「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。 -戻る --[[Azureの仮想ネットワーク]] ---[[GW / LB的なモノ。>AzureのGW / LB的なモノ。]] ---[[プロキシ的なモノ。>Azureのプロキシ的なモノ。]] --[[Azure Virtual Data Center]] * 目次 [#f47e08d9] #contents *概要 [#b6d907d8] -所謂一つのプロキシ・サーバー --[[ステートフルインスペクション型>https://dotnetdevelopmentinfrastructure.osscons.jp/index.php?SC%EF%BC%9A%E5%AF%BE%E7%AD%96%E6%8A%80%E8%A1%93%20-%20%E9%98%B2%E5%BE%A1%E3%83%BB%E4%BE%B5%E5%85%A5%E6%A4%9C%E7%9F%A5#yb273515]]のファイアウォール --[[WAF>https://dotnetdevelopmentinfrastructure.osscons.jp/index.php?SC%EF%BC%9A%E5%AF%BE%E7%AD%96%E6%8A%80%E8%A1%93%20-%20%E9%98%B2%E5%BE%A1%E3%83%BB%E4%BE%B5%E5%85%A5%E6%A4%9C%E7%9F%A5#zf42c05a]]は[[Azure Application Gateway]]が該当する。 -[[VNET>Azureの仮想ネットワーク]]の中に作成し、 --主にアウトバウンドをコントロールする。 --ただし、インバウンドもコントロールする。 *機能 [#s05c9eac] **ロギング [#q664235c] ログが確認できる。 **ルール・コレクション [#hfcfff19] ***アプリケーション [#ocd9500d] -アウトバウンド専門 -HTTP、HTTPS、または MSSQLなどのプロトコルに構成 -[[ネットワーク ルール>#g63685d0]]よりも後に適用される。 ***ネットワーク [#g63685d0] -アウトバウンド&インバウンド -TCP、UDP、ICMP、または 任意 の IP プロトコルに構成 -[[アプリケーション ルール>#ocd9500d]]よりも先に適用される。 ***NAT [#ze6d9c7f] -インバウンド専門 -[[NAT変換>#gf4fa114]]に対応する[[ネットワーク ルール>#g63685d0]]が自動的に追加される。 -[[ネットワーク ルール>#g63685d0]]よりも先に適用される。 -通常は、この機能は使用せず、[[WAF>Azure Application Gateway]]を使用する。 **フィルタリング [#p9d7066d] ***[[HTTP]]、[[HTTPS>SSL/TLS]] [#n01ce4e7] に関しては、FQDNでフィルタリングできる。 ***[[TCP, UDP]] [#nd751e96] -に関しては、フィルタリングできない。 -[[サービス・タグ>#fbddaf25]]でHTTP以外のプロトコルのフィルタも可能。 ***タグ(FQDNタグやサービス・タグ) [#fbddaf25] タグという機能が今日枯れていて便利。 -FQDNタグやサービス・タグ --FQDNタグ~ Azureサービスに関連付けられた~ 完全修飾ドメイン名(FQDN)のグループを表す。 --サービス・タグ ---Azureサービスに関連付けられた~ IPアドレス・プレフィックスのグループを表す。 ---サービス・タグは、[[NSG>Network Security Group (NSG)#tbbd876a]]でも利用される。 -IPアドレスやFQDNのリストを更新する必要がない。 -SQL Database や KeyVault、ストレージ等~ マルチテナント型 PaaS サービスの場合には、~ FQDNタグを使ったアプリケーション・ルール設定を行う ***脅威インテリジェンス [#p47ba0c9] -脅威インテリジェンス・ベースのフィルタ処理 -主に、IPアドレスやFQDNの問題を検知する。 -HTTPだけでなく、TCP / UDPも対象である模様。 **パケット・フォワーダ [#w0d3f5d9] [[Spoke 間通信や Hub 拡張で役立つ。>Azureの仮想ネットワーク ピアリング#h060a98f]] *詳細 [#gd346a7b] **問題 [#tabd2cbc] ***比較的高価 [#l21bb937] 最小構成 -10万/月 -2円/GB ***[[UDR>Azureの仮想ネットワーク#e8a3a7cc]]が必要 [#j314de0a] -デフォルト・ルートをAzure Firewallにする。 -すべてのアウトバウンドがプロシキを経由するようになる。 ***ユーザ・テナント単位の制限 [#r6de3595] FQDNで頑張るしか無い。 -「*」で開けると情報流出経路になる可能性がある。 -「*」が明確に解らない部分は、手間になる。 --必要な時点でのみ、一時的に穴をあける。 --ログで「*」の部分のGuidを確認して絞るなど。 -この場合、[[Azure Private Endpoint]]の方が楽なケースも。 ***[[SNAT / DNAT>ネットワーク機器一覧#rf4cdcfd]] [#gf4fa114] -アウトバウンド&インバウンドに対応しているので、[[SNAT / DNAT>ネットワーク機器一覧#rf4cdcfd]]に対応している。 -[[ルール・コレクションのNAT>#ze6d9c7f]]は、インバウンドなのでDNATに該当する。 **セキュア化とロックダウン [#kdf5f70b] ***作業内容の安全性の確認 [#t5c19b20] -入力制御(インバウンド) --経路開放 ---Hub にのみ Azure Firewall をHubに作って集中管理する。~ ※ ゼロトラスト型で構成する場合にはSpoke 側に立てても良い。 ---通常、[[NATルール>#ze6d9c7f]]を作らない。 -攻撃検知 --[[脅威インテリジェンス機能>#p47ba0c9]]を有効化する。 --診断設定を有効化する。 -ハードニング(クライアント or サーバ)~ - -出力制御(アウトバウンド) --経路制限 ---適切に設計・定義されたルールのみが定義されている~ ・アウトバウンドの[[ネットワーク>#g63685d0]]・[[アプリケーション>#ocd9500d]]・ルール~ ・パケット・フォワーダとして動作させる場合のルール ---[[タグ(FQDNタグやサービス・タグ)>#fbddaf25]]を積極的に利用する。 ***変更・保守、作業の一覧化 [#i3f2684c] 高権限である「Network Contributor」ロールが必要になるので要注意。 *参考 [#qb25220b] **Microsoft Docs [#t1775fd3] -Azure Firewall のドキュメント~ https://docs.microsoft.com/ja-jp/azure/firewall/ -ファイアウォールまたはプロキシ サーバーのセーフリストに Azure portal の URL を追加する~ https://docs.microsoft.com/ja-jp/azure/azure-portal/azure-portal-safelist-urls?tabs=public-cloud ---- Tags: [[:インフラストラクチャ]], [[:クラウド]], [[:Azure]], [[:セキュリティ]], [[:通信技術]] Tags: [[:インフラストラクチャ]], [[:クラウド]], [[:セキュリティ]], [[:通信技術]], [[:Azure]]