プレイブック

異なるサブスクリプションまたはリージョンにあるVNet間のリソースをプライベートに接続します。

→仮想ネットワーク間でVNetピアリングを構成します。

理由: トラフィックはMicrosoftのバックボーン上に保持されます。VNetピアリングは推移的ではありません。通信には直接ピアリングが必要です (A->B, B->C != A->C)。

リファレンス↗

将来の接続のためにVNetアドレス空間を設計します。

→各VNetに一意で重複しないCIDRブロックを割り当てます。

理由: VNetピアリングには重複しないアドレス空間が必要です。再アーキテクチャを避けるために、将来の拡張を考慮して計画してください。

特定の数のホストに必要なサブネットサイズを計算します。

→必要なホスト数とAzure用の予約済みIPアドレス5個を提供するCIDR表記を使用します。

理由: Azureは各サブネットの最初の4つのIPアドレスと最後のIPアドレスを予約します。/24 (256個のIP) は251個の使用可能なIPしか提供しません。

Azure Firewall、Gateway、またはBastionのようなサービスをデプロイします。

→特定の名前 (例: AzureFirewallSubnet, GatewaySubnet, AzureBastionSubnet) と最小サイズ (それぞれ/26, /27, /26) を持つ専用サブネットを作成します。

理由: これらのサービスは、そのリソースを挿入するために専用の、特定された名前のサブネットを必要とします。機能と将来の拡張のためにサイズは重要です。

オンプレミスネットワークとAzure Private DNSゾーン間の名前解決を有効にします。

→Azure DNS Private Resolverをデプロイします。オンプレミスからAzureへのクエリにはインバウンドエンドポイントを使用し、Azureからオンプレミスへのクエリには転送ルールを持つアウトバウンドエンドポイントを使用します。

理由: カスタムDNS VMを必要とせずに、ハイブリッドDNS向けのマネージドPaaSソリューションを提供します。オンプレミスDNSはインバウンドエンドポイントIPに転送されます。

リファレンス↗

ピアリングされたVNetがPrivate DNSゾーン内のレコードを解決できません。

→Private DNSゾーンからピアリングされたVNetへの仮想ネットワークリンクを作成します。

理由: Private DNSゾーンへのアクセスはピアリングを介して推移的ではありません。解決を必要とする各VNetは明示的なリンクを持つ必要があります。

許可リストのために、サブネット内のVMに静的で予測可能なアウトバウンドPublic IPを提供します。

→Azure NAT GatewayをPublic IPまたはPublic IP Prefixと関連付け、サブネットに接続します。

理由: NAT Gatewayはサブネットの他のすべてのアウトバウンド接続方法を上書きし、すべてのトラフィックがその静的Public IPを使用することを保証します。

リファレンス↗

Load BalancerのようなリソースのPublic IPが常に一定であることを保証します。

→静的割り当てのStandard SKU Public IPアドレスを使用します。

理由: Standard SKUの静的IPはデフォルトでゾーン冗長であり、関連するリソースが停止または削除されても存続します。

Azure CNIネットワーキングを使用するAKSクラスター用のサブネットを設計します。

→IPアドレスの必要数を (ノード数 * ノードあたりの最大Pod数) + ノード数として計算します。この数を収容できるサブネットを割り当てます。

理由: Azure CNIを使用すると、すべてのPodがサブネットから直接IPアドレスを取得するため、かなりのIPアドレス割り当てが必要になります。

スポークVNetからのインターネット向けトラフィックを、ハブVNet内のAzure Firewall経由でルーティングします。

→0.0.0.0/0のルート、ネクストホップタイプ「Virtual appliance」、およびAzure FirewallのプライベートIPを持つUDRテーブルを作成します。

理由: これにより、インターネットへのデフォルトシステムルートが上書きされ、検査のためにすべてのトラフィックがファイアウォールを通過するよう強制されます。

リファレンス↗

ハブ内のAzure Firewallを使用して、2つのスポークVNet間のトラフィックを検査します。

→各スポークで、他のスポークアドレス空間をファイアウォールに指定するUDRを作成します。ファイアウォールで、トラフィックを許可するネットワークルールを作成します。

理由: スポーク間でトラフィックをファイアウォールに送信するには、両方のスポークでルーティングを構成する必要があります。ファイアウォールはデフォルトでVNet間トラフィックを拒否します。

トラフィック検査またはルーティングのために、回復性のあるNVAクラスターをデプロイします。

→Azure Route Serverを使用します。NVAはBGPを介してRoute Serverとピアリングし、ルートをアドバタイズします。Route Serverは負荷分散にECMPを使用します。

理由: Route ServerはNVAとの動的ルーティングを簡素化し、複雑なUDR管理を排除し、自動フェールオーバーを提供します。

リファレンス↗

NVAがルーティングすべきトラフィックをドロップしています。

→NVAのネットワークインターフェース (NIC) で「IP転送」を有効にします。

理由: このAzureレベルの設定は、NICが自身のIPアドレス宛てではないトラフィックを受信および転送できるようにするために必要です。

WAFとSSLオフロードを使用して、HTTP/Sトラフィックをグローバルに最も低いレイテンシのバックエンドに分散します。

→Azure Front Doorを使用します。

理由: Front Doorは最適なパフォーマンスのためにエニーキャストルーティングを使用し、エッジでWAF、URLルーティング、SSLオフロードを統合します。

リファレンス↗

DNSに基づき、ヘルスプローブ駆動型フェールオーバーでグローバルエンドポイントにトラフィックを分散します。

→Azure Traffic Managerを使用します。

理由: Traffic ManagerはDNSベースのロードバランサーです。最低レイテンシには「Performance」ルーティングを、アクティブ/パッシブフェールオーバーには「Priority」を使用します。

WAF、SSL終端、URL/ホストベースルーティングを備えたリージョンHTTP/Sロードバランシングを提供します。

→Azure Application Gateway v2をデプロイします。

理由: Application GatewayはリージョナルなL7ロードバランサーです。URLルーティングにはパスベースルールを、ホストベースルーティングにはマルチサイトリスナーを使用します。

リージョン内で非HTTP/S (TCP/UDP) トラフィックの負荷分散を行います。

→Azure Load Balancer (Standard SKU) を使用します。

理由: Azure Load BalancerはリージョナルなL4ロードバランサーです。クライアントの送信元IPを保持し、すべてのTCP/UDPプロトコルに適しています。

Application GatewayでSSLを終端し、バックエンドへのトラフィックを再暗号化します。

→HTTPSリスナーを構成します。バックエンドHTTP設定で、プロトコルをHTTPSに設定し、バックエンドサーバーの信頼されたルート証明書をアップロードします。

理由: バックエンドサーバーで自己署名証明書が使用されている場合でも、トラフィックがバックエンドまで完全に暗号化されて転送されることを保証します。

SQL Server Always On Availability Groupリスナーへのトラフィックの負荷分散を行います。

→ロードバランシングルールで「Floating IP (Direct Server Return)」設定が有効になっている内部Standard Load Balancerを使用します。

理由: Floating IPは、フェールオーバー後にセカンダリノードがクライアントに直接応答できるようにするため、SQL AGリスナーが正しく機能するために必要です。

すべてのプロトコルとポートを処理する必要があるNVAのクラスターにトラフィックを負荷分散します。

→「HA Ports」ロードバランシングルールを持つ内部Standard Load Balancerを使用します。

理由: HA Portsルールは、すべてのポートでTCPおよびUDPトラフィックをすべて転送するため、すべてのトラフィックフローを検査する必要があるNVAの構成を簡素化します。

プライマリとセカンダリのWebアプリケーションオリジン間で自動フェールオーバーを構成します。

→両方のオリジンを同じFront Doorオリジングループに配置します。プライマリオリジンには優先度1を、セカンダリには低い優先度 (例: 2) を割り当てます。

理由: Front Doorは常に、最も優先順位の高い正常なオリジンにトラフィックを送信します。プライマリがヘルスプローブに失敗すると、トラフィックは自動的に次の優先順位に切り替わります。

管理ポートをインターネットに公開せずに、Azure VMへの安全なRDP/SSHアクセスを提供します。

→Azure Bastion (高度な機能にはStandard SKU) をデプロイします。

理由: Bastionはマネージドジャンプボックスとして機能し、TLS経由でAzure portalを介したアクセスを提供します。これにより、VMでの管理にPublic IPが不要になります。

リファレンス↗

VNet内からPrivate IPアドレスを使用してAzure PaaSサービス (例: SQL, Storage) にアクセスします。

→PaaSリソース用のPrivate Endpointを作成します。自動名前解決のためにPrivate DNS Zoneと統合します。

理由: Private Endpointは、PaaSサービスをPrivate IPでVNetに投影し、真にプライベートな接続を可能にします。PaaSサービスでPublicネットワークアクセスを無効にすることで、これが強制されます。

Public IPを使用せずに、Azureバックボーン経由でVNetからAzure PaaSサービスにアクセスしますが、専用のPrivate IPを管理しません。

→ソースサブネットで特定のサービス (例: Microsoft.Storage) のService Endpointを有効にします。

理由: Service EndpointはVNetからPaaSサービスへの直接ルートを提供しますが、VNet内でPrivate IPを使用しません。Private Endpointよりもシンプルですが、柔軟性は劣ります。

自身のVNetで実行されているサービスを、他のVNet (他のテナントの場合もあり得る) のコンシューマーにプライベートに公開します。

→サービスをStandard Load Balancerの背後に配置し、それを指すPrivate Link Serviceを作成します。

理由: Private Link Serviceはプロバイダー側のコンポーネントです。コンシューマーは自身のVNetでPrivate Endpointを作成し、プライベートにサービスに接続します。

リファレンス↗

VMがスケーリングしたりIPを変更したりする可能性のある多層アプリケーションのNSGルールを簡素化します。

→各層 (例: Web, App, DB) にApplication Security Group (ASG) を作成します。ASGを送信元/宛先としてNSGルールを定義します。

理由: ASGはVMのネットワークオブジェクトタグとして機能し、不安定なIPアドレスではなくアプリケーション構造に基づいてルールを作成できます。

NSGがNICとそのサブネットの両方に適用されている場合、トラフィックが予期せずブロックされます。

→NSGルールの評価順序を思い出してください。インバウンド: NICルールが最初に、次にサブネットルール。アウトバウンド: サブネットルールが最初に、次にNICルール。

理由: どのレベルでの拒否もトラフィックをブロックします。トラフィックフローを成功させるためには、両方のNSGがトラフィックを許可する必要があります。

既知の悪意のあるIPアドレスおよびドメインへの/からのトラフィックを自動的にブロックします。

→Azure Firewallの脅威インテリジェンスベースのフィルタリングを「Alert and deny」モードで有効にします。

理由: これにより、Microsoftの脅威インテリジェンスフィードが使用され、ゼロ構成で既知の脅威に対するマネージドで最新の保護が提供されます。

マルウェアなどの脅威のために、暗号化されたHTTPSトラフィックを検査します。

→Azure Firewall Premiumを使用します。ポリシーでTLS Inspectionを有効にし、クライアントが信頼する必要がある中間CA証明書をデプロイします。

理由: これは、トラフィックを検査するために中間者復号化を実行するプレミアム機能であり、ゼロトラストセキュリティ体制にとって重要です。

IPリストを維持せずに、Windows Updateのような複雑なMicrosoftサービスへのアウトバウンドアクセスを許可します。

→Azure Firewallで、FQDN Tag (例: "WindowsUpdate", "AzureBackup") を使用してアプリケーションルールを作成します。

理由: Microsoftはこれらのタグに関連付けられたFQDNを管理しており、動的なサービスに対するファイアウォールルールの管理を簡素化します。

大量のDDoS攻撃からPublic向けアプリケーションを保護し、迅速な対応サポートにアクセスします。

→VNetでDDoS Network Protection (以前のStandard) を有効にします。

理由: 無料のBasic保護にはない、適応チューニング、攻撃テレメトリ、緩和レポート、およびDDoS Rapid Responseチームへのアクセスを提供します。

接続障害を診断し、トラフィックがドロップされている正確なホップを特定します。

→Network Watcher > Connection Troubleshootを使用します。

理由: エンドツーエンドのチェックを実行し、完全なホップバイホップパスを表示し、NSG、UDR、またはその他のネットワークの問題による障害を特定します。

NSGルールがVMへの/からのトラフィックを許可または拒否しているかを迅速に確認します。

→Network Watcher > IP Flow Verifyを使用します。

理由: これは、特定の5タプルをNSGルールに対してテストし、どのルールが結果の原因であるかを確認する最も直接的なツールです。

コンプライアンスと分析のために、許可および拒否されたすべてのネットワークトラフィックをログに記録します。

→NSGフローログを有効にし、Traffic Analytics (Log Analytics Workspace経由) に取り込みます。

理由: NSGフローログは生のトラフィックデータを提供します。Traffic Analyticsはこのデータを拡張し、視覚化して、トラフィックパターン、トップトーカ、およびセキュリティ脅威を特定します。

予測可能なレイテンシと高い帯域幅を提供するプライベートな専用接続で、オンプレミスネットワークをAzureに接続します。

→Azure ExpressRoute回線をプロビジョニングします。

理由: ExpressRouteはPublicインターネットを完全にバイパスし、Site-to-Site VPNよりも信頼性が高く、高速で、低レイテンシの接続を提供します。

リファレンス↗

Azureリソースにアクセスするために正しいExpressRouteピアリングを選択します。

→VNetに接続するにはAzureプライベートピアリングを使用します。Public PaaSサービスとMicrosoft 365にアクセスするにはMicrosoftピアリングを使用します。

理由: 2つのピアリングタイプは異なるリソースセットへのアクセスを提供します。MicrosoftピアリングにはPublic IP、NAT、およびルートフィルターが必要です。

ハブVNetの中央VPNまたはExpressRouteゲートウェイを介して、スポークVNetがオンプレミスネットワークにアクセスできるようにします。

→ハブからスポークへのピアリングで「Allow gateway transit」を有効にします。スポークからハブへのピアリングで「Use remote gateways」を有効にします。

理由: この2部構成の構成により、スポークがハブのゲートウェイを使用できるようになり、ハイブリッド接続が集中化されます。

ExpressRoute接続のバックアップとしてSite-to-Site VPNを構成します。

→ExpressRouteとVPNゲートウェイの両方をデプロイします。デフォルトでは、同じプレフィックスに対してはVPNパスよりもExpressRouteパスが優先されます。

理由: Azureは、デフォルトのルートウェイトが高いため、自動的にExpressRouteを優先します。ExpressRoute回線が失敗した場合、BGPはルートを撤回し、トラフィックはVPNにフェールオーバーします。

アクティブ/パッシブ冗長性のために、あるExpressRoute回線を別の回線よりも優先するようにトラフィックに影響を与えます。

→BGP AS Pathプリペンドを使用します。バックアップ回線のルートアドバタイズメントに自身のASNを複数回追加して、そのパスが長く見えるようにします。

理由: BGPは最短のAS Pathを優先します。これにより、プライマリ回線が優先パスとなり、プライマリパスが撤回された場合はバックアップに自動的にフェールオーバーします。

既存のExpressRoute回線を使用して、Microsoftバックボーンネットワーク経由で2つのオンプレミスサイトを接続します。

→ExpressRoute Global Reachを有効にします。

理由: Global Reachは2つのExpressRoute回線を接続し、トラフィックがAzure VNetでヘアピンしなくてもMicrosoftネットワーク上でプライベートWANを可能にします。

多数のブランチオフィスとVNetを接続するグローバルネットワークの管理を簡素化します。

→Azure Virtual WANをデプロイします。

理由: Virtual WANは、自動化されたany-to-any推移的接続、ルーティング、およびセキュリティサービス (セキュリティ保護されたハブ) との統合を提供するマネージドハブアンドスポークサービスです。

リファレンス↗

Virtual WANで、すべてのVNet間、ブランチ間、およびインターネット向けトラフィックを一元的に検査します。

→セキュリティ保護された仮想ハブ (Azure Firewall付き) をデプロイします。プライベートトラフィックとインターネットトラフィックをファイアウォール経由で送信するようにルーティングインテントを構成します。

理由: ルーティングインテントはvWANでのトラフィックエンジニアリングを簡素化し、手動UDRなしでトラフィックをセキュリティプロバイダー経由で強制的に通過させるようにルートを自動的にプログラムします。

Azureへの回復性のあるVPN接続を提供します。

→VPN Gatewayをアクティブ/アクティブ構成でデプロイします。これには、2つのPublic IPと、2つのトンネルを確立できるオンプレミスデバイスが必要です。

理由: Azureリージョン内でインスタンスレベルの冗長性を提供します。ゾーン間冗長性には、ゾーン冗長 (AZ) SKUを使用します。

追加ソフトウェアなしで幅広いクライアント互換性を持つPoint-to-Site VPNプロトコルを選択します。

→IKEv2を使用します。古いデバイスを含む最大の互換性のためにはOpenVPNを使用します。

理由: IKEv2は最新のWindows、macOS、iOSでネイティブにサポートされています。SSTPはWindowsのみです。OpenVPNはクライアントを必要としますが、広くサポートされています。

Azure VMからのすべてのインターネット向けトラフィックを、オンプレミスのセキュリティアプライアンスにリダイレクトします。

→オンプレミスから、ExpressRouteまたはVPN接続経由でBGPを介してデフォルトルート (0.0.0.0/0) をアドバタイズします。

理由: このBGPアドバタイズメントはAzureのデフォルトのインターネットルートを上書きし、検査のためにトラフィックをオンプレミスネットワークに戻します。