Network Security インスタンスをMicrosoft Azureに展開する

Network Security for Azureでは、 Network Security 仮想アプライアンスをAzure仮想環境にインラインで配置することで、ネットワークトラフィックを監視および保護できます。

選択した展開オプションに応じて、Azure Functionを使用してネットワークトラフィックを監視および再ルーティングするか、トラフィックルールを手動で再ルーティングするか、ロードバランサによって高可用性が確保されます。 Network Security 管理インタフェースを使用して仮想アプライアンスを管理します。 Azure Monitor ログ分析機能とコマンドラインインタフェースを使用して、Webアプリケーションの状態を監視します。

このユーザガイドでは、互換性のある環境で Network Security インスタンスを展開および管理する方法について説明します。

仮想アプライアンスの推奨サイズ

以下に示すアプライアンスのサイズは、展開で使用可能なオプションです。アプライアンスのサイズは、 Deploy the Network Security virtual appliance の手順で選択します。

• Standard_F8s_v2
• Standard_F16s_v2
• Standard_F8s
• Standard_F16s

Azure展開の権限

Network Security をAzureに展開するには、最初に適切な権限と役割を手動で設定する必要があります。

Azureでは、役割ベースのアクセス制御/ IDアクセス管理（RBAC / IAM）を使用して、Azureサービスおよびリソースにアクセスするユーザとグループを認証します。すべてのAzure展開に必要なRBAC / IAMには、展開用と操作用の2つの権限セットが含まれます。

RBAC および Azureの役割の詳細を確認してください。

注意

高可用性の展開には、追加の権限設定が必要です。詳細を表示。

Azureサービスまたはリソースに割り当てる各役割は、次の3つの要素で構成されます。

• security principal – Azureリソースへのアクセスを要求するユーザ、グループ、サービスプリンシパル、またはマネージドID
• role または role definition –セキュリティプリンシパルで実行できる読み取りや書き込みなどの権限を示します。権限の設定を必要としない役割には、共同作成者の役割を使用します。
• scope –アクセスが許可されるリソースのセット。範囲のレベルは、管理グループ、 サブスクリプション、リソースグループ、およびリソースです。役割は、使用する任意の範囲レベルに割り当てます。

展開の権限

展開を実行するすべてのユーザに、Network Security仮想アプライアンスのリソースグループ内のContributorの役割が付与されていることを確認します。

操作の権限

Network Security 仮想アプライアンスがトラフィックを検査できるようにするには、適切なユーザ定義ルート（UDR）を設定する必要があります。以下の手順に従って新しいカスタムの役割を設定し、UDRを操作するために必要な権限を割り当てます。

1. Azureポータルでリソースグループに移動します。
2. 左側のメニューからAccess control (IAM)を選択します。
3. Add → Add custom roleの順にクリックします。
4. ユーザに次の権限を付与します。
   • Microsoft.Network/virtualNetworks/subnets/read
   • Microsoft.Network/virtualNetworks/subnets/write
   • Microsoft.Network/routeTables/read
   • Microsoft.Network/routeTables/write
   • Microsoft.Network/routeTables/routes/write
   • Microsoft.Network/routeTables/join/action

Azureのリソース

Network Security をAzure環境に展開する前に、次のAzureの基本的な概念について理解しておく必要があります。

• ネットワークトラフィック
• Azure Firewall
• Application Gateway
• Load Balancer
• スケールセット
• Azure Functionの高可用性
• 高可用性（スケールセット）
• Monitor

お使いのプラットフォームの機能をよりよく理解するために、常にMicrosoftのAzureドキュメントを参照してください。

その他の推奨事項

• Microsoftの地域別製品展開サイト を参照して、 リージョンでAzureデータセンターを使用できるようにしてください。
• Azureの サブスクリプション およびサービスの制限事項 を確認して、 Network Securityを展開するための十分な機能があることを確認してください。
• MicrosoftのAzure Status ページを参照して、停止またはAzureサービスの状態のトラブルシューティングを行います。
• リージョンで仮想マシンSKUが使用可能であることを確認します。 これを確認するには、Azure仮想マシンのlist-SKUコマンドを使用します。 Azure CLIの詳細については、Microsoftのドキュメントを参照してください。
• 適切な権限と Azureの役割があることを確認します。
• Azure Resource Manager を使用して、一般的なエラーのトラブルシューティングを行います。