Azure ネットワーク セキュリティの概要

ネットワーク セキュリティは、ネットワーク トラフィックに制御を適用することにより、リソースを未承認のアクセスや攻撃から保護するプロセスとして定義することが可能でした。 その目的は、正当なトラフィックだけを許可することです。 Azure には、アプリケーションとサービスの接続要件をサポートする堅牢なネットワーク インフラストラクチャが組み込まれています。 ネットワーク接続は、Azure に配置されているリソース間、オンプレミスのリソースと Azure でホストされているリソース間、インターネットと Azure 間で可能です。

この記事では、Azure がネットワーク セキュリティの領域で提供しているオプションについて説明します。 以下について説明します。

• Azure のネットワーク
• ネットワーク アクセス制御
• Azure Firewall
• セキュリティで保護されたリモート アクセスとクロスプレミス接続
• 可用性
• 名前解決
• 境界ネットワーク (DMZ) のアーキテクチャ
• Azure の DDoS 保護
• Azure Front Door（アジュール フロント ドア）
• Traffic Manager
• 監視と脅威の検出

Azure のネットワーク

Azure では、仮想マシンを Azure Virtual Network に接続する必要があります。 仮想ネットワークは、物理的な Azure ネットワーク ファブリック上に構築される論理的な構築物です。 各仮想ネットワークは、他のすべての仮想ネットワークから分離されています。 これは、自分のデプロイ内のネットワーク トラフィックに他の Azure ユーザーがアクセスすることを防ぐために役立ちます。

詳細情報:

• Virtual Network の概要

ネットワーク アクセス制御

ネットワーク アクセス制御は、仮想ネットワーク内の特定のデバイスまたはサブネットとの間の接続を制限する機能です。 ネットワーク アクセス制御の目的は、承認済みのユーザーとデバイスのみが、仮想マシンとサービスにアクセスできるようにすることです。 アクセス制御は、仮想マシンやサービスとの間の接続を許可するか、それとも拒否するかの決定に基づいて行われます。

Azure では、次のように、いくつかの種類のネットワーク アクセス制御がサポートされています。

• ネットワーク層制御
• ルート制御と強制トンネリング
• 仮想ネットワークのセキュリティ アプライアンス

ネットワーク層制御

セキュリティで保護されたデプロイにはいずれも、ある程度のネットワーク アクセス制御が必要です。 ネットワーク アクセス制御の目的は、必要なシステムのみが仮想マシンと通信できるようにすることです。 その他の通信試行はブロックされます。

ネットワーク セキュリティ規則 (NSG)

基本レベルのネットワーク アクセス制御 (IP アドレス、TCP または UDP プロトコルに基づくもの) を必要とする場合には、ネットワーク セキュリティ グループ (NSG) を使用できます。 NSG とは基本的かつステートフルなパケット フィルタリング ファイアウォールであり、5 タプルに基づいてアクセスを制御します。 NSG には、管理を簡素化し、構成ミスの可能性を低減する機能が含まれます。

• 拡張セキュリティ規則は、NSG ルールの定義を簡素化し、複数の単純なルールを作成するのではなく、複雑なルールを作成して、同じ結果を達成できます。
• サービス タグは、Microsoft が作成した IP アドレスのグループを表すラベルです。 それらは、ラベルへの包含を定義する条件を満たす IP 範囲を含むように動的に更新されます。 たとえば、東部リージョンのすべての Azure ストレージに適用されるルールを作成する場合は、Storage.EastUS を使用できます。
• アプリケーション セキュリティ グループを使用して、アプリケーション グループにリソースをデプロイし、アプリケーション グループを使用するルールを作成してリソースへのアクセスを制御できます。 たとえば、'Webservers' アプリケーション グループにデプロイした Web サーバーがある場合は、インターネットから 'Webservers' アプリケーション グループ内のすべてのシステムへの 443 トラフィックを許可する規則を作成して NSG に適用できます。

NSG はアプリケーション層検査も、認証済みのアクセス制御も提供しません。

詳細情報:

• ネットワーク セキュリティ グループ

Defender for Cloud Just-In-Time VM アクセス

Microsoft Defender for Cloud は、VM の NSG を管理し、適切な Azure ロール ベースのアクセス制御 (Azure RBAC) のアクセス許可を持つユーザーがアクセスを要求するまで、VM へのアクセスをロックします。 ユーザーが正常に承認されると、Defender for Cloud は、選択されたポートに対して指定された時間にわたってアクセスできるように NSG を変更します。 時間切れになると、NSG は、前のセキュリティで保護された状態に戻ります。

詳細情報:

• Microsoft Defender for Cloud Just-In-Time VM アクセス

サービス エンドポイント

サービス エンドポイントは、トラフィックに制御を適用するための別の方法です。 サポートされているサービスとの通信を、直接接続による VNet だけに制限できます。 VNet から特定の Azure サービスへのトラフィックは、Microsoft Azure のバックボーン ネットワーク上にとどまります。

詳細情報:

• サービス エンドポイント

ルート制御と強制トンネリング

仮想ネットワークでのルーティング動作を制御する機能はきわめて重要です。 ルーティングを正しく構成しないと、仮想マシンでホストされるアプリケーションとサービスが、未承認のデバイスに接続する可能性があります。これには潜在的な攻撃者が所有および操作するシステムが含まれます。

Azure ネットワークは、仮想ネットワーク上のネットワーク トラフィックのルーティング動作をカスタマイズする機能をサポートしています。 これにより、ユーザーは仮想ネットワーク内の既定のルーティング テーブル エントリを変更できます。 ルーティング動作を制御すると、特定のデバイス、またはデバイスのグループから仮想ネットワークに出入りするすべてのトラフィックに、特定の場所を経由させる上で役立ちます。

たとえば、仮想ネットワークに仮想ネットワーク セキュリティ アプライアンスがあるとします。 仮想ネットワークとの間のすべてのトラフィックに仮想セキュリティ アプライアンスを経由させたいと考えています。 これは、Azure でユーザー定義ルート (UDR) を構成することで実現します。

強制トンネリングは、サービスがインターネット上のデバイスとの接続を開始する許可を得られないようにするメカニズムです。 これは、着信接続を受け入れて、それに応答することとは異なることにご注意ください。 フロントエンド Web サーバーは、インターネット ホストからの要求に応答することが必要です。したがって、インターネットからのトラフィックがこれらの Web サーバーに着信することは許可され、Web サーバーが応答することも許可されます。

許可すべきでないのは、フロントエンド Web サーバーが送信要求を開始することです。 そのような要求はセキュリティ リスクになり得ます。これらの接続を使用してマルウェアがダウンロードされる恐れがあるためです。 これらのフロントエンド サーバーがインターネットに向けて送信要求を開始する必要があるとしても、通常は、それらの要求にオンプレミスの Web プロキシを必ず経由させる必要があります。 これにより、URL フィルタリングとログ記録が可能になります。

別の方法として、強制トンネリングを使用してそれを避けることもできます。 強制トンネリングを有効にすると、インターネットに対するすべての接続はオンプレミス ゲートウェイを必ず経由します。 強制トンネリングは、UDR を活用して構成できます。

詳細情報:

• 仮想ネットワーク トラフィックのルーティング

仮想ネットワークのセキュリティ アプライアンス

NSG、UDR、強制トンネリングにより、OSI モデルのネットワーク層とトランスポート層でセキュリティレベルが提供されますが、アプリケーション層でセキュリティを有効にすることもできます。

たとえば、セキュリティ要件に次の事柄が含まれることがあります。

• アプリケーションに対するアクセスを許可する前の認証と承認
• 侵入検出と侵入応答
• アプリケーション層における上位プロトコルの検査
• URL フィルタリング
• ネットワーク レベルのウイルス対策とマルウェア対策
• アンチボット保護
• アプリケーション アクセス制御
• 追加の DDoS 保護 (Azure ファブリック自体によって提供される DDoS 保護に追加される保護)

Azure パートナー ソリューションを使用すれば、これらの拡張ネットワーク セキュリティ機能を利用できます。 最新の Azure パートナー ネットワーク セキュリティ ソリューションについては、Azure Marketplace にアクセスし、"security" および "network security" を検索すると見つかります。

Azure Firewall

Azure Firewall は、Azure で実行されているクラウド ワークロードに脅威保護を提供する、クラウドネイティブでインテリジェントなネットワーク ファイアウォールのセキュリティ サービスです。 これは、組み込みの高可用性とクラウドによる無制限のスケーラビリティを備えた、完全にステートフルなサービスとしてのファイアウォールです。 Azure Firewall は、東西と南北の両方のトラフィックを検査します。

Azure Firewall は、Basic、Standard、Premium の 3 つの SKU で利用できます。

• Azure Firewall Basic では、Standard SKU に似たシンプルなセキュリティが提供されますが、高度な機能はありません。
• Azure Firewall Standard は、L3-L7 フィルタリングと脅威脅威インテリジェンスを、Microsoft Cyber Security から直接提供します。
• Azure Firewall Premium には、特定のパターンを識別して迅速に攻撃を検出するための署名ベースの IDPS などの高度な機能が含まれています。

詳細情報:

• Azure Firewall とは

セキュリティで保護されたリモート アクセスとクロスプレミス接続

Azure リソースのセットアップ、構成、管理は、リモートで実行する必要があります。 また、オンプレミスと Azure パブリック クラウドの両方にコンポーネントがある ハイブリッド IT ソリューションをデプロイする場合もあります。 こうしたシナリオの場合、セキュリティで保護されたリモート アクセスが必要になります。

Azure のネットワークは、セキュリティで保護されたリモート アクセスの以下のシナリオをサポートしています。

• 個々のワークステーションから仮想ネットワークへの接続
• オンプレミス ネットワークから仮想ネットワークへの VPN による接続
• オンプレミス ネットワークから仮想ネットワークへの専用 WAN リンクによる接続
• 仮想ネットワークどうしの接続

個々のワークステーションから仮想ネットワークへの接続

Azure の仮想マシンとサービスの管理を個々の開発者や運用担当者に許可する必要がある場合があります。 たとえば、仮想ネットワーク上の仮想マシンにアクセスする必要があるが、セキュリティ ポリシーによって個々の仮想マシンへの RDP または SSH リモート アクセスが禁止されている場合は、 ポイント対サイト VPN 接続を 使用できます。

ポイント対サイト VPN 接続を使用すると、ユーザーと仮想ネットワークの間にプライベートでセキュリティで保護された接続を確立できます。 VPN 接続が確立されると、ユーザーは、認証および承認されていれば、VPN リンクを介して仮想ネットワーク上の任意の仮想マシンに RDP または SSH 接続できます。 ポイント対サイト VPN では、次の機能がサポートされます。

• Secure Socket Tunneling Protocol (SSTP): ほとんどのファイアウォールでは、TLS/SSL が使用する TCP ポート 443 が開かれているため、ファイアウォールに侵入できる独自の SSL ベースの VPN プロトコル。 SSTP は Windows デバイス (Windows 7 以降) でサポートされています。
• IKEv2 VPN: Mac デバイス (OSX バージョン 10.11 以降) からの接続に使用できる標準ベースの IPsec VPN ソリューション。
• OpenVPN プロトコル: ほとんどのファイアウォールでは、TLS で使用される TCP ポート 443 送信が開かれているため、ファイアウォールに侵入できる SSL/TLS ベースの VPN プロトコル。 OpenVPN は、Android、iOS (バージョン 11.0 以上)、Windows、Linux、および Mac デバイス (macOS バージョン 10.13 以上) から接続する際に使用できます。 サポートされているバージョンは、TLS ハンドシェイクに基づく TLS 1.2 および TLS 1.3 です。

詳細情報:

• ポイント対サイト VPN ルーティングについて

VPN Gateway を使用してオンプレミス ネットワークを仮想ネットワークに接続する

企業ネットワーク全体または特定のセグメントを仮想ネットワークに接続するには、サイト間 VPN の使用を検討してください。 このアプローチは、サービスの一部が Azure とオンプレミスの両方でホストされるハイブリッド IT シナリオで一般的です。 たとえば、Azure のフロントエンド Web サーバーと、オンプレミスのバックエンド データベースがあるとします。 サイト間 VPN は、Azure リソースの管理のセキュリティを強化し、Active Directory ドメイン コントローラーを Azure に拡張するなどのシナリオを可能にします。

サイト間 VPN は、単一のデバイスではなく、ネットワーク全体 (オンプレミス ネットワークなど) を仮想ネットワークに接続するという点で、ポイント対サイト VPN とは異なります。 サイト間 VPN では、高度にセキュリティで保護された IPsec トンネル モード VPN プロトコルを使用して、これらの接続を確立します。

詳細情報:

• VPN Gateway について

オンプレミス ネットワークから仮想ネットワークへの専用 WAN リンクによる接続

ポイント対サイト接続とサイト間 VPN 接続は、クロスプレミス接続を有効にするために役立ちます。 ただし、いくつかの制限があります。

• VPN 接続はインターネット経由でデータを送信し、パブリック ネットワークに関連する潜在的なセキュリティ リスクにさらされます。 また、インターネット接続の信頼性と可用性を保証することはできません。
• 仮想ネットワークへの VPN 接続では、特定のアプリケーションに十分な帯域幅が提供されず、通常は約 200 Mbps で最大になります。

クロスプレミス接続に対して最高レベルのセキュリティと可用性を必要とする組織では、多くの場合、専用 WAN リンクが推奨されます。 Azure では、ExpressRoute、ExpressRoute Direct、ExpressRoute Global Reach などのソリューションを提供し、オンプレミス ネットワークと Azure 仮想ネットワーク間のこれらの専用接続を容易にします。

詳細情報:

• ExpressRoute の概要
• ExpressRoute Direct
• ExpressRoute Global Reach

仮想ネットワークどうしの接続

管理の簡素化やセキュリティの強化など、さまざまな理由で複数の仮想ネットワークをデプロイに使用できます。 動機に関係なく、異なる仮想ネットワーク上のリソースを相互に接続したい場合があります。

1 つのオプションは、ある仮想ネットワーク上のサービスを、インターネット経由で "ループ バック" して別の仮想ネットワーク上のサービスに接続することです。 つまり、接続は 1 つの仮想ネットワークで開始され、インターネットを経由し、宛先の仮想ネットワークに到達します。 ただし、これにより、インターネットベースの通信に固有のセキュリティ リスクへの接続が公開されます。

2 つの仮想ネットワークを接続するサイト間 VPN を作成することをお勧めします。 この方法では、前述のクロスプレミス サイト間 VPN 接続と同じ IPsec トンネル モード プロトコルが使用されます。

この方法の利点は、VPN 接続が Azure ネットワーク ファブリック経由で確立され、インターネット経由で接続するサイト間 VPN と比較して、セキュリティの追加レイヤーを提供することです。

詳細情報:

• Azure portal を使用して VNet 間接続を構成する

仮想ネットワークを接続するもう 1 つの方法は、 VNet ピアリングを使用することです。 VNet ピアリングを使用すると、Microsoft バックボーン インフラストラクチャ経由で 2 つの Azure 仮想ネットワーク間の直接通信が可能になり、パブリック インターネットがバイパスされます。 この機能は、同じリージョン内または異なる Azure リージョン間のピアリングをサポートします。 ネットワーク セキュリティ グループ (NSG) を使用して、ピアリングされたネットワーク内のサブネットまたはシステム間の接続を制御および制限することもできます。

可用性

可用性は、セキュリティ プログラムにとって非常に重要です。 ユーザーとシステムが必要なリソースにアクセスできない場合、サービスは実質的に侵害されます。 Azure には、次のような高可用性メカニズムをサポートするネットワーク テクノロジが用意されています。

• HTTP ベースの負荷分散
• ネットワーク レベルの負荷分散
• グローバル負荷分散

負荷分散により、接続が複数のデバイスに均等に分散され、次の目的が実現されます。

• 可用性の向上: 接続を分散することで、1 つ以上のデバイスが使用できなくなった場合でも、サービスは引き続き動作します。 残りのデバイスは引き続きコンテンツを提供します。
• パフォーマンスの向上: 接続を分散すると、1 つのデバイスの負荷が軽減され、処理とメモリの要求が複数のデバイスに分散されます。
• スケーリングを容易にする: 需要が増えるにつれて、ロード バランサーにデバイスを追加して、より多くの接続を処理できます。

HTTP ベースの負荷分散

Web ベースのサービスを実行する組織では、多くの場合、HTTP ベースのロード バランサーを使用して高パフォーマンスと可用性を確保するメリットがあります。 ネットワークおよびトランスポート層プロトコルに依存する従来のネットワーク ベースのロード バランサーとは異なり、HTTP ベースのロード バランサーは HTTP プロトコルの特性に基づいて決定を行います。

Azure Application Gateway と Azure Front Door では、Web サービス用の HTTP ベースの負荷分散が提供されます。 両方のサービスがサポートされます。

• Cookie ベースのセッション アフィニティ: 1 台のサーバーに確立された接続がクライアントとサーバーの間で一貫性を保ち、トランザクションの安定性を維持します。
• TLS オフロード: HTTPS (TLS) を使用して、クライアントとロード バランサー間のセッションを暗号化します。 パフォーマンスを向上させるために、ロード バランサーと Web サーバー間の接続で HTTP (暗号化されていない) を使用できるため、Web サーバーでの暗号化オーバーヘッドが軽減され、要求をより効率的に処理できるようになります。
• URL ベースのコンテンツ ルーティング: ロード バランサーがターゲット URL に基づいて接続を転送できるようにします。これにより、IP アドレスベースの決定よりも柔軟性が高くなります。
• Web アプリケーション ファイアウォール: 一般的な脅威や脆弱性に対する Web アプリケーションの一元的な保護を提供します。

詳細情報:

• Application Gateway の概要
• Azure Front Door の概要
• Web アプリケーション ファイアウォールの概要

ネットワーク レベルの負荷分散

HTTP ベースの負荷分散とは対照的に、ネットワーク レベルの負荷分散では、IP アドレスとポート (TCP または UDP) 番号に基づいて決定が行われます。 Azure Load Balancer では、次の主な特性を備えたネットワーク レベルの負荷分散が提供されます。

• IP アドレスとポート番号に基づいてトラフィックのバランスを取ります。
• 任意のアプリケーション層プロトコルをサポートします。
• Azure 仮想マシンとクラウド サービス ロール インスタンスにトラフィックを分散します。
• インターネットに接続する (外部負荷分散) アプリケーションと、インターネットに接続していない (内部負荷分散) アプリケーションと仮想マシンの両方に使用できます。
• サービスの利用不可を検出して対応するためのエンドポイント監視が含まれています。

詳細情報:

• 内部ロード バランサーの概要

グローバル負荷分散

可能な限り最高レベルの可用性が必要な組織もあります。 この目的を実現する 1 つの方法は、グローバルに分散したデータセンターでアプリケーションをホストすることです。 世界中にあるデータセンターでアプリケーションがホストされていれば、1 つの地域全体が使用不可になっても、アプリケーションは引き続き稼働できます。

この負荷分散方法では、パフォーマンス上のメリットも得られます。 サービスへの要求を、要求元のデバイスに最も近いデータ センターに転送できるからです。

Azure では、DNS ベースの負荷分散に Azure Traffic Manager、トランスポート層の負荷分散用のグローバル ロード バランサー、または HTTP ベースの負荷分散用の Azure Front Door を使用することで、グローバル負荷分散の利点を得ることができます。

詳細情報:

• Traffic Manager について
• Azure Front Door の概要
• グローバル ロード バランサーの概要

名前解決

名前解決は、Azure でホストされているすべてのサービスに不可欠です。 セキュリティの観点からは、名前解決機能を損なうと、攻撃者がサイトから悪意のあるサイトに要求をリダイレクトできます。 そのため、セキュリティで保護された名前解決は、クラウドでホストされるすべてのサービスにとって非常に重要です。

考慮すべき名前解決には、次の 2 種類があります。

• 内部の名前解決: 仮想ネットワーク内のサービス、オンプレミス ネットワーク、またはその両方で使用されます。 これらの名前は、インターネット経由ではアクセスできません。 最適なセキュリティを確保するには、内部の名前解決スキームが外部ユーザーに公開されていないことを確認します。
• 外部の名前解決: オンプレミスと仮想ネットワークの外部のユーザーとデバイスによって使用されます。 これらの名前は、インターネット上で表示され、クラウドベースのサービスに直接接続されます。

内部名前解決には、次の 2 つのオプションがあります。

• 仮想ネットワーク DNS サーバー: 新しい仮想ネットワークを作成すると、Azure には、その仮想ネットワーク内のマシンの名前を解決できる DNS サーバーが用意されています。 この DNS サーバーは Azure によって管理され、構成できないので、名前解決をセキュリティで保護するのに役立ちます。
• 独自の DNS サーバーを持ち込む: 仮想ネットワーク内に、選択した DNS サーバーをデプロイできます。 これは、Azure Marketplace で利用できる Active Directory 統合 DNS サーバーまたは Azure パートナーの専用 DNS サーバー ソリューションです。

詳細情報:

• Virtual Network の概要
• 仮想ネットワークで使用される DNS サーバーの管理

外部名前解決には、次の 2 つのオプションがあります。

• 独自の外部 DNS サーバーをオンプレミスでホストする。
• 外部 DNS サービス プロバイダーを使用します。

大規模な組織では、ネットワークの専門知識とグローバルプレゼンスのために、オンプレミスで独自の DNS サーバーをホストすることがよくあります。

ただし、ほとんどの組織では、外部 DNS サービス プロバイダーを使用することをお勧めします。 これらのプロバイダーは、DNS サービスの高可用性と信頼性を提供します。これは、DNS エラーによってインターネットに接続されているサービスに到達できなくなる可能性があるため、非常に重要です。

Azure DNS には、高可用性と高パフォーマンスの外部 DNS ソリューションが用意されています。 Azure のグローバル インフラストラクチャを活用して、他の Azure サービスと同じ資格情報、API、ツール、課金を使用して Azure でドメインをホストできます。 さらに、Azure の堅牢なセキュリティ制御の利点もあります。

詳細情報:

• Azure DNS の概要
• Azure DNS プライベート ゾーンを使用して、カスタム DNS ソリューションの追加なしで名前を自動的に割り当てる代わりに、Azure リソースのプライベート DNS 名を構成できます。

境界ネットワーク アーキテクチャ

多くの大規模組織では、境界ネットワークを使用してネットワークをセグメント化し、インターネットとサービスの間に緩衝地帯を設けます。 ネットワークの境界部分はセキュリティの低いゾーンと見なされ、高価値の資産がそのネットワーク セグメントに配置されることはありません。 通常、ネットワーク セキュリティ デバイスには、境界ネットワーク セグメント上のネットワーク インターフェイスが使用されます。 インターネットからの着信接続を受け付ける仮想マシンやサービスがあるネットワークには、別のネットワーク インターフェイスが接続されます。

境界ネットワークの設計方法にはさまざまなものがあります。 境界ネットワークをデプロイするかどうかや、どのような種類の境界ネットワークを使用するかは、ネットワークのセキュリティ要件によって決定されます。

詳細情報:

• セキュリティ ゾーン用の境界ネットワーク

Azure の DDoS 保護

分散型サービス拒否 (DDoS) 攻撃は、クラウド アプリケーションの可用性とセキュリティに関する重大な脅威です。 これらの攻撃は、アプリケーションのリソースを枯渇させ、正当なユーザーがアクセスできないようにすることを目的としています。 パブリックに到達可能なエンドポイントは、ターゲットにすることができます。

Azure DDoS Protection の機能には、以下が含まれます。

• ネイティブ プラットフォーム統合: Azure portal から使用できる構成を使用して、Azure に完全に統合されています。 リソースとその構成を理解します。
• ターンキー保護: ユーザーの介入を必要とせずに、DDoS Protection が有効になるとすぐに、仮想ネットワーク上のすべてのリソースを自動的に保護します。 軽減策は、攻撃の検出時にすぐに開始されます。
• 常時トラフィック監視: DDoS攻撃の兆候がないかアプリケーショントラフィックを24時間365日監視し、保護ポリシーが侵害された場合には対策を開始します。
• 攻撃軽減策レポート: 集約されたネットワーク フロー データを使用した攻撃に関する詳細情報を提供します。
• 攻撃軽減フロー ログ: アクティブな DDoS 攻撃中に、破棄されたトラフィックと転送されたトラフィックのほぼリアルタイムのログを提供します。
• アダプティブ チューニング: 時間の経過に伴うアプリケーションのトラフィック パターンを学習し、それに応じて保護プロファイルを調整します。 Web アプリケーション ファイアウォールで使用する場合、レイヤー 3 からレイヤー 7 への保護を提供します。
• 広範な軽減策のスケール: 最大の既知の DDoS 攻撃を処理するために、グローバル容量を持つ 60 種類を超える攻撃を軽減できます。
• 攻撃メトリック: 各攻撃の集計メトリックは、Azure Monitor を通じて利用できます。
• 攻撃アラート: Azure Monitor ログ、Splunk、Azure Storage、電子メール、Azure portal などのツールと統合された、攻撃の開始、停止、期間に関する構成可能なアラート。
• コスト保証: 文書化された DDoS 攻撃のデータ転送とアプリケーション スケールアウト サービス クレジットを提供します。
• DDoS の迅速な応答: 調査、カスタム軽減、攻撃後の分析のために、アクティブな攻撃中に Rapid Response チームにアクセスできるようにします。

詳細情報:

• DDOS 保護の概要

Azure Front Door（アジュール フロント ドア）

Azure Front Door を使用すると、Web トラフィックのグローバル ルーティングを定義、管理、監視し、パフォーマンスと高可用性のために最適化することができます。 これにより、カスタム Web アプリケーション ファイアウォール (WAF) 規則を作成して、クライアント IP アドレス、国コード、HTTP パラメーターに基づいて HTTP/HTTPS ワークロードを悪用から保護できます。 さらに、Front Door では、悪意のあるボット トラフィックに対抗するためのレート制限ルールがサポートされ、TLS オフロードが含まれます。また、HTTP/HTTPS 要求のアプリケーション層ごとの処理が提供されます。

Front Door プラットフォームは、Azure インフラストラクチャ レベルの DDoS 保護によって保護されます。 保護を強化するために、VNet で Azure DDoS ネットワーク保護を有効にして、自動チューニングと軽減を通じてネットワーク層 (TCP/UDP) 攻撃からリソースを保護できます。 レイヤー 7 のリバース プロキシとして、Front Door では Web トラフィックがバックエンド サーバーに通過することのみが許可され、既定では他の種類のトラフィックがブロックされます。

詳細情報:

• Azure Front Door 機能セット全体の詳細については、Azure Front Door の概要に関する記事で確認できます

Azure Traffic Manager

Azure Traffic Manager は、グローバル Azure リージョン間でサービスにトラフィックを分散し、高可用性と応答性を確保する DNS ベースのトラフィック ロード バランサーです。 DNS を使用して、トラフィック ルーティング方法とエンドポイントの正常性に基づいて、クライアント要求を最適なサービス エンドポイントにルーティングします。 エンドポイントには、Azure の内部または外部でホストされているインターネットに接続する任意のサービスを指定できます。 Traffic Manager は、エンドポイントを継続的に監視し、使用できないものへのトラフィックの転送を回避します。

詳細情報:

• Azure Traffic Manager の概要

監視と脅威の検出

Azure では、この重要な分野で、早期検出、監視、ネットワーク トラフィックの収集および確認に役立つ機能を提供しています。

Azure Network Watcher

Azure Network Watcher には、セキュリティの問題のトラブルシューティングと特定に役立つツールが用意されています。

• セキュリティ グループ ビュー: ベースライン ポリシーと有効なルールを比較することで、仮想マシンのセキュリティ コンプライアンスを監査し、確実に行い、構成の誤差を特定します。
• パケット キャプチャ: 仮想マシンとの間のネットワーク トラフィックをキャプチャし、ネットワーク統計の収集とアプリケーションの問題のトラブルシューティングに役立ちます。 また、特定のアラートに応答して Azure Functions によってトリガーすることもできます。

詳細については、「 Azure Network Watcher 監視の概要」を参照してください。

Microsoft Defender for Cloud

Microsoft Defender for Cloud は、脅威の回避、検出、対応に役立つサービスで、Azure リソースのセキュリティを高度に視覚化して制御できます。 これにより、Azure サブスクリプション全体に統合セキュリティの監視とポリシーの管理を提供し、気付かない可能性がある脅威を検出し、多数のセキュリティ ソリューションと連動します。

Defender for Cloud は、ネットワーク セキュリティの最適化と監視に役立つ次の機能を備えています。

• ネットワーク セキュリティに関する推奨事項を提供する。
• ネットワーク セキュリティ構成の状態を監視する。
• ネットワーク ベースの脅威をエンドポイント レベルとネットワーク レベルの両方で警告する。

詳細情報:

• Microsoft Defender for Cloud の概要

仮想ネットワーク TAP

Azure 仮想ネットワーク TAP (ターミナル アクセス ポイント) を使用すると、仮想マシン ネットワークのトラフィックをネットワーク パケット コレクターまたは分析ツールに連続してストリーミングできます。 コレクターまたは分析ツールは、ネットワーク仮想アプライアンス パートナーから提供されています。 同じ仮想ネットワーク TAP リソースを使用して、同じサブスクリプションまたは異なるサブスクリプションの複数のネットワーク インターフェイスからのトラフィックを集計できます。

詳細情報:

• 仮想ネットワーク TAP

ログ記録

ネットワーク レベルにおけるログ記録は、あらゆるネットワーク セキュリティ シナリオの主要な機能です。 Azure では、NSG に関して入手した情報をログに記録して、ネットワーク レベルのログ情報を取得できます。 NSG ログ記録によって、次のログから情報を取得します。

• アクティビティ ログ。 これらのログは、Azure サブスクリプションに送信されたすべての操作を表示するときに使用します。 これらのログは既定で有効になっており、Azure portal 内で使用できます。 以前は監査ログや操作ログと呼ばれていました。
• イベント ログ。 これらのログは、適用された NSG ルールについての情報を提供します。
• カウンター ログ。 このログを使用すると、トラフィックを拒否または許可するために各 NSG ルールが適用された回数が分かります。

優れたデータ視覚化ツールである Microsoft Power BIを使用して、これらのログを表示および分析することもできます。 詳細情報:

• ネットワーク セキュリティ グループ (NSG) の Azure Monitor ログ