Azure バーチャル WAN のデプロイにゼロ トラスト原則を適用する
最新のクラウド、モバイル デバイス、およびその他のエンドポイントの進化により、企業のファイアウォールと境界ネットワークのみに依存するだけでは十分ではなくなりました。 エンドツーエンドのゼロ トラスト戦略では、セキュリティ侵害は避けられないことを前提としています。 つまり、それぞれの要求を、まるで制御されていないネットワークから送信されたかのように検証する必要があります。 ネットワークは、インフラストラクチャ、アプリケーション、データを接続して保護するゼロ トラストにおいて、依然として重要な役割を果たします。 ゼロ トラスト モデルでは、ネットワークのセキュリティ保護に関して次の 3 つの重要な目標があります:
- 攻撃の発生前に対処できるように備える。
- 損害の範囲と拡散の速度を最小限に抑える。
- クラウド フットプリントの侵害をより困難にする。
Azure バーチャル WAN を使うと、バーチャルネットワーク (VNet)、ブランチ サイト、SaaS および PaaS アプリケーション、ユーザーのグローバルに分散したクラウド ワークロードのセットの間で、ユビキタスな Any-to-Any 接続を有効にすることにより、グローバル トランジット ネットワーク アーキテクチャを実現できます。 Azure バーチャル WAN でゼロ トラストアプローチを採用することは、バックボーンが安全で保護されていることを確認するために不可欠です。
この記事では、次の方法で Azure バーチャル WAN デプロイにゼロ トラストの原則を適用するステップについて説明します。
| ゼロ トラストの標準 | 定義 | 以下により適合 |
|---|---|---|
| 明示的に検証する | 常に利用可能なすべてのデータポイントに基づいて認証および承認してください。 | トランスポート層セキュリティ (TLS) 検査で Azureファイヤウォール を使用して、使用可能なすべてのデータに基づいてリスクと脅威を検証します。 条件付きアクセス制御は、さまざまなデータ ポイントによる認証と承認を提供することを目的としており、Azureファイヤウォール ではユーザー認証は実行されません。 |
| 最小限の特権アクセスを使用する | ジャスト・イン・タイムおよびジャスト・エナフ・アクセス(JIT/JEA)、リスクベースのアダプティブ・ポリシー、データ保護により、ユーザー・アクセスを制限します。 | ユーザー アクセスは、Azure ネットワーク インフラストラクチャのデプロイの範囲を超えています。 Privileged Access Management、条件付きアクセス、その他の制御などの ID 柱ソリューションを使用すると、この原則を実現できます。 |
| 侵害を前提とする | 影響範囲を最小限に抑えるために、アクセスをセグメント化します。 エンドツーエンドの暗号化を検証し、分析を使用して可視性を得て、脅威検出を促進し、防御を強化します。 | 各スポーク VNet は、各 Azure バーチャル WAN ハブ内に統合されたファイアウォール経由でトラフィックがルーティングされない限り、他のスポーク VNet にアクセスできません。 デフォルトでは、ファイアウォールは拒否に設定されており、指定されたルールで許可されているトラフィックのみを許可します。 1 つのアプリケーション/ワークロードが侵害または侵害された場合、Azureファイヤウォール がトラフィック検査を実行し、許可されたトラフィックのみを転送するため、分散する機能が制限されます。 同じワークロード内のリソースのみが、同じアプリケーションの侵害にさらされます。 |
Azure IaaS 環境全体でゼロ トラストの原則を適用する方法の詳細については、「Azure インフラストラクチャにゼロ トラスト原則を適用する」の概要を参照してください。
ゼロ トラストの業界ディスカッションについては、NIST 特別出版物 800-207を参照してください。
Azure バーチャル WAN
Azure バーチャル WAN は、ネットワーク、セキュリティ、ルーティングのさまざまな機能をまとめて、1 つの運用インターフェイスを提供するネットワーク サービスです。 主な機能の一部は次のとおりです。
- 高度なルーティング機能
- Azureファイヤウォール またはハブでサポートされているネットワークバーチャルアプライアンス (NVA) を介したセキュリティ "バンプインザワイヤ" 統合
- 暗号化された ExpressRoute
Azure バーチャル WAN のゼロ トラストアプローチでは、前述のゼロ トラスト原則表に基づく複数のサービスとコンポーネントを構成する必要があります。 ステップとアクションの一覧を次に示します。
- Azureファイヤウォール または サポートされている次世代ファイアウォール (NGFW) NVA を各 バーチャルWAN ハブ内にデプロイします。
- すべてのトラフィックをハブ内のセキュリティ アプライアンスに送信して検査を行うことで、VNet 間とオンプレミスのブランチ ルーティングを構成してゼロ トラスト環境を作成します。 既知の脅威に対するフィルター処理と保護を提供するようにルーティングを構成します。
- スポーク内のリソースがインターネットに直接アクセスできないようにします。
- イングレス/エグレスマイクロ境界戦略と共に、スポーク ネットワークでアプリケーションのマイクロセグメント化を提供します。
- ネットワーク セキュリティ イベントの可観測性を提供します。
参照アーキテクチャ
次の図は、一般的にデプロイされる環境と、ゼロ トラストの原則を Azure バーチャル WAN に適用する方法を示す一般的な参照アーキテクチャを示しています。
Azure バーチャル WAN は、Basic と Standard の種類でデプロイできます。 Azure ファイヤウォール または NGFW を使用して Azure バーチャル WAN にゼロ トラスト原則を適用するには、標準の種類が必要です。
セキュリティで保護されたハブを備えた Azure バーチャル WAN のリファレンス アーキテクチャには、次のものが含まれます。
- 1 つの論理バーチャル WAN。
- 2 つの安全なバーチャルハブ (リージョンごとに 1 つ)。
- Azureファイヤウォール のインスタンスプレミアム各ハブにデプロイされます。
- 少なくとも 1 つの Azureファイヤウォール プレミアム ポリシー。
- ポイント対サイト (P2S) およびサイト間 (S2S) VPN および ExpressRoute ゲートウェイ。
- P2S、S2S、および ExpressRoute に接続されたブランチ。
- カスタム DNS VM や Azure DNS プライベート リゾルバー、Active Directory ドメイン サービス [AD DS] など、バーチャルWAN ハブにデプロイできないコア インフラストラクチャ リソースを含む共有サービス VNet は、コントローラー、Azure Bastion、およびその他の共有リソースをメインします。
- 必要に応じて、Azure アプリlication Gateway、Azure Web アプリケーション ファイアウォール (WAF)、プライベート エンドポイントを含むワークロード VNet。
Azure バーチャル WAN では、ネイティブ Azureファイヤウォール の代替手段として、ハブ内に限定された一連の サード パーティ製ファイアウォール の統合がサポートされています。 この記事では、Azureファイヤウォール についてのみ説明します。 参照アーキテクチャの VNet 共有サービス スポークに含まれているのは、デプロイできる内容の一例にすぎません。 Microsoft は Azure バーチャル WAN ハブを管理します。Azureファイヤウォール とサポートされている NVA が明示的に許可するものを除き、その中に他のハブをインストールすることはできません。
この参照アーキテクチャは、バーチャルWAN ネットワーク トポロジのクラウド導入フレームワーク記事で説明されているアーキテクチャの原則に沿っています。
ルーティング セキュリティ
オンプレミス環境のルート伝達と分離のセキュリティ保護は、管理する必要がある重要なセキュリティ要素です。
トラフィックのセグメント化を除き、ルーティング セキュリティはネットワーク セキュリティ設計の重要な部分です。 ルーティング プロトコルは、Azure を含むほとんどのネットワークに不可欠な部分です。 構成ミスや悪意のある攻撃などのルーティング プロトコルに固有のリスクからインフラストラクチャを保護する必要があります。 VPNまたは ExpressRouteに使用される BGP プロトコルは、望ましくないルーティングの変更からネットワークを保護する非常に豊富な可能性を提供します。これには、特定のルートが多すぎる、またはルートが広すぎるというアドバタイズが含まれる可能性があります。
ネットワークを保護する最善の方法は、許可されているプレフィックスのみが Azure からネットワークに伝達されるように、適切な ルート ポリシー と ルート マップ を使用してオンプレミス デバイスを構成することです。 たとえば、次のようなことができます。
一般的すぎる受信プレフィックスをブロックします。
構成ミスが原因で、Azure が 0.0.0.0/0 や 10.0.0.0/8 などの汎用プレフィックスの送信を開始した場合、オンプレミス ネットワークに留まる可能性のあるトラフィックが引き付けられる可能性があります。
特定しすぎる受信プレフィックスをブロックします。
特定の状況では、Azure からいくつかの長い IPv4 プレフィックス (ネットワーク プレフィックスの長さ 30 から 32) を取得できます。これは通常、他のあまり固有ではないプレフィックスに含まれているため、必須ではありません。 これらのプレフィックスを削除すると、オンプレミスのルーティング テーブルが不必要に大きくなるのを防ぐことができます。
Azure をトランジット ネットワークとして使用している場合を除き、Azure にない受信プレフィックスをブロックします。
オンプレミスの場所 (ExpressRoute Global Reach などのテクノロジなど) 間でトラフィックを転送するために Azure を使用していない場合、Azure からアドバタイズされるオンプレミス プレフィックスはルーティング ループを示します。 オンプレミスのルーターで Azure プレフィックスを取るだけで、これらの種類のルーティング ループから保護されます。
オンプレミスではない送信プレフィックスをブロックします。
Azure リージョン間の転送にオンプレミス ネットワークを使用していない場合は、オンプレミスで使用しないプレフィックスを Azure にアドバタイズしないでください。 そうしないと、特にほとんどのルーターの eBGP 実装で優先されないリンク上のすべてのプレフィックスが再アドバタイズされるという事実を考えると、ルーティング ループを作成するリスクが発生します。 これは、eBGP マルチパスを構成していない限り、Azure プレフィックスを Azure に送り返す効果があります。
論理アーキテクチャ
Azure バーチャル WAN は、ハブおよびハブ内で利用できるサービスのコレクションです。 バーチャルWAN は必要な数をデプロイできます。 バーチャルWAN ハブには、VPN、ExpressRoute、Azureファイヤウォール、サード パーティの統合 NVA などの複数のサービスがあります。
次の図は、クラウド導入フレームワークに示すように、Azure バーチャル WAN デプロイ用の Azure インフラストラクチャの論理アーキテクチャを示しています。
リソースの大部分は、接続サブスクリプション内に含まれています。 複数リージョンにわたってデプロイする場合を含め、すべての バーチャルWAN リソースを、接続サブスクリプションにある単一リソース グループにデプロイします。 Azure VNet スポークはランディング ゾーン サブスクリプションにあります。 継承と階層の Azureファイヤウォール ポリシーを使用する場合は、親ポリシーと子ポリシーが同じリージョンに存在する必要があります。 あるリージョンで作成したポリシーを、別のリージョンのセキュリティで保護されたハブに適用することもできます。
この記事の内容は?
この記事では、Azure バーチャル WAN 参照アーキテクチャ全体にゼロ トラストの原則を適用するステップについて説明します。
| ステップ | タスク | 適用されるゼロトラストの原則 |
|---|---|---|
| 1 | Azureファイヤウォール ポリシーを作成する。 | 明示的に検証する 侵害を前提とする |
| 2 | Azure バーチャル WAN ハブをセキュリティで保護されたハブに変換します。 | 明示的に検証する 侵害を前提とする |
| 3 | トラフィックをセキュリティで保護します。 | 明示的に検証する 侵害を前提とする |
| 4 | スポーク VNet をセキュリティで保護します。 | 侵害を前提とする |
| 5 | 暗号化の使用を確認します。 | 侵害を前提とする |
| 6 | P2S ユーザーをセキュリティで保護します。 | 侵害を前提とする |
| 7 | 監視、監査、および管理を構成します。 | 侵害を前提とする |
ステップ 1 とステップ 2 を順番に実行する必要があります。 その他のステップは、任意の順序で実行できます。
ステップ 1:Azureファイヤウォール ポリシーを作成する。
クラシック ハブ アンド スポーク アーキテクチャでのスタンドアロンの Azureファイヤウォール デプロイの場合は、Azure ファイヤウォール マネージャー で少なくとも 1 つの Azure ポリシーを作成し、Azure バーチャル WAN ハブに関連付ける必要があります。 ハブを変換する前に、このポリシーを作成して使用できるようにする必要があります。 ポリシーが定義されると、ステップ 2 で Azureファイヤウォール インスタンスに適用されます。
Azure ファイヤウォール ポリシーは、親子階層に配置できます。 クラシック ハブ アンド スポーク シナリオまたはマネージド Azure バーチャル WAN の場合は、トラフィックを許可または拒否するために、IT 全体のセキュリティ規則の共通セットを使用してルート ポリシーを定義する必要があります。 その後、ハブごとに、継承を通じてハブ固有の規則を実装する子ポリシーを定義できます。 このステップはオプションです。 各ハブに適用する必要があるルールが同一の場合は、1 つのポリシーを適用できます。
ゼロ トラストでは、プレミアム Azureファイヤウォール ポリシーが必要であり、次の設定を含める必要があります。
DNS プロキシ – 共有サービス スポークまたはオンプレミスに存在する実際の DNS を保護するスポーク VNet 用のカスタム DNS サーバーとして Azureファイヤウォール を構成する必要があります。 Azure ファイアウォールは DNS プロキシとして機能し、UDP ポート 53 でリッスンし、ポリシー設定で指定された DNS サーバーに DNS 要求を転送します。 すべてのスポークについて、バーチャルWAN ハブ内の Azureファイヤウォール の内部 IP アドレスを指すバーチャルネットワーク レベルで DNS サーバーを構成する必要があります。 スポークとブランチからカスタム DNS へのネットワーク アクセスを許可しないでください。
次のシナリオでは、TLS 検査を有効にする必要があります。
Azure でホストされている内部クライアントからインターネットに送信される悪意のあるトラフィックから保護するアウトバウンド TLS インスペクション。
East-West TLS インスペクションには、オンプレミスのブランチとの間で送受信されるトラフィック、および バーチャルWAN スポーク間で行われるトラフィックが含まれます。これにより、Azure 内から送信される潜在的な悪意のあるトラフィックから Azure ワークロードが保護されます。
侵入検出および防止システム (IDPS) は、「アラートと拒否」 モードで有効にする必要があります。
脅威インテリジェンス は、「アラートと拒否」モードで有効にする必要があります。
ポリシーの作成の一環として、明示的に許可されたトラフィックに対してネットワーク フローのみを有効にするために必要な宛先ネットワーク アドレス変換 (DNAT) 規則、ネットワーク 規則、およびアプリケーション 規則を作成する必要があります。 選択したターゲットに対して TLS 検査を有効にするには、対応するアプリケーション ルールで "TLS 検査" 設定が有効になっている必要があります。 ルール コレクションでルールを作成する場合は、最も制限の厳しい 「宛先」 と 「宛先の種類」を使用する必要があります。
ステップ 2:Azure バーチャル WAN ハブをセキュリティで保護されたハブに変換する
Azure バーチャル WAN のゼロ トラストアプローチの中核となるのは、セキュリティで保護された バーチャルWAN ハブ (セキュリティで保護されたハブ) の概念です。 安全なハブハブは、Azureファイヤウォール を備えた Azure バーチャル WAN ハブです。 サード パーティからサポートされているセキュリティ アプライアンスの使用は、Azureファイヤウォール の代替手段としてサポートされていますが、この記事では説明されていません。 これらのバーチャルアプライアンスを使用して、南北と東西およびインターネットに向かうすべてのトラフィックを検査できます。
ゼロ トラスト用の Azureファイヤウォール プレミアムをお勧めします。また、ステップ 1で説明したプレミアム ポリシーを使用して構成することをお勧めします。
Note
セキュリティで保護されたハブでは、DDoS Protection の使用は サポートされていません 。
手順については、バーチャルWAN ハブへの Azureファイヤウォール のインストールを参照してください。
ステップ 3:トラフィックをセキュリティで保護する
すべての Azure バーチャル WAN ハブをセキュリティで保護されたハブにアップグレードしたら、ゼロ トラスト原則に対してルーティングの意図とポリシーを構成する必要があります。 この構成により、各ハブの Azureファイヤウォール は、同じハブ内およびリモート ハブ間のスポークとブランチ間のトラフィックを引き付けて検査できます。 "インターネット トラフィック" と "プライベート トラフィック" の両方を Azureファイヤウォール またはサード パーティの NVA 経由で送信するようにポリシーを構成する必要があります。 "ハブ間" オプションも有効にする必要があります。 次に例を示します。
"プライベート トラフィック" ルーティング ポリシーが有効になっている場合、バーチャルWAN ハブとの間の VNet トラフィック (ハブ間トラフィックを含む) は、ポリシーで指定された次ホップの Azureファイヤウォール または NVA に転送されます。 ロールベースのアクセス制御 (RBAC) 特権を持つユーザーは、スポーク VNet の バーチャルWAN ルート プログラミングをオーバーライドし、カスタム ユーザー定義ルート (UDR) を関連付けてハブ ファイアウォールをバイパスできます。 この脆弱性を回避するには、 スポーク VNet サブネットに UDR を割り当てる RBAC アクセス許可 を中央ネットワーク管理者に制限し、スポーク VNet のランディング ゾーン所有者に委任しないようにする必要があります。 UDR を VNet またはサブネットに関連付けるには、ユーザーが "Microsoft.Network/routeTables/join/action" アクションまたはアクセス許可を持つネットワーク共同作成者ロールまたはカスタム ロールを持っている必要があります。
Note
この記事では、Azureファイヤウォール は主にインターネット トラフィックとプライベート トラフィック制御の両方について考慮されています。 インターネット トラフィックの場合は、サード パーティのサポートされているセキュリティ NVA またはサード パーティのサービスとしてのセキュリティ (Standard Edition CaaS) プロバイダーを使用できます。 プライベート トラフィックの場合、Azureファイヤウォール の代わりに、サードパーティがサポートするセキュリティ NVA を使用できます。
Note
Azure バーチャル WAN のカスタム ルート テーブル は、ルーティングの意図とポリシーと組み合わせて使用することはできないため、セキュリティ オプションと見なすべきではありません。
ステップ 4:スポーク VNet をセキュリティで保護する
各 Azure バーチャル WAN ハブは、VNet ピアリングに接続された 1 つ以上の VNet を持つことができます。 クラウド導入フレームワークのランディング ゾーン モデルに基づいて、すべての VNet には、組織をサポートするランディング ゾーンのワークロード、アプリケーション、サービスが含まれます。 Azure バーチャル WAN は、接続、ルートの伝達と関連付け、および送信と受信のルーティングを管理しますが、VNet 内のセキュリティに影響を与えることはできません。 ゼロ トラスト原則は、以下で公開されているガイダンスに従って、各スポーク VNet 内で適用する必要があります。ゼロ トラスト原則を、バーチャルマシンやストレージなどのリソースの種類に応じて、スポークバーチャルネットワークやその他の記事に適用します。 次の要素を考慮してください。
マイクロセグメント化:Azure バーチャル WAN が送信トラフィックを引き付けてフィルター処理する場合でも、ネットワーク セキュリティ グループ (NSG) とアプリケーション セキュリティ グループ (ASG) を使用して VNet 内フローを規制することをお勧めします。
ローカル DMZ:Azure バーチャル WAN ハブ内の中央のファイアウォールで作成された DNAT ルールは、http または https 以外の受信トラフィックをフィルター処理して許可する必要があります。 受信 http または https トラフィックは、ローカル Azure アプリlication Gateway と関連する Web アプリケーション ファイアウォールによって管理する必要があります。
Azure バーチャル WAN のセキュリティで保護されたバーチャルハブはまだ Azure DDoS Protection をサポートしていませんが、スポーク VNet 内のインターネットに接続するエンドポイントを保護するために DDoS を使用することは可能であり、強くお勧めします。 詳細については、Azureファイヤウォール マネージャー の既知の問題、およびハブのバーチャルネットワークとセキュリティ保護付きバーチャルハブの比較に関する記事を参照してください。
高度な脅威の検出と保護:スポークバーチャルネットワークにゼロ トラスト原則を適用するを参照してください。 スポーク内の要素は、Microsoft Defender for Cloud などの脅威保護ツールで保護する必要があります。
Azure バーチャル WAN のハブは Azure によってロックおよび管理されているため、カスタム コンポーネントをそこにインストールしたり有効にしたりすることはできません。 通常、クラシック ハブとスポーク モデルでハブ内にデプロイされる一部のリソースは、共有リソース ネットワークとして機能する 1 つ以上のスポークに配置する必要があります。 次に例を示します。
- Azure Bastion:Azure Bastion は Azure バーチャル WAN をサポートしますが、ハブは Azure によって制限および管理されるため、スポークバーチャルネットワーク内にデプロイする必要があります。 Azure Bastion スポークから、ユーザーは他の VNet 内のリソースにアクセスできますが、Azure Bastion Standard SKU で使用可能な IP ベースの接続が必要です。
- カスタム DNS サーバー: DNS サーバー ソフトウェアは、任意のバーチャルマシンにインストールでき、Azure バーチャル WAN 内のすべてのスポークの DNS サーバーとして機能します。 DNS サーバーは、他のすべてのスポークに直接サービスを提供するスポーク VNet にインストールするか、バーチャルWAN ハブ内に統合された Azureファイヤウォール によって提供される DNS プロキシ機能を介してインストールする必要があります。
- Azure プライベート DNS リゾルバー:Azure プライベート DNS リゾルバーのデプロイは、バーチャルWAN ハブに接続されているいずれかのスポーク VNet 内でサポートされます。 バーチャルWAN ハブ内に統合された Azureファイヤウォール は、DNS プロキシ機能を有効にするときに、このリソースをカスタム DNS として使用できます。
- プライベート エンドポイント: このリソースの種類 は バーチャルWAN と互換性がありますが 、スポーク VNet 内にデプロイする必要があります。 これにより、統合された Azureファイヤウォール でフローが許可されている場合、同じ バーチャルWAN に接続されている他のバーチャルネットワークまたはブランチへの接続が提供されます。 バーチャルWAN ハブ内に統合された Azureファイヤウォール を使用してプライベート エンドポイントへのトラフィックを保護する方法については、「Azure バーチャル WAN のプライベート エンドポイント宛てのトラフィックを保護する」を参照してください。
- Azure プライベート DNS ゾーン (リンク): この種類のリソースはバーチャルネットワーク内に存在しませんが、正しく機能するためには、それらにリンクする必要があります。 プライベート DNS ゾーンを バーチャルWAN ハブにリンクすることができません。 代わりに、カスタム DNS サーバーまたは Azure プライベート DNS リゾルバー (推奨) を含むスポーク VNet に接続するか、そのゾーンの DNS レコードを必要とするスポーク VNet に直接接続する必要があります。
ステップ 5:暗号化を確認する
Azure バーチャル WAN には、Microsoft ネットワークに入るトラフィック用の独自のゲートウェイを介したトラフィック暗号化機能がいくつか用意されています。 可能な限り、ゲートウェイの種類に基づいて暗号化を有効にする必要があります。 次の既定の暗号化動作を検討してください。
バーチャルWAN S2S VPN ゲートウェイは、IPsec/IKE (IKEv1 および IKEv2) VPN 接続を使用する場合に暗号化を提供します。
バーチャルWAN P2S VPN ゲートウェイは、OpenVPN または IPsec/IKE (IKEv2) 経由でユーザー VPN 接続を使用する場合に暗号化を提供します。
バーチャルWAN ExpressRoute ゲートウェイでは暗号化が提供されないため、スタンドアロンの ExpressRoute と同じ考慮事項が適用されます。
ExpressRoute Direct 上にプロビジョニングされた ExpressRoute 回線の場合にのみ、プラットフォームが提供する MACsec 暗号化を利用して、エッジ ルーターと Microsoft のエッジ ルーター間の接続をセキュリティで保護することができます。
暗号化は、オンプレミス ネットワークから Azure ExpressRoute 回線のプライベート ピアリングを介した Azure への IPsec/IKE VPN 接続を使用して確立できます。 ルーティングの意図とポリシーでは、Encrypted ExpressRouteで説明されているように、追加の構成ステップが必要なこの構成がサポートされるようになりました。
バーチャルWAN ハブに統合されたサード パーティ製 ソフトウェア定義 WAN (SD-WAN) デバイスと NVA の 場合、ベンダーのドキュメントに従って特定の暗号化機能を検証して構成する必要があります。
トラフィックがゲートウェイまたは SD-WAN/NVA のいずれかを介して Azure ネットワーク インフラストラクチャに入ると、ネットワーク暗号化を提供する特定の バーチャルWAN サービスや機能はありません。 ハブとそのバーチャルネットワークとハブ間のトラフィックが暗号化されていない場合は、必要に応じてアプリケーション レベルの暗号化を使用する必要があります。
Note
バーチャルWAN スポークは、バーチャルWAN ハブ リモート ゲートウェイを使用するためにスポークが必要であるため、Azure VPN Gateway を使用した VNet 間暗号化をサポートしていません。
ステップ 6:P2S ユーザーをセキュリティで保護する
Azure バーチャル WAN は、ネットワーク、セキュリティ、ルーティングのさまざまな機能をまとめて、1 つの運用インターフェイスを提供するネットワーク サービスです。 ユーザー ID の観点からは、バーチャルWAN の唯一のタッチ ポイントは、ユーザー P2S VPN を許可するために使用される認証方法にあります。 いくつかの認証方法を使用できますが、Microsoft Entra 認証の一般的なゼロ トラスト原則に従うことをお勧めします。 Microsoft Entra ID を使用すると、Multi-Factor Authentication (MFA) を要求でき、条件付きアクセスはクライアント デバイスとユーザー ID にゼロ トラスト原則を適用します。
Note
Microsoft Entra 認証は、OpenVPN プロトコルを使用するゲートウェイでのみ使用できます。OpenVPN プロトコルは、OpenVPN プロトコル接続でのみサポートされ、Azure VPN クライアントが必要です。
Azure バーチャル WAN と Azureファイヤウォール では、ユーザー アカウントまたはグループ名に基づくトラフィック ルーティングとフィルター処理は提供されませんが、異なるユーザー グループに異なる IP アドレス プールを割り当てることができます。 その後、統合された Azureファイヤウォール でルールを定義して、割り当てられた P2S IP アドレス プールに基づいてユーザーまたはグループを制限できます。
P2S ユーザーをネットワーク アクセス要件に基づいて異なるグループに分割する場合は、ネットワーク レベルで区別し、内部ネットワークのサブセットにのみアクセスできるようにすることをお勧めします。 Azure バーチャル WAN 用に複数の IP アドレス プールを作成できます。 詳細については、P2S ユーザー VPN のユーザー グループと IP アドレス プールの構成を参照してください。
ステップ 7:監視、監査、および管理を構成する
Azure バーチャル WAN には、 Azure Monitorを使用した広範な監視と診断機能が用意されています。 追加の詳細とトポロジは、Azure portal の Azure Monitor インサイト for バーチャルWAN という名前の、重点を置いた事前構築済みの監視ダッシュボードを使用して取得できます。 これらの監視ツールはセキュリティ固有ではありません。 各 バーチャルWAN ハブ内にデプロイされた Azureファイヤウォール は、ゼロ トラストとセキュリティの監視のための統合ポイントを提供します。 Azureファイヤウォールの診断とログ記録は、バーチャルWAN 外の Azureファイヤウォール と同じように構成する必要があります。
Azure ファイヤウォール には、セキュリティを確保し、ゼロ トラスト原則を正しく適用するために使用する必要がある、次の監視ツールが用意されています。
Azureファイヤウォール Policy Analytics を使うと、分析情報、一元的な可視性、制御を Azureファイヤウォール に提供できます。 セキュリティでは、内部インフラストラクチャを保護するために適切なファイアウォール規則が適用され、効果的である必要があります。 Azure Portal には、ファイアウォール エンジン IDPS と脅威インテリジェンス機能によって生成される "潜在的な悪意のあるソース" に関する詳細がまとめられます。
Azureファイヤウォール ブックにより、Azureファイヤウォール のデータ分析のための柔軟なキャンバスが提供されます。 Azureファイヤウォール のイベントの分析情報を得たり、アプリケーションやネットワークの規則について調べたり、URL、ポート、アドレスでのファイアウォール アクティビティの統計を確認したりできます。 IDPS ログ統計チェック定期的に確認し、[調査] タブから、拒否されたトラフィック、送信元と送信先のフロー、脅威インテリジェンス レポートをチェックして、ファイアウォール規則を確認して最適化することを強くお勧めします。
Azureファイヤウォール は、Microsoft Defender for Cloud および Microsoft Sentinel とも統合します。 両方のツールを正しく構成し、次の方法でゼロ トラストにアクティブに使用することを強くお勧めします。
- Microsoft Defender for Cloud 統合を使用すると、ネットワーク インフラストラクチャとネットワーク セキュリティの全状態を 1 か所で視覚化できます。これには、Azure のすべての VNet 間の Azure ネットワーク セキュリティや、Azure のさまざまなリージョンに分散された バーチャル Hubs が含まれます。 一目で、Azureファイヤウォールs がデプロイされている Azureファイヤウォール、ファイアウォール ポリシー、Azure リージョンの数を確認できます。
- シームレスな Azureファイヤウォール 統合のための Microsoft Sentinel ソリューション は、脅威の検出と防止を提供します。 デプロイ後、このソリューションでは、Microsoft Sentinel の上に組み込みのカスタマイズ可能な脅威検出が可能になります。 このソリューションには、ワークブック、検出、ハンティング クエリ、プレイブックが含まれます。
管理者向けのトレーニング
次のトレーニング モジュールは、Azure バーチャル WAN デプロイにゼロ トラスト原則を適用するために必要なスキルをチームに提供します。
Azure バーチャル WAN の概要
| トレーニング | Azure バーチャル WAN の概要 |
|---|---|
|
ソフトウェア定義の Azure バーチャル WAN ネットワーキング サービスを使用してワイド エリア ネットワーク (WAN) を構築する方法について説明します。 |
Azureファイヤウォール の概要
| トレーニング | Azureファイヤウォール の概要 |
|---|---|
|
Azureファイヤウォール の機能、ルール、デプロイ オプション、Azureファイヤウォール マネージャー による管理など、Azureファイヤウォール が Azure VNet リソースを保護する方法について説明します。 |
Azureファイヤウォール マネージャー の概要
| トレーニング | Azureファイヤウォール マネージャー の概要 |
|---|---|
|
Azureファイヤウォール マネージャー を使用して、クラウドベースのセキュリティ境界に集約型セキュリティ ポリシーとルート管理を提供できるかどうかについて説明します。 Azureファイヤウォール マネージャー がクラウド境界を保護するのに役立つかどうかを判断します。 |
ネットワーク セキュリティを設計して実装する
| トレーニング | ネットワーク セキュリティを設計して実装する |
|---|---|
|
Azure DDoS、ネットワーク セキュリティ グループ、Azureファイヤウォール、Web アプリlication Firewall などのネットワーク セキュリティ ソリューションを設計して実装する方法について学習します。 |
Azure のセキュリティに関する詳細なトレーニングについては、Microsoft カタログの以下のリソースを参照してください:
Azure におけるセキュリティ
次のステップ
azure にゼロ トラスト標準を適用する場合は、次の追加の記事を参照してください。
- Azure IaaS の概要
- Azure Virtual Desktop
- アマゾン ウェブ サービスの IaaS アプリケーション
- Microsoft Sentinel と Microsoft Defender XDR
リファレンス
この記事でメンションされているさまざまなサービスとテクノロジについては、次のリンクを参照してください。
Azure バーチャル WAN
- Azure バーチャル WAN の概要
- バーチャルWAN ハブのルーティング ポリシーの構成方法
- Azureファイヤウォール をバーチャル WAN ハブにインストールする
- セキュリティ保護付きバーチャルハブとは
- バーチャルWAN ハブのルーティング ポリシーの構成方法
- チュートリアル:Azureファイヤウォール マネージャー を使用してバーチャルハブのセキュリティを保護する
- チュートリアル:Azure PowerShell を使用してバーチャルハブをセキュリティで保護する
- バーチャルWAN 間でプライベート リンク サービスを共有する
- P2S クライアント用のスポーク VNet にあるリソースへのセキュリティで保護されたアクセスを管理する
セキュリティ ベースライン
Well-Architected Framework のレビュー
Azure のセキュリティ
- Azure セキュリティの概要
- ゼロトラスト実装ガイダンス
- Microsoft クラウド セキュリティ ベンチマークの概要
- Azure セキュリティ サービスを使用して防御の第 1 層をビルドする
- Microsoft サイバーセキュリティ リファレンス アーキテクチャ
テクニカルイラスト
この記事で使用されている図をダウンロードできます。 Visio ファイルを使用して、これらの図を独自の用途に合わせて変更します。
その他の技術的な図については、ここをクリックしてください。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示