目次

Azure Application Gatewayを使用したインバウンドトラフィックの検査

この展開オプションでは、 Azure Application Gatewayを使用して仮想アプライアンスのスケールセットを展開する方法について説明します。Application Gatewayでは、Webアプリケーションのトラフィックを管理できます。詳細を表示

次の図は、この展開のトラフィックフローの例を示しています。

|

重要:インターネット接続に関する注意事項

Deploy the Network Security virtual appliance の手順では、 Network Security 仮想アプライアンスが標準の内部ロードバランサの背後に設定されます。インターネット接続が明示的に宣言されていない限り、このロードバランサを配置すると、初期設定でアウトバウンドインターネット接続がブロックされます。この展開には、 Network Security 仮想アプライアンスが Network Securityと通信できるように、NATゲートウェイを管理サブネットに追加してアウトバウンド接続を許可します。このオプションは、 Network Security 仮想アプライアンスが展開される前に設定されます。


次のタスクを実行して、環境を設定します。

インバウンド検査の設定

  1. リソースグループを作成する
  2. スポーク仮想ネットワークとサブネットを作成する
  3. ハブの仮想ネットワークとサブネットを作成する
  4. ピアリングを追加してハブとスポーク-VNetを接続する
  5. 管理サブネットにNATゲートウェイを追加する
  6. Application Gatewayを設定する
  7. Network Security 仮想アプライアンスを展開する
  8. ルートテーブルとルールを設定する

アウトバウンド検査の設定

  1. ファイアウォールを設定する
  2. ルートテーブルを設定する

開始前の準備

インバウンド検査の設定

リソースグループを作成する

環境にリソースグループが存在しない場合は作成します。

  1. Resource groups+ Addに移動します。
  2. サブスクリプションを選択し、リソースグループに名前を付けて、リージョンを選択します。
  3. Review + Createをクリックします。

スポーク仮想ネットワークと2つのサブネットを作成します。

  1. Virtual Networks+ Addに移動します。
  2. Basicsタブのフィールドに値を入力し、インスタンスに Spoke-VNetという名前を付けます。
  3. IP Addressタブで、IPv4アドレス空間を編集し、新しいアドレスを入力します。
  4. + Add Subnetをクリックし、次の詳細を入力します。
    • サブネット名: WorkloadSubnet
    • アドレス範囲(例):10.3.1.x/xx
  5. OKをクリックします。
  6. + Add Subnetをクリックし、次の詳細を入力します。
    • サブネット名: AGW-Subnet
    • アドレス範囲(例):10.3.2.x/xx
  7. SecurityタブとTagsタブはスキップします。
  8. Review + Createをクリックし、Createをクリックします。

ワークロード仮想マシンの作成(オプション)

概念実証としてこの環境を作成する場合、または環境内に既存のワークロードがない場合は、次の手順に従います。

  1. Virtual machines+ AddVirtual machineに移動します。
  2. Basicsタブで、必要なフィールドに入力します。NameとInbound portのルールに次のように入力します。
    • Name: WorkloadVM
    • Public inbound ports: なし
  3. Disksタブで、OSのディスクの種類にStandard HDDを選択し、その他の設定を行います。
  4. Networkingタブで、次の値を入力します。
    • Virtual network: <Your Spoke-VNet>
    • Subnet: WorkloadSubnet
    • Public inbound ports: なし
  5. 残りのタブに情報を入力します。
  6. Review + Createをクリックし、Createをクリックします。
  7. 展開が完了したら、プライベートIPアドレスを書き留めます。

バックエンドワークロードの例

上記の手順に従ってAzure環境でワークロードを作成した場合の2つの仮想マシンWebワークロードの設定詳細の例を次の表に示します。バックエンドワークロードを作成した後に設定する場合は、HTTPサーバをインストールします。

ネットワークインタフェース サブネット IPの例
WebWorkloadA WorkloadSubnet1 10.0.x.1
WebWorkloadB WorkloadSubnet2 10.0.x.2

ハブインスペクションの仮想ネットワークとサブネットを作成する

インスペクション-VNet(ハブ)とサブネットを手動で設定するには、次の手順を実行します。 Network Security 仮想アプライアンスを展開するときに、すべてのサブネットを選択します。

  1. Virtual NetworksAddに移動します。

  2. Basicsタブのフィールドに値を入力し、インスタンスに Hub-VNetという名前を付けます。

  3. IP AddressタブでIPv4アドレス空間を編集し、CIDRを入力します。

  4. + Add Subnetをクリックし、次の情報を入力して4つのサブネットを作成します。

    サブネット名 サブネットCIDRの例
    Management-subnet 10.0.0.x/xx
    Inspection-subnet 10.0.1.x/xx
    Sanitized-subnet 10.0.2.x/xx
    LoadBalancer-subnet 10.0.3.x/xx
  5. Review + Createをクリックし、Createをクリックします。

ピアリングを追加してハブとスポークのVNetを接続する

  1. Virtual networksページに移動します。
  2. Hub-VNetPeerings+ Addをクリックします。
  3. 最初のピアリング接続は、ハブからSpoke-VNetへの接続です。次の設定の詳細を入力し、 OK をクリックします。
    • Peering connection name: Spoke-to-Hub
    • Virtual network deployment model: Resource manager
    • Subscription: サブスクリプション
    • Virtual network: <your Spoke VNet>
    • Peering connection name: Hub-to-Spoke
    • Allow virtual network access from Hub-VNet to Spoke-VNet: 有効
    • Allow virtual network access from Spoke-VNet to Hub_VNet: 有効
    • Allow forwarded traffic from Spoke-to-Hub: 有効
    • Allow virtual network access from Hub-to-Spoke: 有効
    • Allow gateway transit: 未チェックのままにします。

管理サブネットにNATゲートウェイを追加する

インターネット接続通知 セクションで説明されているように、管理サブネットに関連付けられたNATゲートウェイを設定に追加して、 Network Security 仮想アプライアンスが Network Securityと通信できるようにします。


注意

Network Security 仮想アプライアンスの展開時にNATゲートウェイを自動的に生成するオプションがあります。Deploy the Network Security virtual applianceセクションでNATゲートウェイを自動的に生成するオプションを選択するか、次の手順を使用してNATゲートウェイを手動で展開します。


  1. NAT gateways+ Addに移動します。
  2. Basicsタブで必要な情報を入力します。
  3. Outbound IPタブで、リソースに応じてPublic IP addressesまたはPublic IP prefixesを選択します。
    • Public IP address: 単一のIPアドレス
    • Public IP prefixes: パブリックIPアドレスの範囲
  4. SubnetタブでハブVNet名を選択し、 management-subnetを選択します。
  5. Review + Createをクリックし、Createをクリックします。

管理サブネットを関連付けるには、NATゲートウェイの詳細ページでSubnetメニューオプションをクリックします。

Application Gatewayを設定する

  1. Application gateways+ Addに移動します。

  2. Basicsタブで、次の値を入力します。

    • Application Gateway name: AGW
    • Region: リソースグループと同じリージョンを選択します。
    • Minimum scale units: 環境に応じて単位を入力します(手順の最後にある注意を参照)。
    • Virtual network: <Your Spoke-VNet>

    • Subnet: AGW-subnet

  3. Frontends タブで、次の値を入力します。

    • Frontend IP address type: Public
    • Public IP address: Create a new public IP
  4. Backendsタブで、Add a backend pool の順にクリックして、次の値を入力します。

    • Name: Webpool
    • Target type:Virtual Machine (2つ作成)
    • Target:web-workload-a および web-workload-b (それぞれ1つずつ作成)
  5. Configurationタブで、Add a routing rule の順にクリックして、次の値を入力します。

    • Rule name: HTTP_Normal
    • Listener name: PORT80_Listener
    • Frontend IP: Public
    • Port: 80
  6. 同じ画面でBackend targetsタブに移動し、次の値を入力します。

    • Target type: バックエンドプール
    • Backend target: Webpool
    • HTTP settings: HTTP_Normal
  7. Addをクリックします。

  8. 追加するタグを設定します。

  9. Review + Createをクリックし、Createをクリックします。



注意

AGWは、要求されたトラフィック量に基づいてサービス数を自動的に変更する、完全に動的な自動スケーリングサービスです。 minimum scale unit 設定は、実行されるインスタンスの最小数を保証するために使用されるため、応答時間は比較的安定しています。ゼロを入力すると、トラフィックがないときにサービスがゼロになります。



Network Security 仮想アプライアンスを展開する

Network Security 仮想アプライアンスは、Azure Marketplaceから公開されています。 Network Security 仮想アプライアンスを展開するには、 Azure Portal → Marketplace → Trend Micro Cloud One™ – Network Securityに移動します。

Azure Marketplaceの展開でNetwork Security Applianceに仮想アプライアンスが正しく登録されていない場合は、仮想アプライアンスをTrend Micro Cloud Oneに 手動で追加 します。

展開を開始する前に、次の情報を収集します。



注意

リソースグループ、ハブVNet、およびサブネットの正確な名前をコピーして貼り付けることをお勧めします。



  1. Azureにログインし、Create a resourceの順に選択します(これでMarketplaceが表示されます)。
  2. Trend Micro Network Securityを検索します。
  3. Select a planの横のドロップダウンメニューで、Scale Set VMを選択します。
  4. Createをクリックします。
  5. Basicsタブに次の情報を入力します。
  6. Networking タブで次の情報を選択します。
    • 仮想ネットワーク。
    • Inspection-VNetで作成したすべてのサブネット。
    • NATゲートウェイの場合は、 ** Create new を選択して仮想アプライアンスの展開時に新しいNATゲートウェイを自動的に作成するか、すでに手動でNATゲートウェイを作成した場合はSelect existing**を選択します。
  7. Advancedタブで次の情報を入力または選択します。
    • (推奨)Boot diagnostics設定を有効のままにします。
    • 起動診断アカウントを選択するか、新しいアカウントを作成します。
    • Network Security 管理ポータルにログをアップロードするには、Log AnalyticsワークスペースIDとプライマリキーを入力します。
  8. Review + Createをクリックし、Deployをクリックします。

ルートテーブルとルールを設定する

Network Security 仮想アプライアンスを展開したら、仮想アプライアンスをインラインに配置してトラフィックの検査を開始するルートテーブルとルートを追加して設定します。ネットワークトラフィックは、サブネットのデフォルトゲートウェイとしてファイアウォールにルーティングされると、ファイアウォールルールの対象になります。

このプロセスを完了するには、次の情報が必要です。

ロードバランサのフロントエンドIPアドレスを特定する

  1. ロードバランサに移動します。
  2. Frontend IP configurationを選択します。IP address列にフロントエンドIPアドレスが表示されます。

手順1:2つのルートテーブルを作成する

  1. Route table に移動し、 + Addをクリックします。
  2. 次の値を入力します。
    • Table one: AGW-rt
    • Table two: Workload-rt
  3. Propagate gateway routes設定は初期設定のままにします。この設定は、オンプレミスからクラウドへの環境の構築に使用されます。
  4. Review + Createをクリックし、Createをクリックします。
  5. 残りのテーブルについてもこの手順を繰り返します。

手順2:ルートテーブルを設定する

Route tablesページに移動します。

  1. AGW-rtテーブルを選択し、Routes+ Add をクリックします。
  2. 次の情報を入力します。
    • Name: toWorkload
    • Address prefix: <CIDR of the Workload-subnet>
    • Next hop type: Virtual Appliance
    • Next hop address: <Frontend IP address of the LoadBalancer>
    • OKをクリックします。
  3. Workload-rtテーブルを選択し、Routes+ Add をクリックします。
    • Name: toAGW
    • Address prefix: <CIDR of the AGW-subnet>
    • Next hop type: Virtual Appliance
    • Next hop address: <Frontend IP address of the LoadBalancer>
    • OKをクリックします。

手順3:ルートテーブルを関連するサブネットに関連付ける

  1. AGW-rtテーブルを選択し、Subnets+ Associate をクリックします。
    • Virtual network: Your Spoke-VNet
    • Subnet: AGW-subnet
  2. Workload-rtテーブルを選択し、Subnets+ Associate をクリックします。
    • Virtual network: Your Spoke-VNet
    • Subnet: WorkloadSubnet

アウトバウンド検査の設定

アプライアンスのスケールセットでアウトバウンド検査を設定するには、次のタスクを実行します。

AzureFirewallルートルールを作成して設定する

ファイアウォールを作成する

Azure Firewall またはサードパーティのファイアウォールでを設定している場合は、この手順を省略します。

Securityタブで、 Enable設定のFirewallを選択し、ファイアウォールの詳細を入力します。

  • Firewall name: AzureFirewall
  • Firewall subnet address space (example): 10.0.100.x/x
  • Public IP address: Create New →IPアドレスを追加します。

Azure Firewallを作成して展開したら、次のように設定を変更します。詳細を表示

ファイアウォール IP情報を記録する

ファイアウォールを作成すると、プライベートIPとパブリックIPが自動的に割り当てられます。展開プロセスで将来使用するIP情報を書き留めます。

  1. FirewallsAzureFirewallに移動します。
  2. Public IP Configurationます。
  3. AzureFirewallSubnetのプライベートIPアドレスとパブリックIPアドレスをメモします。

ファイアウォール ネットワークルール(出力)の設定

  1. All ResourcesAzureFirewallに移動します。
  2. Rulesを選択します。
  3. Network rule collection+ Add network rule collectionをクリックします。
  4. Basic informationに次の情報を入力します。

    • Basic Information
    • Name: NSVA_OUTBOUND
    • Priority: 100
    • Action: Allow
  5. IPアドレスルールに次の情報を入力します。

    • Name: All_outbound
    • Protocol: Any
    • Source Type: IP Address
    • Source: *
    • Destination Type: IP Address
    • Destination Address: *
    • Destination Ports: *
  6. Addをクリックします。

ルートテーブルとルールを設定する

ネットワークトラフィックは、サブネットのデフォルトゲートウェイとしてファイアウォールにルーティングされるときに、ファイアウォールルールの影響を受けます。

このプロセスを完了するには、次の情報が必要です。

手順1:追加のルートテーブルを2つ作成する

  1. Route table に移動し、 + Addをクリックします。
  2. 各ルートテーブルに次の値を入力します。
    • Table one: Firewall-rt
    • Table two: DataportB-rt
  3. Review + Createをクリックし、Createをクリックします。
  4. 残りのテーブルについてもこの手順を繰り返します。

手順2:ルートテーブルを設定する

Route tablesページに移動します。

  1. Workload-rtテーブルを選択し、Routes+ Add をクリックします。
    • Name: Default
    • Address prefix: 0.0.0.0/0
    • Next hop type: Virtual appliance
    • Next hop address: <NIC 1A private IP of Network Security virtual appliance>
    • OKをクリックします。
  2. Firewall-rtテーブルを選択し、Routes+ Add をクリックします。
    • Name: Default
    • Address prefix: 0.0.0.0/0
    • Next hop type: Internet
    • OKをクリックします。
  3. Firewall-rt テーブルに別のルートを追加します。Addをクリックします。
    • Name: toWorkload
    • Address prefix: <CIDR of the Workload subnet>
    • Next hop type: Virtual Appliance
    • Next hop address: <Frontend IP address of the LoadBalancer>
    • OKをクリックします。
  4. DataportB-rt 表を選択し、Routes+ Addの順にクリックします。
    • Name: Default
    • Address prefix: 0.0.0.0/0
    • Next hop type: Virtual Appliance
    • Next hop address: <Private IP of AzureFirewall>
    • OKをクリックします。

手順3:ルートテーブルを関連するサブネットに関連付ける

  1. Firewall-rtテーブルを選択し、Subnets+ Associate をクリックします。

    • Virtual network:Your Hub-VNet
    • Subnet: AzureFirewallSubnet
  2. DataportB-rt 表を選択し、Subnets+ Associateの順にクリックします。

    • Virtual network: Your Hub-VNet
    • Subnet: Sanitized-subnet

ルートを使用してトラフィックを復元する

ルートテーブルとルールの設定 」セクションを参照してください。仮想アプライアンスが停止した場合は、次のインバウンド検査のユーザ定義ルートを削除します。

  1. 関連するサブネットから AGW-rt ルートテーブルを削除します。
  2. 関連するサブネットから Workload-rt ルートテーブルを削除します。

手動フォールバック

この設定を有効にして、仮想アプライアンスを手動でフォールバックモードにします。