あらためて Microsoft Azure Virtual Network 2018/06/16 株式会社 pnop / Cloudlive 株式会社 浅見 城輝

♥BEER About me kuniteru.asami Find me Database Azure 2012~ Microsoft Azure

注意事項 このセッションは 2018 年 6 月 15 日 時点の情報を 基にしています このセッションでは、明記/明言しない限り、 ARM デプロイメント のみを対象とし、 クラシック デプロイメントは考慮しません

Agenda Azure Virtual Network とは セキュリティ 外部ネットワークとの通信 Virtual Network の管理 / 監視

Virtual Network

Azure Virtual Network（VNet / 仮想ネットワーク）とは Azure Virtual Network とは、Azure のデータセンター内に、 ユーザー固有の分離された仮想的なネットワークの環境 Virtual Network の中に Virtual Machine（仮想マシン） をはじめとしたサーバーなどのリソースを配置する デフォルトでは他のネットワークから接続することはできない TCP, UDP, ICMP による通信 VNet#1 VNet#2 Internet

アドレス空間とサブネット Virtual Network には、1 つ以上のアドレス空間と、 各々のアドレス空間に 1 つ以上のサブネットを割り当てる VNet#1 VNet#2 VNet#3 ・アドレス空間：10.0.0.0/16 サブネット#A：10.0.0.0/24 ・アドレス空間：10.0.0.0/8 サブネット#A：10.0.0.0/16 サブネット#B：10.1.0.0/16 ・アドレス空間：172.16.0.0/12 サブネット#A：172.16.0.0/24 サブネット#B：172.16.1.0/24 ・アドレス空間：192.168.0.0/16 サブネット#C：192.168.0.0/24 ※ 図の例ではプライベート IP のみが書かれているが、グローバル IP も利用可能

リージョン VNet は複数のリージョンにまたがることはできないため、異なる リージョンのリソースを同じ VNet に所属させることはできない 異なるリージョンのリソースをあたかも同じネットワークにいる かのように扱いたい場合は、後述する Global VNet Peering や VNet to VNet で、それぞれのリージョンの VNet 同士を接続する VNet#1 VNet#2 VNet東日本 西日本 東日本 サブネット東日本 サブネット西日本 VNet西日本

VNet に配置できるリソースの種類 Virtual Network には、以下のリソースを配置することができる Virtual Machines (NIC) Virtual Machine Scale Sets Service Fabric HDInsight App Service Environment Redis Cache API Management VPN Gateway Application Gateway Azure Kubernetes Service Azure Container Service Engine と VNet CNI plugin Azure Active Directory Domain Services （クラシックのみ） Azure Batch Azure Cloud Services（クラシックのみ） Azure Load Balancer Azure SQL Database Managed Instance

VNet サービス エンドポイント 一部の Azure PaaS は VNet サービス エンドポイントによって VNet から直接接続し、また、特定の VNet からのみ受け付けるよ うにすることができる Azure SQL Data Warehouse Azure Database for MySQL Azure Database for PostgreSQL Azure Storage Azure SQL Database Azure Cosmos DB ※注意 • VNet と 接続する PaaS サービスは、同一のリージョンである必要がある • VNet サービス エンドポイントとの接続のみに制限すると、Azure のその他のサービスから接続でき なくなったり、一部の機能が利用できなくなるものもある

ルーティング ユーザー定義ルート (User Defined Route / UDR) により、Azure の既定の システム ルートを上書きしたり、サブネットのルート テーブルにルー トを追加することができる これにより、VNet からインターネットに出ていくパケットを、必ずオ ンプレミス経由で出したり、セキュリティアプライアンスを経由させ ることによりセキュリティを担保するなどが実現可能 全てのトラフィックをオンプレミスやセキュリティなどのネット ワーク アプライアンスに強制トンネリングさせる カスタムルートで、ネットワーク内のトラフィック フローを制御 Virtual Network のサブネットに対し、ルートテーブルを定義 任意のアドレス接頭辞に対して、次のホップを指定

名前解決 VNet 内のリソースの名前解決をソースに対して提供できるもの Azure が提供するデフォルトの内部 DNS サーバー Azure DNS Private Zones VNet 内および VNet 間のリソースの名前解決を実現する VNet にリソース (VMs, VPN Gateway など) を追加する前にVNet とゾーン をリンクする必要がある VNet 内のリソースを自動で DNS レコード登録することも可能 ユーザー独自の DNS サーバー ※ VNet 内のリソースが利用する DNS サーバーは VNet で設定する 通信対象 デフォルト DNS Azure DNS Private Zones 独自 DNS 同じ VNet 内のリソース間 ● ● ● 異なる VNet にまたがるリソース間 ● ● 仮想 VNet 統合による App から VNet 内のリソース ● VNet 内のリソース から オンプレミスのコンピューター ● オンプレミスのコンピューター から VNet 内のリソース ● 内部 IP 用 逆引き DNS ●

セキュリティ

通信の許可および拒否 ネットワークセキュリティグループ (NSG) により、VNet 内のリ ソースの通信を制御するファイアウォールを実現する 優先度 名前 ポート プロトコル ソース 宛先 アクション 1000 allow-rdp 3389 TCP 123.123.123.0/24 任意 許可 1010 allow-ssh 22 TCP 123.123.123.0/24 ASG-ftp 許可 65000 AllowVNetInBound 任意 任意 VirtualNetwork VirtualNetwork 許可 65001 AllowAzureLoad BalancerInBound 任意 任意 AzureLoadBalancer 任意 許可 65500 DenyAllInBound 任意 任意 任意 任意 拒否 条件として指定した以下に 該当するトラフィックを 許可または拒否する アクセス元 (IP アドレス / タグ / ASG、ポート) アクセス先 (IP アドレス / タグ / ASG、ポート) プロトコル (TCP / UDP) 通信の向き (受信 / 送信) の それぞれに対し、条件を 指定する VNet のサブネット または VMs の NICに割り当て 優先度 名前 ポート プロトコル ソース 宛先 アクション 65000 AllowVNetOutBound 任意 任意 VirtualNetwork VirtualNetwork 許可 65001 AllowInternet OutBound 任意 任意 任意 Internet 許可 65500 DenyAllOutBound 任意 任意 任意 任意 拒否 受信セキュリティ規則 送信セキュリティ規則

NSG – デフォルトルール / タグ / ASG デフォルト ルール NSG を作成すると、受信/送信規則の それぞれに対し、いくつかの既定の ルールが定義される Application Security Group (ASG) Virtual Machines (の NIC) を登録し、 ソース/宛先に指定することで NSG の管理をシンプルにする VNet に入れる PaaS リソースの 種類によっては、通信を許可し なければいけない条件がある サービス タグ Microsoft が管理するソースおよび宛先に 指定するグループ VirtualNetwork AzureLoadBalancer Internet AzureTrafficManager Storage Storage.リージョン Sql Sql.リージョン AzureCosmosDB AzureCosmosDB.リージョン AzureKeyVault AzureKeyVault.リージョン

Azure DDoS Protection DDoS 攻撃に対する防御 Basic (無料) 常時接続のトラフィック監視および一般的なネットワーク レベル攻撃のリアルタイム の軽減策によって、Microsoft のオンライン サービスによって使用されるのと同じ防 御を提供 Standard (有料) Basic サービス レベルに加えて、特に Azure VNet リソースに対してチューニングされ た追加の軽減機能を提供 保護ポリシーは、専用のトラフィック監視および機械学習アルゴリズムによって チューニングされる ポリシーは、Azure Load Balancer、Azure Application Gateway、Azure Service Fabric のイ ンスタンスなど、仮想ネットワーク内に展開されたリソースに関連付けられたパブ リック IP アドレスに適用 撃中および履歴の表示のために、Azure Monitor ビューでリアルタイムのテレメトリ

Azure DDoS Protection Basic と Standard の違い 機能 Basic Standard 常時監視 ● ● レイヤー 3/4 のネットワーク攻撃を軽減 ● ● Application Gateway と組み合わせての レイヤー 7 攻撃からの保護 ● ● グローバルに展開 ● ● Azure DNS Zones の保護 ● ● 対象の VNet に適した保護ポリシー ● ロギング、アラート、テレメトリ ● SLA ●

外部のネットワークとの通信

VNet 外部との接続 Azure リソースとの通信 他の VNet VNET Peering Global VNET Peering VNet to VNet Site to Site VPN 一部の Azure PaaS サービス VNet 統合 VNet サービスエンドポイント Azure App Service (Point to Site VPN) オンプレミスとの通信 Point to Site VPN Site to Site VPN Azure ExpressRoute インターネットとの通信 パブリック IP アドレス パブリック IP アドレスを持たない リソースからの送信

Virtual Machines とインターネットとの接続

対オンプレミス接続と VNet 間接続

ExpressRoute による対オンプレミス接続

多くのネットワークの接続 VNet to VNet Site to Site VNet to VNet

多くのネットワークの接続

多くのネットワークの接続 VNet to VNet BGP なし Site to Site VNet to VNet BGP 不問 VNet to VNet BGP あり Site to Site VNet to VNet BGP なし Site to Site BGP なし Site to Site BGP 不問 BGP あり BGP あり Not Global Not Global Not Global Not Global

VPN Gateway の可用性向上 双方の冗長化 VNet 間接続のアクティブ/アクティブ構成

Virtual Network の管理 / 監視

Network Watcher Virtual Network に関する分析情報を取得し、トラフィックの フィルタリングやルーティングの問題を診断、接続を監視 パケット キャプチャ NSG のフロー ログ Virtual Machines のネットワーク問題の診断 VPN ゲートウェイ問題の診断

Network Performance Monitor (Log Analytics) ネットワークの正常性とアプリケーションへのネットワーク接続 性を監視し、ネットワークのパフォーマンスに関する洞察を提供 パフォーマンス モニター クラウド、ハイブリッド、 オ ン プ レ ミ ス の 環 境 の ネットワーク監視 サービス エンドポイント モニター アプリケーションの到達可能 性をテストし、オンプレミス、 通信事業者ネットワーク、 ク ラ ウ ド / プ ラ イ ベ ー ト デ ー タ セ ン タ ー の 間 の パフォーマンス ボトルネッ クを検出 ExpressRoute モニター ExpressRoute 経由のブランチ オフィスと Azure 間の E2E 接 続性とパフォーマンスを監視

Azure Network Security Group Analytics (Log Analytics) Network Security Group の分析 NSG で「ブロック」または「許可」したフロー 該当するルールの数 該当する MAC アドレス

Azure Security Center Azure リソースのセキュリティの状態の分析 潜在的なセキュリティの脆弱性を識別すると、必要な管理を構成する プロセスを説明する推奨事項を提示する ネットワークに関連して提示される推奨事項 サブネットまたは仮想マシンでの NSG の有効化 インターネットに接続するエンドポイント経由のアクセスの制限 etc… 検出されるネットワーク関連の脅威 悪意のあるコンピューターとのネットワーク通信 疑わしい着信 RDP ネットワーク アクティビティ etc…

まとめ Azure Virtual Network とは、Azure 上に独立したネットワークを 作るもの IaaS である Virtual Machines だけではなく、App Service のような PaaS のものも VNet に入れることができる

pnop 社 Microsoft Azure プロフェッショナルサービス 35 コンサルティング 技術検証 性能検証 PoC, アセスメント テクニカルライティング 講師 / セミナー登壇 トラブルシューティング パフォーマンス チューニング サポート 開発 環境構築 移行 / ポーティング オンプレミス → Azure Linux → Windows 他DB → Azure SQL DB 営業支援 見積支援 × 【お問い合わせ】株式会社 pnop Azure営業部 [email protected]

http://www.pnop.co.jp/