目次

Network Security インスタンスをMicrosoft Azureに展開する

Network Security for Azureでは、 Network Security 仮想アプライアンスをAzure仮想環境にインラインで配置することで、ネットワークトラフィックを監視および保護できます。

選択した展開オプションに応じて、Azure Functionを使用してネットワークトラフィックを監視および再ルーティングするか、トラフィックルールを手動で再ルーティングするか、ロードバランサによって高可用性が確保されます。 Cloud One – Network Security 管理インタフェースを使用して仮想アプライアンスを管理します。 Azure Monitor ログ分析機能とコマンドラインインタフェースを使用して、Webアプリケーションの状態を監視します。

このユーザガイドでは、互換性のある環境で Network Security インスタンスを展開および管理する方法について説明します。

仮想アプライアンスの推奨サイズ

以下に示すアプライアンスのサイズは、展開で使用可能なオプションです。アプライアンスのサイズは、 Deploy the Network Security virtual appliance の手順で選択します。

  • Standard_F8s_v2
  • Standard_F16s_v2
  • Standard_F8s
  • Standard_F16s

Azure展開の権限

Network Security をAzureに展開するには、最初に適切な権限と役割を手動で設定する必要があります。

Azureでは、役割ベースのアクセス制御/ IDアクセス管理(RBAC / IAM)を使用して、Azureサービスおよびリソースにアクセスするユーザとグループを認証します。すべてのAzure展開に必要なRBAC / IAMには、展開用と操作用の2つの権限セットが含まれます。

RBAC および Azureの役割の詳細を確認してください。


注意

高可用性の展開には、追加の権限設定が必要です。詳細を表示


Azureサービスまたはリソースに割り当てる各役割は、次の3つの要素で構成されます。

  • security principal – Azureリソースへのアクセスを要求するユーザ、グループ、サービスプリンシパル、またはマネージドID
  • role または role definition –セキュリティプリンシパルで実行できる読み取りや書き込みなどの権限を示します。権限の設定を必要としない役割には、共同作成者の役割を使用します。
  • scope –アクセスが許可されるリソースのセット。範囲のレベルは、管理グループ、 サブスクリプション、リソースグループ、およびリソースです。役割は、使用する任意の範囲レベルに割り当てます。


展開の権限

展開を実行するすべてのユーザに、Network Security仮想アプライアンスのリソースグループ内のContributorの役割が付与されていることを確認します。


操作の権限

Network Security 仮想アプライアンスがトラフィックを検査できるようにするには、適切なユーザ定義ルート(UDR)を設定する必要があります。以下の手順に従って新しいカスタムの役割を設定し、UDRを操作するために必要な権限を割り当てます。

  1. Azureポータルでリソースグループに移動します。
  2. 左側のメニューからAccess control (IAM)を選択します。
  3. AddAdd custom roleの順にクリックします。
  4. ユーザに次の権限を付与します。
    • Microsoft.Network/virtualNetworks/subnets/read
    • Microsoft.Network/virtualNetworks/subnets/write
    • Microsoft.Network/routeTables/read
    • Microsoft.Network/routeTables/write
    • Microsoft.Network/routeTables/routes/write
    • Microsoft.Network/routeTables/join/action

Azureのリソース

Network Security をAzure環境に展開する前に、次のAzureの基本的な概念について理解しておく必要があります。

お使いのプラットフォームの機能をよりよく理解するために、常にMicrosoftのAzureドキュメントを参照してください。

その他の推奨事項