ユーザー VPN クライアント用のスポーク VNet にあるリソースへのセキュリティで保護されたアクセスを管理する

この記事では、Virtual WAN と Azure Firewall の規則およびフィルターを使用して、ポイント対サイト IKEv2 または Open VPN 接続を介して Azure のリソースに接続するためのセキュリティで保護されたアクセスを管理する方法を示します。 この構成は、Azure リソースへのアクセスを制限するリモート ユーザーがいる場合や、Azure のリソースを保護するのに役立ちます。

この記事の手順は、次の図のアーキテクチャを作成するのに役立ちます。これにより、ユーザー VPN クライアントからは、仮想ハブに接続されているスポーク VNet 内の特定のリソース (VM1) にアクセスできるようになりますが、その他のリソース (VM2) にはアクセスできません。 基本的なガイドラインとして、このアーキテクチャの例を使用します。

図:セキュリティ保護付き仮想ハブ

前提条件

  • Azure サブスクリプションがある。 Azure サブスクリプションをお持ちでない場合は、無料アカウントを作成してください。

  • 接続先の仮想ネットワークが用意されていること。 オンプレミス ネットワークのどのサブネットも接続先の仮想ネットワークと重複していないことを確認してください。 Azure portal で仮想ネットワークを作成するには、クイックスタート記事を参照してください。

  • 仮想ネットワークにまだ仮想ネットワーク ゲートウェイが存在しないこと。 仮想ネットワークにゲートウェイ (VPN または ExpressRoute のどちらか) が既に存在する場合は、すべてのゲートウェイを削除してから先に進む必要があります。 この構成では、仮想ネットワークが Virtual WAN ハブ ゲートウェイにのみ接続されている必要があります。

  • 仮想ハブは、仮想 WAN によって作成および使用される仮想ネットワークです。 リージョン内の Virtual WAN ネットワークの核となります。 仮想ハブ リージョンの IP アドレス範囲を取得します。 ハブに指定するアドレス範囲が、接続先の既存の仮想ネットワークと重複することはできません。 さらに、接続先のオンプレミスのアドレス範囲と重複することもできません。 オンプレミス ネットワーク構成に含まれている IP アドレス範囲になじみがない場合は、それらの詳細を提供できるだれかと調整してください。

仮想 WAN を作成する

ブラウザーから Azure ポータル に移動し、Azure アカウントでサインインします。

  1. ポータルで [+ リソースの作成] を選択します。 検索ボックスに「Virtual WAN」と入力し、Enter キーを押します。

  2. 結果から [Virtual WAN] を選択します。 [Virtual WAN] (仮想 WAN) ページで、 [作成] を選択して [WAN の作成] ページを開きます。

  3. [WAN の作成] ページの [基本] タブで、次のフィールドに入力します。

    スクリーンショットには、[基本] タブが選択された [WAN の作成] ペインが表示されています。

    • [サブスクリプション] - 使用するサブスクリプションを選択します。
    • [リソース グループ] - 新規作成するか、または既存のものを使用します。
    • [リソース グループの場所] - ドロップダウンからリソースの場所を選択します。 WAN はグローバルなリソースであり、特定のリージョンに存在するものではありません。 ただし、作成した WAN リソースを管理および検索するために、リージョンを選択する必要があります。
    • [名前] - WAN に付ける名前を入力します。
    • [種類] - Basic または Standard。 [Standard] を選択します。 Basic VWAN を選択する場合、Basic VWAN に含めることができるのは Basic ハブだけであり、接続の種類がサイト間に制限されることを理解しておいてください。
  4. フィールドへの入力を完了したら、 [確認および作成] を選択します。

  5. 検証に合格したら、 [作成] を選択して仮想 WAN を作成します。

P2S 構成パラメーターを定義する

ポイント対サイト (P2S) 構成では、リモート クライアントを接続するためのパラメーターを定義します。 このセクションは、P2S 構成パラメーターを定義してから、VPN クライアント プロファイルに使用される構成を作成するのに役立ちます。 従う手順は、使用する認証方法によって異なります。

認証方法

認証方法を選択する場合、3 つの選択肢があります。 各方法には特定の要件があります。 次のいずれかの方法を選択し、手順を完了します。

  • Azure Active Directory 認証: 次のものを取得します。

    • Azure AD テナントに登録されている Azure VPN エンタープライズ アプリケーションの アプリケーション ID
    • 発行者。 例: https://sts.windows.net/your-Directory-ID.
    • Azure AD テナント。 例: https://login.microsoftonline.com/your-Directory-ID.
  • Radius ベースの認証: Radius サーバーの IP、Radius サーバーのシークレット、および証明書の情報を取得します。

  • Azure 証明書: この構成では、証明書が必要です。 証明書を生成または取得する必要があります。 クライアント証明書はクライアントごとに必要です。 また、ルート証明書情報 (公開キー) をアップロードする必要があります。 必要な証明書の詳細については、証明書の生成とエクスポートに関するページを参照してください。

注意

一部の機能と設定は、Azure portal にロールアウトする処理中です。

  1. [すべてのリソース] に移動し、作成した仮想 WAN を選択して、左側のメニューから [ユーザー VPN 構成] を選択します。

  2. [ユーザー VPN 構成] ページで、ページの上部にある [+ ユーザー VPN 構成の作成] を選択し、 [新しいユーザー VPN 構成の作成] ページを開きます。

    [ユーザー VPN 構成] ページのスクリーンショット

  3. [基本] タブの [インスタンスの詳細] で、VPN の構成に割り当てる [名前] を入力します。

  4. [トンネルの種類] で、ドロップダウンから目的のトンネルの種類を選択します。 トンネルの種類のオプションは、 [IKEv2 VPN][OpenVPN][OpenVpn and IkeV2] です。

  5. 選択したトンネルの種類に応じて次の手順を使用します。 すべての値を指定したら、 [確認と作成][作成] の順にクリックして構成を作成します。

    IKEv2 VPN

    • 要件: トンネルの種類に [IKEv2] を選択すると、認証方法を選択するように指示するメッセージが表示されます。 IKEv2 の場合、指定できる認証方法は 1 つのみです。 Azure 証明書、Azure Active Directory、または RADIUS ベースの認証を選択できます。

    • IPsec カスタム パラメーター: IKE フェーズ 1 および IKE フェーズ 2 のパラメーターをカスタマイズするには、IPsec スイッチを [カスタム] に切り替えてパラメーター値を選択します。 カスタマイズできるパラメーターの詳細については、カスタムの IPsec に関する記事を参照してください。

      カスタムへの IPsec スイッチのスクリーンショット

    • 認証: ページの下部にある [次へ] をクリックして認証方法に進むか、ページの上部にある適切なタブをクリックして、使用する認証メカニズムに移動します。 スイッチを [はい] に切り替えて方法を選択します。

      この例では、RADIUS 認証が選択されています。 RADIUS ベースの認証の場合、セカンダリ RADIUS サーバーの IP アドレスとサーバー シークレットを指定できます。

      IKE のスクリーンショット。

    OpenVPN

    • 要件: トンネルの種類に [OpenVPN] を選択すると、認証メカニズムを選択するように指示するメッセージが表示されます。 トンネルの種類として [OpenVPN] が選択されている場合は、複数の認証方法を指定できます。 Azure 証明書、Azure Active Directory、または RADIUS ベースの認証の任意のサブセットを選択できます。 RADIUS ベースの認証の場合、セカンダリ RADIUS サーバーの IP アドレスとサーバー シークレットを指定できます。

    • 認証: ページの下部にある [次へ] をクリックして認証方法に進むか、ページの上部にある適切なタブをクリックして、使用する認証方法に移動します。 選択する方法ごとに、スイッチを [はい] に切り替えて、適切な値を入力します。

      この例では、Azure Active Directory が選択されています。

      OpenVPN ページのスクリーンショット。

ハブとゲートウェイを作成する

このセクションでは、ポイント対サイト ゲートウェイを持つ仮想ハブを作成します。 構成するときに、次の例の値を使用できます。

  • ハブのプライベート IP アドレス空間: 10.0.0.0/24
  • クライアント アドレス プール: 10.5.0.0/16
  • カスタム DNS サーバー: DNS サーバーは 5 つまで一覧表示できます。
  1. 仮想 WAN で [ハブ] を選択し、 [+ 新しいハブ] を選択します。

    新しいハブ

  2. [仮想ハブを作成する] ページで、次のフィールドに入力します。

    • [リージョン] - 仮想ハブをデプロイするリージョンを選択します。
    • [名前] - 仮想ハブの呼び出しに使う名前を入力します。
    • [ハブ プライベート アドレス空間] - CIDR 表記のハブのアドレス範囲。

    仮想ハブを作成する

  3. [ポイント対サイト] タブで、次のフィールドを入力します。

    • [ゲートウェイ スケール ユニット] - ユーザー VPN ゲートウェイの合計容量を表します。
    • [ポイント対サイト構成] - 前の手順で作成した構成です。
    • [クライアント アドレス プール] - リモート ユーザーに使用されます。
    • カスタム DNS サーバーの IP

    ポイント対サイトを持つハブ

  4. [Review + create](レビュー + 作成) を選択します。

  5. [検証に成功しました] ページで [作成] を選択します。

VPN クライアント構成ファイルの生成

このセクションでは、構成プロファイル ファイルを生成してダウンロードします。 これらのファイルは、クライアント コンピューター上でネイティブ VPN クライアントを構成するために使用されます。 クライアント プロファイル ファイルの内容の詳細については、「ポイント対サイト構成」の「証明書」を参照してください。

  1. 仮想 WAN のページで、 [User VPN configurations](ユーザー VPN の構成) を選択します。

  2. [ユーザー VPN 構成] ページで、構成を選択し、 [仮想 WAN のユーザー VPN プロファイルのダウンロード] を選択します。 WAN レベルの構成をダウンロードすると、組み込みの Traffic Manager ベースのユーザー VPN プロファイルを入手できます。 グローバル プロファイルまたはハブベースのプロファイルの詳細については、ハブ プロファイルに関する記事をご覧ください。 グローバル プロファイルを使用すると、フェールオーバーのシナリオが単純化されます。

    なんらかの理由でハブが利用できない場合、サービスによって提供される組み込みのトラフィック管理によって、(別のハブを介した) Azure リソースへの接続がポイント対サイト ユーザー用に確保されます。 ハブ固有の VPN 構成は、そのハブに移動することでいつでもダウンロードできます。 [ユーザー VPN (ポイントからサイトへ)] で、仮想ハブの ユーザー VPN プロファイルをダウンロードします。

  3. [仮想 WAN のユーザー VPN プロファイルのダウンロード] ページで、 [認証の種類] を選択し、次に [プロファイルを生成してダウンロードする] を選択します。 プロファイル パッケージが生成され、構成設定を含む ZIP ファイルがダウンロードされます。

VPN クライアントの構成

ダウンロードしたプロファイルを使用して、リモート アクセス クライアントを構成します。 オペレーティング システムごとに手順は異なります。お使いのシステムに適用される手順に従ってください。

Microsoft Windows

OpenVPN
  1. 公式 Web サイトから OpenVPN クライアントをダウンロードしてインストールします。
  2. ゲートウェイの VPN プロファイルをダウンロードします。 この操作は、Azure portal の [User VPN configurations](ユーザー VPN の構成) タブまたは PowerShell の New-AzureRmVpnClientConfiguration で実行できます。
  3. プロファイルを展開します。 メモ帳で OpenVPN フォルダーの vpnconfig.ovpn 構成ファイルを開きます。
  4. P2S クライアント証明書セクションに、base64 の P2S クライアント証明書の公開キーを指定します。 PEM 形式の証明書の場合、.cer ファイルを開き、証明書ヘッダー間にある base64 キーを上書きしてコピーします。 手順については、証明書をエクスポートしてエンコードされた公開キーを取得する方法に関するページを参照してください。
  5. 秘密キー セクションに、base64 の P2S クライアント証明書の秘密キーを指定します。 手順については、秘密キーを抽出する方法に関するセクションを参照してください。
  6. その他のフィールドは変更しないでください。 クライアント入力に入力された構成を使用して VPN に接続します。
  7. vpnconfig.ovpn ファイルを C:\Program Files\OpenVPN\config フォルダーにコピーします。
  8. システム トレイの OpenVPN アイコンを右クリックし、 [接続] を選択します。
IKEv2
  1. Windows コンピューターのアーキテクチャに対応する VPN クライアント構成ファイルを選択します。 64 ビットのプロセッサ アーキテクチャの場合は、"VpnClientSetupAmd64" インストーラー パッケージを選択します。 32 ビットのプロセッサ アーキテクチャの場合は、"VpnClientSetupX86" インストーラー パッケージを選択します。
  2. パッケージをダブルクリックしてインストールします。 SmartScreen ポップアップが表示された場合は、 [詳細][実行] の順に選択します。
  3. クライアント コンピューターで [ネットワークの設定] に移動し、 [VPN] を選択します。 VPN 接続により、その接続先の仮想ネットワークの名前が表示されます。
  4. 接続を試行する前に、クライアント コンピューターにクライアント証明書をインストール済みであることを確認します。 ネイティブ Azure 証明書の認証タイプを使用する場合、認証にはクライアント証明書が必要です。 証明書の生成の詳細については、「証明書の生成」をご覧ください。 クライアント証明書のインストール方法については、クライアント証明書のインストールに関するページをご覧ください。

スポーク VNet を接続する

このセクションでは、スポーク仮想ネットワークを仮想 WAN ハブにアタッチします。

この手順では、ハブと VNet の間の接続を作成します。 接続する VNet ごとにこれらの手順を繰り返します。

  1. お使いの仮想 WAN のページで、 [仮想ネットワーク接続] を選択します。

  2. 仮想ネットワーク接続のページで、 [+ 接続の追加] を選択します。

  3. [接続の追加] ページで、次のフィールドに入力します。

    • [接続名] - 接続に名前を付けます。
    • [ハブ] - この接続に関連付けるハブを選択します。
    • [サブスクリプション] - サブスクリプションを確認します。
    • [仮想ネットワーク] - このハブに接続する仮想ネットワークを選択します。 仮想ネットワークに既存の仮想ネットワーク ゲートウェイを設定することはできません。
  4. [OK] を選択して接続を作成します。

仮想マシンを作成する

このセクションでは、VNet に 2 つの VM (VM1 と VM2) を作成します。 ネットワーク図では、10.18.0.4 と 10.18.0.5 が使用されています。 VM を構成するときは、必ず自分が作成した仮想ネットワークを選択してください ([ネットワーク] タブにあります)。 VM を作成する手順については、クイック スタート: VM の作成に関するページを参照してください。

仮想ハブをセキュリティで保護する

標準的な仮想ハブには、スポーク仮想ネットワーク内のリソースを保護するためのセキュリティ ポリシーが組み込まれていません。 セキュリティ保護付き仮想ハブでは、Azure Firewall またはサードパーティのプロバイダーを使用して、Azure 内のリソースを保護するための受信および送信トラフィックを管理します。

次の記事を使用して、ハブをセキュリティ保護付きハブに変換します: 仮想 WAN ハブ内で Azure Firewall を構成する

トラフィックを管理およびフィルター処理する規則を作成する

Azure Firewall の動作を規定する規則を作成します。 ハブをセキュリティで保護することにより、仮想ハブに入るすべてのパケットが確実に、Azure リソースにアクセスする前にファイアウォール処理の対象となります。

これらの手順を完了すると、VPN ユーザーがプライベート IP アドレス 10.18.0.4 を持つ VM にアクセスできるものの、プライベート IP アドレス 10.18.0.5 を持つ VM にはアクセス できない アーキテクチャが作成されます

  1. Azure portal で、Firewall Manager に移動します。

  2. [セキュリティ] で、 [Azure Firewall ポリシー] を選択します。

  3. [Azure ファイアウォール ポリシーの作成] を選択します。

  4. [ポリシーの詳細] で、名前を入力し、仮想ハブがデプロイされているリージョンを選択します。

  5. [Next:DNS Settings (preview)](次へ: DNS 設定 (プレビュー)) を選択します。

  6. [Next:Rules](次へ: 規則) を選択します。

  7. [規則] タブで、 [規則コレクションの追加] を選択します。

  8. コレクションの名前を指定します。 種類を ネットワーク として設定します。 100 の優先順位値を追加します。

  9. 以下の例に示すように、規則の名前、ソースの種類、ソース、プロトコル、宛先ポート、および宛先の種類を入力します。 その後、 [追加] を選択します。 この規則により、VPN クライアント プールの任意の IP アドレスで、プライベート IP アドレス 10.18.04 を持つ VM にアクセスできるようになりますが、仮想ハブに接続されているその他のリソースにはアクセスできません。 必要なアーキテクチャに適したすべての規則とアクセス許可の規則を作成します。

    ファイアウォール規則

  10. [Next:脅威インテリジェンス] を選択します。

  11. 次へ:[次へ: ハブ] を選択します。

  12. [ハブ] タブで、 [Associate virtual hubs](仮想ハブの関連付け) を選択します。

  13. 先ほど作成した仮想ハブを選んでから、 [追加] を選択します。

  14. [Review + create](レビュー + 作成) を選択します。

  15. [作成] を選択します

このプロセスが完了するまで 5 分以上かかることがあります。

トラフィックを Azure Firewall 経由でルーティングする

このセクションでは、確実にトラフィックが Azure Firewall 経由でルーティングされるようにする必要があります。

  1. ポータルで、Firewall Manager から [セキュリティで保護された仮想ハブ] を選択します。
  2. 作成した仮想ハブを選択します。
  3. [設定][セキュリティの構成] を選択します。
  4. [Private traffic](プライベート トラフィック)[Send via Azure Firewall](Azure Firewall 経由で送信) を選択します。
  5. VNet 接続とブランチ接続のプライベート トラフィックが Azure Firewall によって保護されていることを確認します。
  6. [保存] を選択します。

検証

セキュリティ保護付きハブの設定を確認します。

  1. クライアント デバイスから VPN 経由で セキュリティ保護付き仮想ハブ に接続します。
  2. クライアントから IP アドレス 10.18.0.4 に Ping を実行します。 応答が表示されるはずです。
  3. クライアントから IP アドレス 10.18.0.5 に Ping を実行します。 応答は表示できないはずです。

考慮事項

  • セキュリティ保護付き仮想ハブ上の 有効なルート テーブル に、ファイアウォール経由のプライベート トラフィックの次のホップがあることを確認します。 有効なルート テーブルにアクセスするには、仮想ハブ リソースに移動します。 [接続] で、 [ルーティング] を選んでから、 [有効なルート] を選択します。 そこから、既定の ルート テーブルを選択します。
  • 規則の作成に関するセクションで規則を作成したことを確認します。 これらの手順を行わないと、作成した規則が実際にはハブに関連付けられず、ルート テーブルとパケット フローで Azure Firewall は使用されません。

次のステップ