。Traffic manager monitors the end points and does not direct traffic to any endpoints that are unavailable.

詳細情報:Learn more:

監視と脅威の検出Monitoring and threat detection

Azure では、この重要な分野で、早期検出、監視、ネットワーク トラフィックの収集および確認に役立つ機能を提供しています。Azure provides capabilities to help you in this key area with early detection, monitoring, and collecting and reviewing network traffic.

Azure Network WatcherAzure Network Watcher

Azure Network Watcher では、セキュリティ問題を特定するためのまったく新しいツール セットを使用して、問題のトラブルシューティングを行うことができます。Azure Network Watcher can help you troubleshoot, and provides a whole new set of tools to assist with the identification of security issues.

セキュリティ グループ ビューでは、Virtual Machines の監査要件やセキュリティ要件に対するコンプライアンス状況を確認できます。Security Group View helps with auditing and security compliance of Virtual Machines. この機能を使用すれば、組織で定義されたベースライン ポリシーを、各 VM に対する効果的なルールと比較しながら、プログラマティックな監査を実行できます。Use this feature to perform programmatic audits, comparing the baseline policies defined by your organization to effective rules for each of your VMs. 構成のずれを特定するときにこの機能が役立ちます。This can help you identify any configuration drift.

パケット キャプチャを使用すると、仮想マシンとの間のネットワーク トラフィックをキャプチャすることができます。Packet capture allows you to capture network traffic to and from the virtual machine. お客様は、ネットワーク統計情報を収集し、アプリケーションの問題をトラブルシューティングできます。これは、ネットワーク侵入を調査するうえで非常に効果的です。You can collect network statistics and troubleshoot application issues, which can be invaluable in the investigation of network intrusions. この機能を Azure Functions と一緒に使用することで、Azure の特定のアラートに反応してネットワーク キャプチャを開始することができます。You can also use this feature together with Azure Functions to start network captures in response to specific Azure alerts.

Network Watcher と、ラボで機能の一部のテストを開始する方法について詳しくは、Azure Network Watcher の監視の概要に関するページをご覧ください。For more information on Network Watcher and how to start testing some of the functionality in your labs, see Azure network watcher monitoring overview.

注意

このサービスの可用性とステータスに関する最新の通知については、Azure の更新情報に関するページをご覧ください。For the most up-to-date notifications on availability and status of this service, check the Azure updates page.

Azure Security CenterAzure Security Center

Azure Security Center は、脅威の回避、検出、対応に役立つサービスで、Azure リソースのセキュリティを高度に視覚化して制御できます。Azure Security Center helps you prevent, detect, and respond to threats, and provides you increased visibility into, and control over, the security of your Azure resources. これにより、Azure サブスクリプション全体に統合セキュリティの監視とポリシーの管理を提供し、気付かない可能性がある脅威を検出し、多数のセキュリティ ソリューションと連動します。It provides integrated security monitoring and policy management across your Azure subscriptions, helps detect threats that might otherwise go unnoticed, and works with a large set of security solutions.

Security Center は、ネットワーク セキュリティの最適化と監視に役立つ次の機能を備えています。Security Center helps you optimize and monitor network security by:

  • ネットワーク セキュリティに関する推奨事項を提供する。Providing network security recommendations.
  • ネットワーク セキュリティ構成の状態を監視する。Monitoring the state of your network security configuration.
  • ネットワーク ベースの脅威をエンドポイント レベルとネットワーク レベルの両方で警告する。Alerting you to network based threats, both at the endpoint and network levels.

詳細情報:Learn more:

仮想ネットワーク TAPVirtual Network TAP

Azure 仮想ネットワーク TAP (ターミナル アクセス ポイント) を使用すると、仮想マシン ネットワークのトラフィックをネットワーク パケット コレクターまたは分析ツールに連続してストリーミングできます。Azure virtual network TAP (Terminal Access Point) allows you to continuously stream your virtual machine network traffic to a network packet collector or analytics tool. コレクターまたは分析ツールは、ネットワーク仮想アプライアンス パートナーから提供されています。The collector or analytics tool is provided by a network virtual appliance partner. 同じ仮想ネットワーク TAP リソースを使用して、同じサブスクリプションまたは異なるサブスクリプションの複数のネットワーク インターフェイスからのトラフィックを集計できます。You can use the same virtual network TAP resource to aggregate traffic from multiple network interfaces in the same or different subscriptions.

詳細情報:Learn more:

ログ記録Logging

ネットワーク レベルにおけるログ記録は、あらゆるネットワーク セキュリティ シナリオの主要な機能です。Logging at a network level is a key function for any network security scenario. Azure では、NSG に関して入手した情報をログに記録して、ネットワーク レベルのログ情報を取得できます。In Azure, you can log information obtained for NSGs to get network level logging information. NSG ログ記録によって、次のログから情報を取得します。With NSG logging, you get information from:

  • アクティビティ ログActivity logs. これらのログは、Azure サブスクリプションに送信されたすべての操作を表示するときに使用します。Use these logs to view all operations submitted to your Azure subscriptions. このログは既定で有効になっており、Azure ポータルで使用できます。These logs are enabled by default, and can be used within the Azure portal. 以前は監査ログや操作ログと呼ばれていました。They were previously known as audit or operational logs.
  • イベント ログ。Event logs. これらのログは、適用された NSG ルールについての情報を提供します。These logs provide information about what NSG rules were applied.
  • カウンター ログ。Counter logs. このログを使用すると、トラフィックを拒否または許可するために各 NSG ルールが適用された回数が分かります。These logs let you know how many times each NSG rule was applied to deny or allow traffic.

優れたデータ視覚化ツールである Microsoft Power BIを使用して、これらのログを表示および分析することもできます。You can also use Microsoft Power BI, a powerful data visualization tool, to view and analyze these logs. 詳細情報:Learn more: