マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

概要

機能

ロギング

ログが確認できる。

ルール・コレクション

アプリケーション

  • アウトバウンド専門
  • HTTP、HTTPS、または MSSQLなどのプロトコルに構成
  • ネットワーク ルールよりも後に適用される。

ネットワーク

  • アウトバウンド&インバウンド
  • TCP、UDP、ICMP、または 任意 の IP プロトコルに構成
  • アプリケーション ルールよりも先に適用される。

NAT

フィルタリング

HTTPHTTPS

に関しては、FQDNでフィルタリングできる。

TCP, UDP

  • に関しては、フィルタリングできない。
  • サービス・タグでHTTP以外のプロトコルのフィルタも可能。

タグ(FQDNタグやサービス・タグ)

タグという機能が今日枯れていて便利。

  • FQDNタグやサービス・タグ
  • FQDNタグ
    Azureサービスに関連付けられた
    完全修飾ドメイン名(FQDN)のグループを表す。
  • サービス・タグ
    • Azureサービスに関連付けられた
      IPアドレス・プレフィックスのグループを表す。
    • サービス・タグは、NSGでも利用される。
  • IPアドレスやFQDNのリストを更新する必要がない。
  • SQL Database や KeyVault?、ストレージ等
    マルチテナント型 PaaS サービスの場合には、
    FQDNタグを使ったアプリケーション・ルール設定を行う

脅威インテリジェンス

  • 脅威インテリジェンス・ベースのフィルタ処理
  • 主に、IPアドレスやFQDNの問題を検知する。
  • HTTPだけでなく、TCP / UDPも対象である模様。

パケット・フォワーダ

Spoke 間通信や Hub 拡張で役立つ。

詳細

問題

比較的高価

最小構成

  • 10万/月
  • 2円/GB

UDRが必要

  • デフォルト・ルートをAzure Firewallにする。
  • すべてのアウトバウンドがプロシキを経由するようになる。

ユーザ・テナント単位の制限

FQDNで頑張るしか無い。

  • 「*」で開けると情報流出経路になる可能性がある。
  • 「*」が明確に解らない部分は、手間になる。
    • 必要な時点でのみ、一時的に穴をあける。
    • ログで「*」の部分のGuidを確認して絞るなど。

SNAT / DNAT

セキュア化とロックダウン

作業内容の安全性の確認

  • 入力制御(インバウンド)
    • 経路開放
      • Hub にのみ Azure Firewall をHubに作って集中管理する。
        ※ ゼロトラスト型で構成する場合にはSpoke 側に立てても良い。
      • 通常、NATルールを作らない。
  • ハードニング(クライアント or サーバ)

変更・保守、作業の一覧化

高権限である「Network Contributor」ロールが必要になるので要注意。

参考

Microsoft Docs


Tags: :インフラストラクチャ, :クラウド, :セキュリティ, :通信技術, :Azure


トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2021-03-17 (水) 20:42:19 (61d)