次の方法で共有

ネットワーク セキュリティ境界で Azure Monitor を構成する

この記事では、Azure Monitor リソースの ネットワーク セキュリティ境界 を構成するプロセスについて説明します。 ネットワーク セキュリティ境界は、仮想ネットワークの外側にデプロイされた PaaS サービス間の通信に対してセキュリティ保護された境界を提供するネットワーク分離機能です。 これらの PaaS サービスは、境界内で相互に通信でき、受信と送信のパブリック アクセス規則を使って境界の外側にあるリソースとも通信できます。

ネットワーク セキュリティ境界では、サポートされている Azure Monitor リソースのネットワーク分離の設定を使ってネットワーク アクセスを制御できます。 ネットワーク セキュリティ境界を構成したら、次のアクションを実行できます。

  • ネットワーク セキュリティ境界に定義されている受信および送信アクセス規則に基づいて、サポートされている Azure Monitor リソースへのネットワーク アクセスを制御します。
  • サポートされている Azure Monitor リソースへのすべてのネットワーク アクセスをログします。
  • ネットワーク セキュリティ境界にないサービスへのデータ流出をブロックします。

ヒント

Azure Monitor リソースをネットワーク セキュリティ境界に移行する方法のガイダンスについては、「 Azure のネットワーク セキュリティ境界への移行」を参照してください。

地域

Azure ネットワーク セキュリティ境界は、Azure Monitor がサポートされているすべてのパブリック クラウド リージョンで使用できます。

現在の制限

  • ストレージ アカウント/イベント ハブを使用した Log Analytics のエクスポート シナリオでは、Log Analytics ワークスペースとストレージ アカウント/イベント ハブの両方が同じ境界の一部である必要があります。
  • ネットワーク セキュリティ境界をサポートする Azure リソースのみが、ネットワーク セキュリティ境界内の宛先で診断設定を使用できます。 また、監視対象のリソースは、宛先と同じネットワーク セキュリティ境界内に存在する必要があります。
  • グローバル アクション グループ リソースは、ネットワーク セキュリティ境界をサポートしていません。 ネットワーク セキュリティ境界をサポートするリージョン アクション グループ リソースを作成する必要があります。
  • ネットワーク セキュリティ境界に関連付けられている Log Analytics ワークスペースでは、リソース間クエリがブロックされます。 これには、ADX クラスター経由のワークスペースへのアクセスが含まれます。
  • ネットワーク セキュリティ境界アクセス ログは、30 分ごとにサンプリングされます。
  • Log Analytics ワークスペースのレプリケーション はサポートされていません。
  • Azure Event Hubs からのイベントの取り込 みはサポートされていません。
  • Azure Monitor ワークスペースを使用したデータの収集とクエリはサポートされていません。

これらの制限は、Sentinel 対応の Log Analytics ワークスペースにも適用されます。

サポートされているコンポーネント

ネットワーク セキュリティ境界でサポートされている Azure Monitor のコンポーネントを、API の最小バージョンと共に次の表に示します。 ネットワーク セキュリティ境界でサポートされている他の Azure サービスの一覧については、「 オンボードされたプライベート リンク リソース 」を参照してください。

リソース リソースの種類 API バージョン
データ収集エンドポイント (DCE) Microsoft インサイツ / データ収集エンドポイント 2023-03-11
Log Analytics ワークスペース Microsoft.OperationalInsights/workspaces 2023-09-01
ログ クエリ アラート Microsoft.Insights/ScheduledQueryRules 2022-08-01-プレビュー
アクション グループ 12 Microsoft.Insights/actionGroups 2023-05-01
診断設定 Microsoft.Insights/diagnosticSettings 2021-05-01-preview

1 ネットワーク セキュリティ境界は、 リージョンのアクション グループでのみ動作します。 グローバル アクション グループは、既定でパブリック ネットワーク アクセスになります。

2 イベント ハブは現在、ネットワーク セキュリティ境界でサポートされている唯一のアクションの種類です。 その他のすべてのアクションは、既定でパブリック ネットワーク アクセスになります。

サポートされていないコンポーネント

Azure Monitor の次のコンポーネントは、ネットワーク セキュリティ境界ではサポートされません

Application Insights の場合は、Application Insights リソースに使用される Log Analytics ワークスペースのネットワーク セキュリティ境界を構成します。

ネットワーク セキュリティ境界を作成する

Azure portalAzure CLI、または PowerShell を使って、ネットワーク セキュリティ境界を作成します。

Log Analytics ワークスペースをネットワーク セキュリティ境界に追加する

  1. Azure portal の [ネットワーク セキュリティ境界] メニューから、お使いのネットワーク セキュリティ境界を選びます。

  2. [リソース] を選んでから、[追加] ->[リソースを既存のプロファイルに関連付ける] を選びます。

    Azure portal でのリソースとネットワーク セキュリティ境界プロファイルの関連付けのスクリーンショット。

  3. Log Analytics ワークスペース リソースと関連付けるプロファイルを選びます。

  4. [関連付け] を選んでから、Log Analytics ワークスペースを選びます。

  5. 画面の左下のセクションで [ 関連付け ] を選択して、ネットワーク セキュリティ境界との関連付けを作成します。

    Azure portal でのワークスペースとネットワーク セキュリティ境界プロファイルの関連付けのスクリーンショット。

重要

リソース グループまたはサブスクリプション間で Log Analytics ワークスペースを転送する場合は、ネットワーク セキュリティ境界にリンクしてセキュリティ ポリシーを保持します。 ワークスペースが削除された場合は、ネットワーク セキュリティ境界からもその関連付けを削除してください。

Log Analytics ワークスペースのアクセス規則

ネットワーク セキュリティ境界プロファイルでは、境界経由のアクセスを許可または拒否する規則を指定します。 境界内では、すべてのリソースがネットワーク レベルで相互にアクセスできますが、その場合でも認証と認可の対象になります。 ネットワーク セキュリティ境界の外部にあるリソースの場合は、インバウンドとアウトバウンドのアクセス規則を指定する必要があります。 インバウンド規則では、入ることを許可する接続を指定し、アウトバウンド規則では、出ることを許可する要求を指定します。

ネットワーク セキュリティ境界に関連付けられているすべてのサービスは、同じネットワーク セキュリティ境界に関連付けられている他のサービスへのインバウンドとアウトバウンドのアクセスが、マネージド ID とロールの割り当てを使って認証されたときは、そのアクセスを暗黙的に許可します。 ネットワーク セキュリティ境界の外部のアクセスを許可するとき、または API キーを使って認証されたアクセスに対してのみ、アクセス規則を作成する必要があります。

ネットワーク セキュリティ境界の受信アクセス規則を追加する

ネットワーク セキュリティ境界の受信アクセス規則を使用すると、境界外のインターネットとリソースを境界内のリソースに接続できます。

ネットワーク セキュリティ境界では、次の 2 種類の受信アクセス規則がサポートされています。

  • IP アドレス範囲。 IP アドレスまたは範囲は、クラスレス ドメイン間ルーティング (CIDR) 形式である必要があります。 CIDR 表記の例として、8.8.8.0/24 があります。これは、8.8.8.0 から 8.8.8.255 の範囲の IP を表しています。 この種類の規則では、範囲内の任意の IP アドレスからの受信が許可されます。
  • [サブスクリプション]: この種類の規則では、サブスクリプションからの任意のマネージド ID を使って認証されたインバウンド アクセスが許可されます。

Azure portal を使用してネットワーク セキュリティ境界受信アクセス規則を追加するには、次のプロセスを使用します。

  1. Azure portal でネットワーク セキュリティ境界リソースに移動します。

  2. [プロファイル] を選択し、ネットワーク セキュリティ境界で使用しているプロファイルを選択します。

    Azure portal でのネットワーク セキュリティ境界プロファイルのスクリーンショット。

  3. [受信アクセス規則] を選びます。

    Azure portal でのネットワーク セキュリティ境界プロファイルの受信アクセス規則のスクリーンショット。

  4. [追加] または [受信アクセス規則の追加] をクリックします。 次の値を入力または選択します。

    設定 価値
    ルール名 受信アクセス規則の名前。 MyInboundAccessRule など。
    ソースの種類 有効な値は、IP アドレス範囲またはサブスクリプションです。
    許可されるソース IP アドレス範囲を選んだ場合は、インバウンド アクセスを許可する IP アドレス範囲を CIDR 形式で入力します。 Azure IP の範囲は、「Azure IP 範囲とサービス タグ - パブリック クラウド」でわかります。 サブスクリプションを選んだ場合は、インバウンド アクセスを許可するサブスクリプションを使います。

  5. [追加] をクリックして、受信アクセス規則を作成します。

    Azure portal でのネットワーク セキュリティ境界プロファイルの新しい受信アクセス規則のスクリーンショット。

ネットワーク セキュリティ境界の送信アクセス規則を追加する

Log Analytics ワークスペースのデータ エクスポートを使うと、ワークスペース内の特定のテーブルのデータを連続してエクスポートできます。 データが Azure Monitor パイプラインに到着したら、Azure Storage または Azure Event Hubs にエクスポートできます。

セキュリティ境界内の Log Analytics ワークスペースは、同じ境界内のストレージ アカウントとイベント ハブにのみエクスポートできます。 他の接続先には、接続先の完全修飾ドメイン名 (FQDN) に基づく送信アクセス規則が必要です。

Azure portal を使用してネットワーク セキュリティ境界の送信アクセス規則を追加するには、次のプロセスを使用します。

  1. Azure portal でネットワーク セキュリティ境界リソースに移動します。

  2. [プロファイル] を選択し、ネットワーク セキュリティ境界で使用しているプロファイルを選択します。

    Azure portal でのネットワーク セキュリティ境界プロファイルのスクリーンショット。

  3. [送信アクセス規則] を選びます。

  4. [追加] または [送信アクセス規則の追加] をクリックします。 次の値を入力または選択します。

    設定 価値
    ルール名 送信アクセス規則の名前。 MyOutboundAccessRule など。
    宛先タイプ FQDN のままにします。
    許可される宛先 アウトバウンドアクセスを許可する FQDN をカンマ区切りで入力します。

  5. [追加] を選んで、アウトバウンド アクセス規則を作成します。

    Azure portal でのネットワーク セキュリティ境界プロファイルの新しい送信アクセス規則のスクリーンショット。

アクセス ログを収集する

リソース ログは、ネットワーク セキュリティ境界の操作に関する分析情報を提供し、問題の診断に役立ちます。 ネットワーク セキュリティ境界のリソース ログを収集する診断設定の作成の詳細については、ネットワーク セキュリティ境界のリソース ログを参照してください。

次のステップ