次の方法で共有

Azure ネットワーク セキュリティとは

ネットワーク セキュリティは、さまざまな脅威や攻撃からクラウド上で実行されるデータとアプリケーションを保護するクラウド コンピューティングの重要な側面です。 Azure には、クラウド内のセキュリティで保護された回復性のあるネットワークを設計、デプロイ、管理できる包括的なネットワーク セキュリティ ソリューションのセットが用意されています。

Azure Firewall、Azure DDoS Protection、Azure Web Application Firewall のアイコンを示すスクリーンショット。

Azure ネットワーク セキュリティの基本原則の 1 つは ゼロ トラスト モデルです。このモデルでは、いかなるネットワークやデバイスも、本質的にセキュアまたは信頼できるとはみなされないと想定されています。 代わりに、すべての要求と接続はデータ、身元、およびコンテキストに基づき、検証と確認を行う必要があります。 ゼロ トラスト モデルは、不正アクセスを防ぎ、横移動を制限し、ネットワークの攻撃対象領域を減らすのに役立ちます。

ソリューションの選択

Azure ワークロードに適したネットワーク セキュリティ ソリューションの選択は、特定のニーズと要件によって異なります。 Azure には、ワークロードを保護するために個別に、または組み合わせて使用できるさまざまなネットワーク セキュリティ サービスが用意されています。 ネットワーク セキュリティ ソリューションを選択する際に考慮すべき重要な要素を次に示します。

  • ワークロードの種類: ワークロードによってセキュリティ要件が異なります。 たとえば、Web アプリケーションでは Web 攻撃に対する保護が必要になる場合があり、仮想マシンではネットワーク ベースの攻撃に対する保護が必要な場合があります。
  • デプロイ モデル: Azure には、仮想アプライアンス、マネージド サービス、統合ソリューションなど、ネットワーク セキュリティ サービスのさまざまなデプロイ モデルが用意されています。 ニーズと要件に最適なモデルを選択します。
  • 他の Azure サービスとの統合: 多くの Azure ネットワーク セキュリティ サービスは、Azure Monitor、Azure Security Center、Microsoft Sentinel などの他の Azure サービスと統合されます。 セキュリティと監視を強化するために、既存の Azure サービスと簡単に統合できるソリューションを選択します。
  • コスト: ネットワーク セキュリティ サービスによって価格モデルが異なります。 予算に合ったソリューションを選択し、必要なレベルの保護を提供します。
  • コンプライアンス要件: 業界と場所によっては、ネットワーク セキュリティ ソリューションが満たす必要がある特定のコンプライアンス要件が存在する場合があります。 これらの要件を満たすのに役立つソリューションを選択します。
  • スケーラビリティ: ワークロードの成長に合わせて、ネットワーク セキュリティ ソリューションをスケールできる必要があります。 セキュリティを損なうことなく、トラフィックとワークロードの増加を処理できるソリューションを選択します。
  • 管理と監視: ダッシュボード、アラート、レポートなどの簡単な管理機能と監視機能を提供するソリューションを選択します。 これにより、セキュリティ インシデントをすばやく特定して対応できます。

Azure Firewall

Azure Firewall は、組み込みの高可用性と無制限のクラウド スケーラビリティを備えた完全なステートフル保護を提供する、クラウドネイティブでインテリジェントなネットワーク ファイアウォール サービスです。 Azure ワークロードのネットワーク レベルとアプリケーション レベルのセキュリティの両方が提供されます。 マネージド サービスとして、Azure Firewall を仮想ネットワークにデプロイし、Azure Monitor、Azure Security Center、Microsoft Sentinel などの他の Azure サービスとシームレスに統合して、セキュリティと監視を強化できます。

Azure Firewall がインターネットとの間のトラフィックを検査してから宛先にルーティングする方法を示す図。

ニーズに応じて、次の 3 つの Azure Firewall SKU から選択できます。

  • 基本: Basic SKU は、Azure ワークロードの単純なファイアウォール ソリューションに対するコスト効率の高いオプションです。 ネットワークとアプリケーションのフィルター処理、ネットワーク アドレス変換、ログ記録などの重要な機能が提供されます。
  • Standard: Standard SKU は、DNS プロキシや Web カテゴリなどの追加機能を含む、より高度なオプションです。 これは、Azure ワークロードでより包括的なファイアウォール ソリューション向けに設計されています。
  • Premium: Premium SKU は、Standard SKU のすべての機能に加えて、TLS 検査、侵入の検出と防止、URL フィルタリングなどの追加機能を含む最も高度なオプションです。 これは、Azure ワークロードの最高レベルのセキュリティと制御のために設計されています。

活用事例

  • ネットワーク セキュリティ: ネットワーク ベースの攻撃や未承認のアクセスから Azure ワークロードを保護します。
  • アプリケーションのセキュリティ: アプリケーションベースの攻撃や脆弱性から Azure ワークロードを保護します。
  • 侵入の検出と防止: ネットワークの悪意のあるアクティビティを監視し、このアクティビティに関する情報をログに記録し、報告し、必要に応じてブロックを試みます。
  • TLS 検査: TLS トラフィックを検査および復号化して、暗号化されたトラフィックに隠されている脅威を検出してブロックします。
  • URL フィルタリング: 組織のポリシーに基づいて、特定の URL または URL カテゴリへのアクセスを制御します。

詳細については、「 Azure Firewall の概要」を参照してください。

Azure DDoS対策

Azure DDoS Protection は、DDoS 攻撃から防御するための強化された DDoS 軽減機能を提供するサービスです。 仮想ネットワーク内の特定の Azure リソースの保護に役立つよう、自動的に調整されます。 保護は、新規または既存の仮想ネットワークまたはパブリック IP アドレス リソースで簡単に有効にでき、アプリケーションやリソースを変更する必要はありません。

  • IP 保護: Azure DDoS IP Protection は、パブリック IP アドレスが割り当てられている Azure リソースの保護を提供します。 これは、帯域幅消費型、プロトコル、およびアプリケーション層の攻撃から保護します。

    パブリック IP アドレスを持つリソースに適用される Azure DDoS Protection を示す図。

  • ネットワーク保護: Azure DDoS ネットワーク保護は、パブリック IP アドレスが割り当てられている仮想ネットワーク内の Azure リソースを保護します。 これには、DDoS Rapid Response のサポート、コスト保護、WAF 割引などの追加機能があります。

    ハブ アンド スポーク トポロジの仮想ネットワーク レベルで有効になっている Azure DDoS Protection を示す図。

活用事例

  • DDoS 攻撃に対する保護: 帯域幅消費型攻撃、プロトコル攻撃、アプリケーション層攻撃など、DDoS 攻撃から Azure リソースを保護します。
  • コスト保護: DDoS 攻撃による予期しないコストから Azure リソースを保護します。
  • 迅速な対応: DDoS 攻撃が発生した場合の Azure DDoS エキスパートからの迅速な対応サポートを受けます。

詳細については、Azure DDoS Protection の概要に関する記事を参照してください。

Azure Web アプリケーション ファイアウォール

Azure Web Application Firewall (WAF) は、一般的な悪用や脆弱性から Web アプリケーションを一元的に保護する Web アプリケーション ファイアウォールです。 WAF では、ルールを使用して HTTP 要求と応答を監視し、定義した規則に基づいてトラフィックをブロックまたは許可できます。

Azure Application Gateway と Azure Front Door の両方に適用される Azure Web Application Firewall を示す図。有効な要求を許可し、Web 攻撃をブロックします。

WAF は、次の 2 つのデプロイ オプションで使用できます。

  • Azure Application Gateway WAF: Azure Application Gateway は、Web アプリケーションへのトラフィックを管理できる Web トラフィック (OSI レイヤー 7) ロード バランサーです。
  • Azure Front Door WAF: Azure Front Door は、グローバル アプリケーションを迅速に配信するためのスケーラブルで安全なエントリ ポイントです。 これは、インスタント フェールオーバーを使用した SSL オフロード、アプリケーションアクセラレーション、グローバル負荷分散を提供します。

活用事例

  • Web 攻撃に対する保護: SQL インジェクションやクロスサイト スクリプティング (XSS) などの一般的な悪用や脆弱性から Web アプリケーションを保護します。
  • 一元管理: Web アプリケーションのファイアウォール規則とポリシーを 1 つの場所から管理します。
  • Azure サービスとの統合: セキュリティとパフォーマンスを強化するために、WAF を Azure Application Gateway や Azure Front Door などの他の Azure サービスと統合します。
  • カスタム ルール: 特定のセキュリティ要件とポリシーを満たすカスタム 規則を作成します。
  • ボット保護: 悪意のあるボットや自動攻撃から Web アプリケーションを保護します。

詳細については、 Azure Web アプリケーション ファイアウォールの概要に関するページを参照してください。

Azure portal での操作

Azure portal では、 ネットワーク セキュリティ サービスを管理するための統合されたエクスペリエンスが提供されます。 1 つの場所からネットワーク セキュリティ サービスを簡単に作成および管理でき、サービスの状態と正常性を表示することもできます。

Azure portal でのネットワーク セキュリティの選択エクスペリエンスのスクリーンショット。

一般的なネットワーク セキュリティ シナリオ

ネットワーク セキュリティ ハブでは現在、次のデプロイ オプションがサポートされています。

  • セキュリティで保護されたハブアンドスポーク仮想ネットワーク: ハブとして指定された仮想ネットワークに Azure Firewall をデプロイします。 このハブ仮想ネットワークは、仮想ネットワーク ピアリングを使用して複数のスポーク仮想ネットワークに接続できます。 Azure Firewall は、ファイアウォールの規則と構成を定義する Azure Firewall ポリシーに関連付けられています。 このデプロイ モデルは、ネットワークのセキュリティと管理を 1 か所で一元化しようとしている組織に最適です。

  • 大規模な仮想 WAN の保護: Azure Virtual WAN のセキュリティで保護されたハブに Azure Firewall をデプロイします。 Azure Firewall は Azure Firewall ポリシーに関連付けられ、セキュリティで保護されたハブは複数のブランチ オフィスとリモート ユーザーに接続されます。 このデプロイ モデルは、Azure Virtual WAN を使用して複数のブランチ オフィスとリモート ユーザーを Azure リソースに接続する組織に最適です。

  • Web アプリケーションのゼロ トラスト: Azure Application Gateway と Azure Web Application Firewall (WAF) ポリシーを使用して、一般的な悪用や脆弱性から地域の Web アプリケーションを保護します。 WAF ポリシーをカスタマイズして、Web アプリケーションの特定のセキュリティ ニーズに効果的に対処します。

  • クラウド コンテンツを安全に配信する: Azure Front Door と Azure Web Application Firewall (WAF) ポリシーを使用して、グローバル Web アプリケーションの配信を保護および最適化します。 このデプロイ モデルにより、セキュリティで保護された効率的なアプリケーション パフォーマンスが保証され、WAF ポリシーをカスタマイズして特定のセキュリティ ニーズに対応できるようになります。

次のステップ

各 Azure ネットワーク セキュリティ サービスのさまざまな機能の詳細を確認します。

Azure ネットワーク セキュリティに関するドキュメント