Azure用Network Securityを使用すると、Network Security仮想AppliancesをAzure仮想環境にインラインで配置することで、ネットワークトラフィックをモニタおよび保護できます。
展開オプションに応じて、Azure Functionを使用してネットワークトラフィックをモニタおよび再ルーティングするか、手動でトラフィックルールを再ルーティングするか、またはロードバランサーを使用することで、高可用性が確保されます。Network Security管理インターフェイスを通じて仮想Appliancesを管理します。Azure Monitorのログ分析機能とコマンドラインインターフェイスを使用して、Webアプリケーションの健康をモニタします。
このユーザガイドでは、互換性のある環境でNetwork Securityインスタンスを展開および管理する方法について説明します。
Virtual Applianceサイズの推奨設定
以下に記載されているアプライアンスサイズは、各展開の利用可能なオプションです。Network Security Virtual Applianceの展開手順中にアプライアンスサイズを選択します。
- Standard_F8s_v2
- Standard_F16s_v2
- Standard_F8s
- Standard_F16s
Azure 展開の権限
AzureでNetwork Securityを展開するには、まず適切な権限とロールを手動で構成する必要があります。
Azureは、ロールベースのアクセス制御/アイデンティティアクセス管理 (RBAC/IAM) を使用して、Azureサービスおよびリソースにアクセスするユーザおよびグループを認可します。すべてのAzure展開に必要なRBAC/IAMには、展開用の権限セットとOperations用の権限セットの2つの権限セットが含まれます。
RBACとAzureのRoleについて詳しく学ぶ。
![]() |
注意高可用性展開には追加の権限構成が必要です。詳細はこちら。
|
Azureサービスまたはリソースに割り当てる各Roleは、次の3つの要素で構成されます:
- [security principal] – Azureリソースへのアクセスを要求するユーザ、Group、サービスプリンシパル、またはマネージドID
- [role] または [role definition] – セキュリティプリンシパルが実行できる読み取りや書き込みなどの権限を示します。権限の設定が不要なRoleには、ContributorRoleを使用してください。
- [scope] – アクセスが許可されるリソースのセットです。スコープのレベルは、管理グループ、サブスクリプション、Resource Group、およびリソースです。使用するスコープレベルのいずれかにロールを割り当てます。
配信の権限
展開を実行するユーザには、Network Security Virtual ApplianceのResource Group内で[Contributor]ロールが付与されていることを確認してください。
Operationsの権限
Network Security Virtual Applianceがトラフィックを検査できるようにするためには、適切なユーザ定義ルート (UDR) を構成する必要があります。以下の手順に従って新しいCustom
Roleを設定し、UDRを操作するために必要な権限を割り当ててください。
手順
- AzureポータルでResource Groupに移動します。
- 左側のメニューから[Access control (IAM)]を選択してください。
- [追加] → [Add custom role]をクリックします。
- ユーザに次の権限を付与します:
- Microsoft.Network/virtualNetworks/subnets/read
- Microsoft.Network/virtualNetworks/subnets/write
- Microsoft.Network/routeTables/read
- Microsoft.Network/routeTables/write
- Microsoft.Network/routeTables/routes/write
- Microsoft.Network/routeTables/join/action
Network Security証明書を更新
Network Security仮想Appliancesの証明書は2年後に期限切れになります。これにより、Azureでインスタンスが正常に見え、ネットワークの中断なしにトラフィックを通過していても、Network
Security管理インターフェイスでインスタンスが「通信していない」と表示される可能性があります。
インスタンス証明書が期限切れになっているかどうかを確認するには、Network Security CLIを使用してシステムログ内の証明書エラーを検索できます。システムログ内の証明書エラーを検索するには、次のコマンドを使用します:
show log-file system search sslv3 alert certificate
Network Security Virtual Applianceの証明書の有効期限が切れた場合は、次の手順に従って証明書を更新してください。
手順
- Azureコンソールを開きます。
- コンソールから、[設定] で Network Security Virtual Appliance インスタンスを選択し、[Serial console] をクリックします。Azure シリアルコンソールの使用方法については、こちらをご覧ください。
- Network Securityアプライアンス展開トークンを生成します。アプライアンス展開トークンの作成について詳しくはこちら。
注意
2年以上前の一部のインスタンスはアプライアンス展開トークンをサポートしていない可能性があります。この場合、アプライアンス展開トークンの代わりにAPIキーを使用してください。Trend Cloud One APIキーの作成について詳しくはこちら。 - シリアルコンソールに次のコマンドを入力してください:
cloudone unregister
cloudone register <appliance deployment token>
- Network Security管理インターフェースの[Network → Appliances]ページを確認して、インスタンスが更新されたことを確認してください。
注意
インスタンスが更新されたことを確認した後、Policiesを再配布してください。
次に進む前に
Azureリソース
Azure環境にNetwork Securityを展開する前に、これらの基本的なAzureの概念に精通していることを確認してください。
- ネットワークトラフィック
- Azure Firewall
- Application Gateway
- ロードバランサー
- スケールセット
- Azure Function高可用性
- 高可用性 (スケールセット)
- モニタリング
常にMicrosoftのAzureドキュメントを参照して、プラットフォームの機能をよりよく理解してください。
追加の推奨設定
- Microsoftの地域別製品提供サイトを参照して、Azureデータセンターがあなたの地域で利用可能かどうかを確認してください。
- アカウントにNetwork Securityを展開するための十分な機能があることを確認するために、Azureのサブスクリプションおよびサービスの制限を確認してください。
- 停止やAzureサービスの健康状態のトラブルシューティングについては、MicrosoftのAzureステータスページを参照してください。
- 仮想マシンのSKUがご利用の地域で利用可能であることを確認してください。これを確認するには、Azure virtual machine list-SKUコマンドを使用できます。詳細については、Azure CLIに関するMicrosoftのドキュメントを参照してください。
- 適切な権限とAzureのRoleを持っていることを確認してください。
- 一般的なエラーをトラブルシューティングするには、Azure Resource Managerを使用してください。