ラテラルトラフィックの検査

この展開オプションでは、プライベートVNet展開を使用して仮想アプライアンスのスケールセットを展開する方法について説明します。 Azure Load Balancer の背後にスケールセットを展開すると、追加の可用性レイヤが提供されるため、仮想アプライアンスで障害が発生しても中断が最小限に抑えられます。

トラフィックフローの設定

次の図は、Workload VNet 1からWorkload VNet 2への東/西のトラフィックフローを示しています。

重要：インターネット接続に関する注意事項

Network Security 仮想アプライアンスを展開する の手順では、 Network Security 仮想アプライアンスが標準の内部ロードバランサの背後に設定されます。インターネット接続が明示的に宣言されていない限り、このロードバランサを配置すると、初期設定でアウトバウンドインターネット接続がブロックされます。この展開には、 Network Security 仮想アプライアンスが Network Securityと通信できるように、NATゲートウェイを管理サブネットに追加してアウトバウンド接続を許可します。このオプションは、 Network Security 仮想アプライアンスが展開される前に設定されます。

ネットワーク環境の設定

環境を設定するには、次のタスクを実行します。

1. リソースグループを作成する
2. インスペクション仮想ネットワークとサブネットを作成する
3. 管理サブネットにNATゲートウェイを追加する （インターネット接続オプション）
4. Network Security 仮想アプライアンススケールセットを展開する
5. スポーク仮想ネットワークとサブネットを作成する
6. ピアリングを追加してVNetを接続する
7. ルートテーブルとルートを設定する

注意

開始する前に、 Azureの命名規則 を確認してください。

開始前の準備

この展開を開始する前に、Azure Monitorを設定します。ログモニタのワークスペースIDとログモニタのプライマリキーを書き留めます。

Trend Micro Cloud One アプライアンス展開トークンを生成します。

リソースグループを作成する

環境にリソースグループが存在しない場合は作成します。

1. Resource groups → + Addに移動します。
2. サブスクリプションを選択し、リソースグループに名前を付けて、リージョンを選択します。
3. Review + Createをクリックします。

インスペクション仮想ネットワークとサブネットを作成する

検査-VNetとサブネットを手動で設定するには、次の手順を実行します。 Network Security 仮想アプライアンスを展開するときに、すべてのサブネットを選択します。

1. Virtual Networks → Addに移動します。

2. Basicsタブのフィールドに値を入力し、インスタンスに「 Hub-VNet」という名前を付けます。

3. IP Addressタブで、IPv4アドレス空間を編集し、CIDRを入力します。

4. Hub-VNetに5つのサブネットを追加します。+ Add Subnetをクリックし、次の情報を入力します。

   サブネット名	サブネットCIDRの例
   Management-subnet	10.0.0.x/x
   Inspection-subnet	10.0.1.x/x
   Sanitized-subnet	10.0.2.x/x
   Loadbalancer-subnet	10.0.3.x/x

   ---

   注意: 内部ロードバランサ（ILB）は、Azure Marketplaceから Network Security 仮想アプライアンスを展開するときに作成されます。

   ---

5. Review + Create → Createをクリックします。

管理サブネットにNATゲートウェイを追加する

インターネット接続通知 セクションで説明されているように、 Network Security 仮想アプライアンスが Network Securityと通信できるようにするには、管理サブネットに関連付けられたNATゲートウェイを設定に追加する必要があります。

注意

Network Security 仮想アプライアンスの展開時にNATゲートウェイを自動的に生成するオプションがあります。Network Security 仮想アプライアンスを展開する セクションでNATゲートウェイを自動的に生成するオプションを選択するか、次の手順を使用してNATゲートウェイを手動で展開します。

1. NAT gateways → + Addに移動します。
2. Basicsタブに情報を入力します。
3. Outbound IPタブで、リソースの配置方法に応じて、Public IP addressesまたはPublic IP prefixesを選択します。
   • パブリックIPアドレス：これは単一のIPアドレスです。
   • パブリックIPプレフィックス：パブリックIPアドレスの範囲です。
4. Subnetタブで、 Hub-VNet 名を選択し、 management-subnetを選択します。
5. Review + Create → Createをクリックします。

管理サブネットを関連付けるには、NATゲートウェイの詳細ページでSubnetメニューオプションをクリックします。

Network Security 仮想アプライアンスを展開する

Network Security 仮想アプライアンスは、Azure Marketplaceから公開されています。 Network Security 仮想アプライアンスを展開するには、 Azure Portal → Marketplace → Trend Micro Cloud One™ – Network Securityに移動します。

Azure Marketplaceの展開で仮想アプライアンスがNetwork Securityに正しく登録されていない場合は、仮想アプライアンスを手動で追加します。

展開を開始する前に、次の情報を収集します。

• VNetリソースグループ名
• 管理、インスペクション（Dataporta）、サニタイズ（Dataportb）、およびロードバランサ サブネットの名前
• Trend Micro Cloud One アプライアンス展開トークン
• Log AnalyticsワークスペースIDとプライマリキー -展開プロセス中にLog Analyticsワークスペースを登録して、ログが Network Security 管理インタフェースに送信されるようにします。

注意

リソースグループ、Hub-VNet、およびサブネットの正確な名前をコピーして次の手順に貼り付けることをお勧めします。

1. Azureにログインし、Create a resourceの順に選択します（これでMarketplaceが表示されます）。
2. Trend Micro Network Securityを検索します。
3. Select a plan の横のドロップダウンメニューで、Scale Set VMを選択します。
4. Createをクリックします。
5. Basicsタブに次の情報を入力します。
   • Trend Micro Cloud One アプライアンス展開トークンを入力してください。
   • 選択すると、 公開ユーザ鍵 （SSH鍵）を作成します。
6. Networkingタブで次の情報を選択します。
   • 仮想ネットワーク
   • Inspection-VNetで作成したすべてのサブネット
   • NATゲートウェイの場合は、 Create newを選択して仮想アプライアンスの展開時に新しいNATゲートウェイを自動的に作成するか、すでに手動でNATゲートウェイを作成した場合はSelect existingを選択します。
7. Advancedタブで、次の情報を入力または選択します。
   • （推奨）ブート診断設定を有効のままにします
   • ブート診断アカウントを選択するか、新しいアカウントを作成してください
   • Network Security 管理ポータルにログをアップロードするには、Log AnalyticsワークスペースIDとプライマリキーを入力します
8. Review + Create → Deployの順にクリックします。

スポーク仮想ネットワークとサブネットを作成する

ワークロードサブネット用に2つのスポーク-VNetを作成します。環境内にすでにスポークとワークロードがある場合、この手順はオプションです。

1. Virtual Networks → + Addに移動します。
2. Basicsタブのフィールドに値を入力し、インスタンスに「 Spoke1-VNet」という名前を付けます。
3. IP Addressタブで、IPv4アドレス空間を編集し、新しいアドレスを入力します。
4. + Add Subnet をクリックし、次の情報を入力します。
   • サブネット名： Workload1-subnet
   • アドレス範囲（例）：10.1.1.x/x
5. OKをクリックします。
6. Security タブと Tags タブはスキップします。
7. Review + Create → Createをクリックします。
8. 2番目のSpoke-VNetに対して手順1〜7を繰り返し、スポークに Spoke2-VNet 、ワークロードのサブネットに Workload2-subnetと名前を付けます。

ワークロード仮想マシンの作成（オプション）

概念実証としてこの環境を作成する場合、または環境内に既存のワークロードがない場合は、次の手順に従います。

1. Virtual machines → + Add → Virtual machineに移動します。
2. Basicsタブで、必要なフィールドに入力します。NameとInbound portのルールには、次の値を使用します。
   • 名前: WorkloadVM
   • インバウンドポート：なし
3. Disksタブで、OSディスクの種類にStandard HDDを選択し、その他の設定を行います。
4. Networkingタブで、次の値を入力します。
   • 仮想ネットワーク： <Your Spoke-VNet>
   • サブネット： WorkloadSubnet
   • インバウンドポート：なし
5. 残りのタブに情報を入力します。
6. Review + Create → Createをクリックします。
7. 展開が完了したら、プライベートIPアドレスを書き留めます。

バックエンドワークロードの例

上記の手順に従ってAzure環境でワークロードを作成した場合の2つの仮想マシンWebワークロードの設定詳細の例を次の表に示します。バックエンドワークロードを作成した後に設定する場合は、HTTPサーバをインストールします。

ピアリングを追加してハブとスポークのVNetを接続する

インスペクションVNet（Hub-VNet）とワークロードVNetの間にピアリング接続を作成します。手順は以下の通りです。

1. Virtual networksページに移動します。
2. Spoke1-VNet → Peerings → + Addをクリックします。
3. 最初のピアリング接続は、Spoke1-VNetから検査VNetへの接続です。次の設定の詳細を入力し、OKをクリックします。
   • ピアリング接続名： Spoke1-to-Hub
   • 仮想ネットワーク展開モデル：Resource manager
   • サブスクリプション： サブスクリプション
   • 仮想ネットワーク： <your Spoke VNet>
   • ピアリング接続名： Hub-to-Spoke1
   • Hub-VNetからSpoke1への仮想ネットワークアクセスを許可：有効
   • Spoke1からHub_VNetへの仮想ネットワークアクセスを許可：有効
   • Spoke1-to-Hubからの転送トラフィックを許可：有効
   • ハブツースポークからの仮想ネットワークアクセスを許可：有効
   • ゲートウェイの通過を許可：無効
4. 次の値を使用して、 Spoke2-VNet に対して手順2と3を繰り返します。
   • ピアリング接続名： Spoke2-to-Hub
   • 仮想ネットワーク展開モデル：Resource manager
   • サブスクリプション： サブスクリプション
   • 仮想ネットワーク： <your Spoke VNet>
   • ピアリング接続名： Hub-to-Spoke2
   • Hub-VNetからSpoke1への仮想ネットワークアクセスを許可：有効
   • Spoke1からHub_VNetへの仮想ネットワークアクセスを許可：有効
   • Spoke1-to-Hubからの転送トラフィックを許可：有効
   • ハブツースポークからの仮想ネットワークアクセスを許可：有効
   • ゲートウェイの通過を許可：無効

ルートテーブルとルートを設定する

Network Security 仮想アプライアンスを展開したら、仮想アプライアンスをインラインに配置してトラフィックの検査を開始するルートテーブルとルートを追加して設定します。ネットワークトラフィックは、サブネットのデフォルトゲートウェイとしてファイアウォールにルーティングされると、ファイアウォールルールの対象になります。

このプロセスを完了するには、次の情報が必要です。

• ロードバランサのプライベートIP
• Spoke-VNet CIDR

手順1：2つのルートテーブルを作成する

1. Route tables → + Addに移動します。

2. 次の値を入力します。

   • テーブル1： Spoke1-rt
   • テーブル2： Spoke2-rt

3. Review + Createをクリックします。

4. テーブル2についてもこの手順を繰り返します。

手順2：ルートテーブルを設定する

1. Route tables画面で、 Spoke1-rt テーブル→ Routes → + Addを選択します。
2. 次の情報を入力します。
   • 名前: toSpoke1
   • アドレスプレフィックス： <CIDR of the Spoke2-VNet>
   • ネクストホップの種類： Virtual Appliance
   • ネクストホップアドレス：<IP address of the internal load balancer>
   • OKをクリックします。
3. Spoke2-rt テーブル→ Routes → + Addを選択します。
   • 名前: toSpoke2
   • アドレスプレフィックス： <CIDR of the Spoke1-VNet>
   • ネクストホップの種類： Virtual Appliance
   • ネクストホップアドレス： <IP address of the internal load balancer>
   • OKをクリックします。

手順3：ルートテーブルを関連するサブネットに関連付ける

1. Spoke1-rt 表を選択し、Subnets → + Associateの順にクリックします。
   • 仮想ネットワーク： Spoke1-VNet
   • サブネット： Workload1-subnet
2. Spoke2-rt テーブルを選択し、Subnets → + Associateをクリックします。
   • 仮想ネットワーク： Spoke2-VNet
   • サブネット： Workload2-subnet

高可用性

この展開オプションでは、手動フォールバックを使用しないでください。

この展開では、高可用性フェールオープンを使用できます。 詳細を表示。設定については、サポート窓口にお問い合わせください。