「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
目次 †
概要 †
- 所謂一つのプロキシ・サーバー
- VNETの中に作成し、
- 主にアウトバウンドをコントロールする。
- ただし、インバウンドもコントロールする。
機能 †
ロギング †
ログが確認できる。
ルール・コレクション †
アプリケーション †
- アウトバウンド専門
- HTTP、HTTPS、または MSSQLなどのプロトコルに構成
- ネットワーク ルールよりも後に適用される。
ネットワーク †
- アウトバウンド&インバウンド
- TCP、UDP、ICMP、または 任意 の IP プロトコルに構成
- アプリケーション ルールよりも先に適用される。
NAT †
フィルタリング †
に関しては、FQDNでフィルタリングできる。
- に関しては、フィルタリングできない。
- サービス・タグでHTTP以外のプロトコルのフィルタも可能。
タグ(FQDNタグやサービス・タグ) †
タグという機能が今日枯れていて便利。
- FQDNタグ
Azureサービスに関連付けられた
完全修飾ドメイン名(FQDN)のグループを表す。
- サービス・タグ
- Azureサービスに関連付けられた
IPアドレス・プレフィックスのグループを表す。
- サービス・タグは、NSGでも利用される。
- IPアドレスやFQDNのリストを更新する必要がない。
- SQL Database や KeyVault?、ストレージ等
マルチテナント型 PaaS サービスの場合には、
FQDNタグを使ったアプリケーション・ルール設定を行う
脅威インテリジェンス †
- 脅威インテリジェンス・ベースのフィルタ処理
- 主に、IPアドレスやFQDNの問題を検知する。
- HTTPだけでなく、TCP / UDPも対象である模様。
パケット・フォワーダ †
Spoke 間通信や Hub 拡張で役立つ。
詳細 †
問題 †
比較的高価 †
最小構成
- デフォルト・ルートをAzure Firewallにする。
- すべてのアウトバウンドがプロシキを経由するようになる。
ユーザ・テナント単位の制限 †
FQDNで頑張るしか無い。
- 「*」が明確に解らない部分は、手間になる。
- 必要な時点でのみ、一時的に穴をあける。
- ログで「*」の部分のGuidを確認して絞るなど。
セキュア化とロックダウン †
作業内容の安全性の確認 †
- 入力制御(インバウンド)
- 経路開放
- Hub にのみ Azure Firewall をHubに作って集中管理する。
※ ゼロトラスト型で構成する場合にはSpoke 側に立てても良い。
- 通常、NATルールを作らない。
変更・保守、作業の一覧化 †
高権限である「Network Contributor」ロールが必要になるので要注意。
参考 †
Microsoft Docs †
Tags: :インフラストラクチャ, :クラウド, :セキュリティ, :通信技術, :Azure