目次
このページのトピック

AzureのTLSインスペクションを設定する

Azureプラットフォームを使用してTLSを設定するには、次の手順に従います。

  1. ポリシーに適切なIAMロールを設定します。Key Vaultの役割を参照してください。

  2. Azure Key Vaultを設定します。詳細を表示

  3. Policy > TLS Inspection に移動し、 Configure TLS Inspectionを** して構成ウィザードに入ります。

Configure TLS Inspection 設定ウィザードで、次の手順を実行します。

  1. 復号および インバウンド TLSトラフィック検査を有効にする管理対象仮想アプライアンスを選択します。 Provide Serverにクリックします。

    注意

    最大4つの管理対象仮想アプライアンスでTLS検査を有効にできますが、一度に有効にできるのは1つだけです。この機能を備えたアプライアンスが5台以上必要な場合は、 サポートレポートを開きます。選択したアプライアンスのバージョンで複数アプライアンスのTLS設定がサポートされていない場合は、ウィザードによって通知され、その選択を続行できなくなります。

  2. 複数のサーバプロキシを設定できますが、一度に1つしか設定できません。100件を超えるプロキシが必要な場合は、 サポートレポートを開きます。[サーバIP]フィールドに、保護するサーバのIPアドレスを入力します。このIPアドレスを取得するには、 仮想マシンのプライベートIPアドレス情報の取得を参照してください。 Provide Public Certificateします。

  3. [証明書]フィールドに、Azure Key VaultのURI(Azure Key Vaultの作成後に表示されるプロパティの1つです。例: https://<your-unique-keyvault-name>.vault.azure.net/)を入力するか、公開証明書識別子の参照リンク(例: https://<your-unique-keyvault-name>/certificates/your-certificate-name)。 Confirm and Deployをクリックします。

  4. 設定を確認し、 Deploy and Close の順にクリックして、暗号化されたトラフィックの検査を開始します。

  5. Policy > TLS Inspection に移動し、[TLSインスペクション]フィールドに Inspectingが表示されていることを確認します。検査ステータスの詳細を確認するには、行の任意の場所をクリックして展開し、問題の原因を追跡します。

    • Issue found –証明書の期限切れなど、1つ以上の設定に問題があるにもかかわらず、暗号化されたトラフィックと暗号化されていないトラフィックが引き続き検査されることを示します。ベストプラクティスとして、すべての暗号化資産が存在し、有効で、最新であることを確認してください。
    • Not inspecting –仮想アプライアンスがフォールバックモード(ユーザ開始または自動)であるか、プロキシサーバが見つからないか無効になっている(暗号資産が見つからないなどの理由で)ために、暗号化および非暗号化トラフィックが検査されていないことを示します。
    • Unknown –仮想アプライアンスが不明な理由でプロキシサーバと通信していないことを示します。インスペクションの完全なステータスを提供する前に、この通信の問題を解決する必要があります。プロキシサーバが見つからない、または無効になっていないこと、および仮想アプライアンスがフォールバックモードでないことを確認します。

注意: 仮想アプライアンスでTLS検査ポリシーを設定した後は、TLSポリシーを編集できません。TLS設定は、ポリシーを完全に削除するまで有効です。TLSインスペクション戦略を変更する場合は、削除アイコンをクリックして既存のポリシーを削除し、新しいポリシーを作成します。