このページのトピック
Azure Application Gatewayを使用したインバウンドトラフィックの検査
この展開オプションでは、 Azure Application Gatewayを使用して仮想アプライアンスのスケールセットを展開する方法について説明します。Application Gatewayでは、Webアプリケーションのトラフィックを管理できます。詳細を表示。
次の図は、この展開のトラフィックフローの例を示しています。
Deploy the Network Security virtual appliance の手順では、 Network Security 仮想アプライアンスが標準の内部ロードバランサの背後に設定されます。インターネット接続が明示的に宣言されていない限り、このロードバランサを配置すると、初期設定でアウトバウンドインターネット接続がブロックされます。この展開には、 Network Security 仮想アプライアンスが Network Securityと通信できるように、NATゲートウェイを管理サブネットに追加してアウトバウンド接続を許可します。このオプションは、 Network Security 仮想アプライアンスが展開される前に設定されます。
次のタスクを実行して、環境を設定します。:
- リソースグループを作成する
- スポーク仮想ネットワークとサブネットを作成する
- ハブの仮想ネットワークとサブネットを作成する
- ピアリングを追加してハブとスポーク-VNetを接続する
- 管理サブネットにNATゲートウェイを追加する
- Application Gatewayを設定する
- Network Security 仮想アプライアンスを展開する
- ルートテーブルとルールを設定する
開始前の準備
- Azureの命名規則を確認します。
- Azure Monitorを設定します。ログモニタのワークスペースIDとログモニタのプライマリキーを書き留めます。
- Trend Micro Cloud One アプライアンス展開トークンを生成します。
インバウンド検査の設定
リソースグループを作成する
環境にリソースグループが存在しない場合は作成します。
- Resource groups → + Addに移動します。
- サブスクリプションを選択し、リソースグループに名前を付けて、リージョンを選択します。
- Review + Createをクリックします。
スポーク仮想ネットワークと2つのサブネットを作成します。
- Virtual Networks → + Addに移動します。
- Basicsタブのフィールドに値を入力し、インスタンスに
Spoke-VNet
という名前を付けます。 - IP Addressタブで、IPv4アドレス空間を編集し、新しいアドレスを入力します。
- + Add Subnetをクリックし、次の詳細を入力します。
- サブネット名:
WorkloadSubnet
- アドレス範囲(例):10.3.1.x/xx
- サブネット名:
- OKをクリックします。
- + Add Subnetをクリックし、次の詳細を入力します。
- サブネット名:
AGW-Subnet
- アドレス範囲(例):10.3.2.x/xx
- サブネット名:
- SecurityタブとTagsタブはスキップします。
- Review + Createをクリックし、Createをクリックします。
ワークロード仮想マシンの作成(オプション)
概念実証としてこの環境を作成する場合、または環境内に既存のワークロードがない場合は、次の手順に従います。
- Virtual machines → + Add → Virtual machineに移動します。
- Basicsタブで、必要なフィールドに入力します。NameとInbound portのルールに次のように入力します。
- Name:
WorkloadVM
- Public inbound ports: なし
- Name:
- Disksタブで、OSのディスクの種類にStandard HDDを選択し、その他の設定を行います。
- Networkingタブで、次の値を入力します。
- Virtual network:
<Your Spoke-VNet>
- Subnet:
WorkloadSubnet
- Public inbound ports: なし
- Virtual network:
- 残りのタブに情報を入力します。
- Review + Createをクリックし、Createをクリックします。
- 展開が完了したら、プライベートIPアドレスを書き留めます。
バックエンドワークロードの例
上記の手順に従ってAzure環境でワークロードを作成した場合の2つの仮想マシンWebワークロードの設定詳細の例を次の表に示します。バックエンドワークロードを作成した後に設定する場合は、HTTPサーバをインストールします。
ネットワークインタフェース | サブネット | IPの例 |
---|---|---|
WebWorkloadA | WorkloadSubnet1 | 10.0.x.1 |
WebWorkloadB | WorkloadSubnet2 | 10.0.x.2 |
ハブインスペクションの仮想ネットワークとサブネットを作成する
インスペクション-VNet(ハブ)とサブネットを手動で設定するには、次の手順を実行します。 Network Security 仮想アプライアンスを展開するときに、すべてのサブネットを選択します。
-
Virtual Networks → Addに移動します。
-
Basicsタブのフィールドに値を入力し、インスタンスに
Hub-VNet
という名前を付けます。 -
IP AddressタブでIPv4アドレス空間を編集し、CIDRを入力します。
-
+ Add Subnetをクリックし、次の情報を入力して4つのサブネットを作成します。
サブネット名 サブネットCIDRの例 Management-subnet
10.0.0.x/xx Inspection-subnet
10.0.1.x/xx Sanitized-subnet
10.0.2.x/xx LoadBalancer-subnet
10.0.3.x/xx -
Review + Createをクリックし、Createをクリックします。
ピアリングを追加してハブとスポークのVNetを接続する
- Virtual networksページに移動します。
- Hub-VNet → Peerings → + Addをクリックします。
- 最初のピアリング接続は、ハブからSpoke-VNetへの接続です。次の設定の詳細を入力し、 OK をクリックします。
- Peering connection name:
Spoke-to-Hub
- Virtual network deployment model: Resource manager
- Subscription: サブスクリプション
- Virtual network:
<your Spoke VNet>
- Peering connection name:
Hub-to-Spoke
- Allow virtual network access from Hub-VNet to Spoke-VNet: 有効
- Allow virtual network access from Spoke-VNet to Hub_VNet: 有効
- Allow forwarded traffic from Spoke-to-Hub: 有効
- Allow virtual network access from Hub-to-Spoke: 有効
- Allow gateway transit: 未チェックのままにします。
- Peering connection name:
管理サブネットにNATゲートウェイを追加する
インターネット接続通知 セクションで説明されているように、管理サブネットに関連付けられたNATゲートウェイを設定に追加して、 Network Security 仮想アプライアンスが Network Securityと通信できるようにします。
注意
Network Security 仮想アプライアンスの展開時にNATゲートウェイを自動的に生成するオプションがあります。Deploy the Network Security virtual applianceセクションでNATゲートウェイを自動的に生成するオプションを選択するか、次の手順を使用してNATゲートウェイを手動で展開します。
- NAT gateways → + Addに移動します。
- Basicsタブで必要な情報を入力します。
- Outbound IPタブで、リソースに応じてPublic IP addressesまたはPublic IP prefixesを選択します。
- Public IP address: 単一のIPアドレス
- Public IP prefixes: パブリックIPアドレスの範囲
- SubnetタブでハブVNet名を選択し、 management-subnetを選択します。
- Review + Createをクリックし、Createをクリックします。
管理サブネットを関連付けるには、NATゲートウェイの詳細ページでSubnetメニューオプションをクリックします。
Application Gatewayを設定する
-
Application gateways → + Addに移動します。
-
Basicsタブで、次の値を入力します。
- Application Gateway name:
AGW
- Region: リソースグループと同じリージョンを選択します。
- Minimum scale units: 環境に応じて単位を入力します(手順の最後にある注意を参照)。
-
Virtual network:
<Your Spoke-VNet>
-
Subnet:
AGW-subnet
- Application Gateway name:
-
Frontends タブで、次の値を入力します。
- Frontend IP address type: Public
- Public IP address: Create a new public IP
-
Backendsタブで、Add a backend pool の順にクリックして、次の値を入力します。
- Name:
Webpool
- Target type:
Virtual Machine
(2つ作成) - Target:
web-workload-a
およびweb-workload-b
(それぞれ1つずつ作成)
- Name:
-
Configurationタブで、Add a routing rule の順にクリックして、次の値を入力します。
- Rule name:
HTTP_Normal
- Listener name:
PORT80_Listener
- Frontend IP:
Public
- Port:
80
- Rule name:
-
同じ画面でBackend targetsタブに移動し、次の値を入力します。
- Target type: バックエンドプール
- Backend target:
Webpool
- HTTP settings:
HTTP_Normal
-
Addをクリックします。
-
追加するタグを設定します。
-
Review + Createをクリックし、Createをクリックします。
注意
AGWは、要求されたトラフィック量に基づいてサービス数を自動的に変更する、完全に動的な自動スケーリングサービスです。 minimum scale unit 設定は、実行されるインスタンスの最小数を保証するために使用されるため、応答時間は比較的安定しています。ゼロを入力すると、トラフィックがないときにサービスがゼロになります。
Network Security 仮想アプライアンスを展開する
Network Security 仮想アプライアンスは、Azure Marketplaceから公開されています。 Network Security 仮想アプライアンスを展開するには、 Azure Portal → Marketplace → Trend Micro Cloud One™ – Network Securityに移動します。
Azure Marketplaceの展開でNetwork Security Applianceに仮想アプライアンスが正しく登録されていない場合は、仮想アプライアンスをTrend Micro Cloud Oneに 手動で追加 します。
展開を開始する前に、次の情報を収集します。
- VNetリソースグループ名。
- 管理、インスペクション(DataportA)、サニタイズ済み(DataportB)、およびロードバランサ サブネット の名前。
- Trend Micro Cloud One アプライアンス展開トークン
- Log AnalyticsワークスペースIDとプライマリキー - 展開プロセス中にLog Analyticsワークスペースを登録して、ログが Network Security 管理インタフェースに送信されるようにします。
注意
リソースグループ、ハブVNet、およびサブネットの正確な名前をコピーして貼り付けることをお勧めします。
- Azureにログインし、Create a resourceの順に選択します(これでMarketplaceが表示されます)。
- Trend Micro Network Securityを検索します。
- Select a planの横のドロップダウンメニューで、Scale Set VMを選択します。
- Createをクリックします。
- Basicsタブに次の情報を入力します。
- Trend Micro Cloud One アプライアンス展開トークンを入力してください。
- 選択すると、 公開ユーザ鍵 (SSH鍵)を作成します。
- Networking タブで次の情報を選択します。
- 仮想ネットワーク。
- Inspection-VNetで作成したすべてのサブネット。
- NATゲートウェイの場合は、 ** Create new を選択して仮想アプライアンスの展開時に新しいNATゲートウェイを自動的に作成するか、すでに手動でNATゲートウェイを作成した場合はSelect existing**を選択します。
- Advancedタブで次の情報を入力または選択します。
- (推奨)Boot diagnostics設定を有効のままにします。
- 起動診断アカウントを選択するか、新しいアカウントを作成します。
- Network Security 管理ポータルにログをアップロードするには、Log AnalyticsワークスペースIDとプライマリキーを入力します。
- Review + Createをクリックし、Deployをクリックします。
ルートテーブルとルールを設定する
Network Security 仮想アプライアンスを展開したら、仮想アプライアンスをインラインに配置してトラフィックの検査を開始するルートテーブルとルートを追加して設定します。ネットワークトラフィックは、サブネットのデフォルトゲートウェイとしてファイアウォールにルーティングされると、ファイアウォールルールの対象になります。
このプロセスを完了するには、次の情報が必要です。
- ロードバランサに移動します。
- Frontend IP configurationを選択します。IP address列にフロントエンドIPアドレスが表示されます。
手順1:2つのルートテーブルを作成する
- Route table に移動し、 + Addをクリックします。
- 次の値を入力します。
- Table one:
AGW-rt
- Table two:
Workload-rt
- Table one:
- Propagate gateway routes設定は初期設定のままにします。この設定は、オンプレミスからクラウドへの環境の構築に使用されます。
- Review + Createをクリックし、Createをクリックします。
- 残りのテーブルについてもこの手順を繰り返します。
手順2:ルートテーブルを設定する
Route tablesページに移動します。
- AGW-rtテーブルを選択し、Routes →+ Add をクリックします。
- 次の情報を入力します。
- Name:
toWorkload
- Address prefix:
<CIDR of the Workload-subnet>
- Next hop type:
Virtual Appliance
- Next hop address:
<Frontend IP address of the LoadBalancer>
- OKをクリックします。
- Name:
- Workload-rtテーブルを選択し、Routes →+ Add をクリックします。
- Name:
toAGW
- Address prefix:
<CIDR of the AGW-subnet>
- Next hop type:
Virtual Appliance
- Next hop address:
<Frontend IP address of the LoadBalancer>
- OKをクリックします。
- Name:
手順3:ルートテーブルを関連するサブネットに関連付ける
- AGW-rtテーブルを選択し、Subnets →+ Associate をクリックします。
- Virtual network:
Your Spoke-VNet
- Subnet:
AGW-subnet
- Virtual network:
- Workload-rtテーブルを選択し、Subnets →+ Associate をクリックします。
- Virtual network:
Your Spoke-VNet
- Subnet:
WorkloadSubnet
- Virtual network:
アウトバウンド検査の設定
アプライアンスのスケールセットでアウトバウンド検査を設定するには、次のタスクを実行します。
AzureFirewallルートルールを作成して設定する
ファイアウォールを作成する
Azure Firewall またはサードパーティのファイアウォールでを設定している場合は、この手順を省略します。
Securityタブで、 Enable設定のFirewallを選択し、ファイアウォールの詳細を入力します。
- Firewall name:
AzureFirewall
- Firewall subnet address space (example): 10.0.100.x/x
- Public IP address: Create New →IPアドレスを追加します。
Azure Firewallを作成して展開したら、次のように設定を変更します。詳細を表示。
ファイアウォール IP情報を記録する
ファイアウォールを作成すると、プライベートIPとパブリックIPが自動的に割り当てられます。展開プロセスで将来使用するIP情報を書き留めます。
- Firewalls → AzureFirewallに移動します。
- Public IP Configurationます。
- AzureFirewallSubnetのプライベートIPアドレスとパブリックIPアドレスをメモします。
ファイアウォール ネットワークルール(出力)の設定
- All Resources → AzureFirewallに移動します。
- Rulesを選択します。
- Network rule collection → + Add network rule collectionをクリックします。
-
Basic informationに次の情報を入力します。
- Basic Information
- Name:
NSVA_OUTBOUND
- Priority:
100
- Action:
Allow
-
IPアドレスルールに次の情報を入力します。
- Name:
All_outbound
- Protocol:
Any
- Source Type:
IP Address
- Source:
*
- Destination Type:
IP Address
- Destination Address:
*
- Destination Ports:
*
- Name:
- Addをクリックします。
ルートテーブルとルールを設定する
ネットワークトラフィックは、サブネットのデフォルトゲートウェイとしてファイアウォールにルーティングされるときに、ファイアウォールルールの影響を受けます。
このプロセスを完了するには、次の情報が必要です。
手順1:追加のルートテーブルを2つ作成する
- Route table に移動し、 + Addをクリックします。
- 各ルートテーブルに次の値を入力します。
- Table one:
Firewall-rt
- Table two:
DataportB-rt
- Table one:
- Review + Createをクリックし、Createをクリックします。
- 残りのテーブルについてもこの手順を繰り返します。
手順2:ルートテーブルを設定する
Route tablesページに移動します。
- Workload-rtテーブルを選択し、Routes →+ Add をクリックします。
- Name:
Default
- Address prefix:
0.0.0.0/0
- Next hop type:
Virtual appliance
- Next hop address:
<NIC 1A private IP of Network Security virtual appliance>
- OKをクリックします。
- Name:
- Firewall-rtテーブルを選択し、Routes →+ Add をクリックします。
- Name:
Default
- Address prefix:
0.0.0.0/0
- Next hop type:
Internet
- OKをクリックします。
- Name:
- Firewall-rt テーブルに別のルートを追加します。Addをクリックします。
- Name:
toWorkload
- Address prefix:
<CIDR of the Workload subnet>
- Next hop type:
Virtual Appliance
- Next hop address:
<Frontend IP address of the LoadBalancer>
- OKをクリックします。
- Name:
- DataportB-rt 表を選択し、Routes → + Addの順にクリックします。
- Name:
Default
- Address prefix:
0.0.0.0/0
- Next hop type:
Virtual Appliance
- Next hop address:
<Private IP of AzureFirewall>
- OKをクリックします。
- Name:
手順3:ルートテーブルを関連するサブネットに関連付ける
-
Firewall-rtテーブルを選択し、Subnets →+ Associate をクリックします。
- Virtual network:
Your Hub-VNet
- Subnet:
AzureFirewallSubnet
- Virtual network:
-
DataportB-rt 表を選択し、Subnets → + Associateの順にクリックします。
- Virtual network:
Your Hub-VNet
- Subnet:
Sanitized-subnet
- Virtual network:
ルートを使用してトラフィックを復元する
「 ルートテーブルとルールの設定 」セクションを参照してください。仮想アプライアンスが停止した場合は、次のインバウンド検査のユーザ定義ルートを削除します。
- 関連するサブネットから
AGW-rt
ルートテーブルを削除します。 - 関連するサブネットから
Workload-rt
ルートテーブルを削除します。
手動フォールバック
この設定を有効にして、仮想アプライアンスを手動でフォールバックモードにします。