AzureのTLS要件

Azureプラットフォームの場合、TLS検査ポリシーには次のものが必要です。

• Azure Active Directory （AD）へのアクセス。また、 でAzureサブスクリプションをAzure ADに関連付けてください。仮想アプライアンスでAzure ADへの認証を有効にするには、 でマネージドIDを作成し、 で新しいIDに役割を割り当てます。マネージドIDの詳細を確認する。
• Azure Key Vaultへのアクセス。Azure Key Vaultからサーバ証明書と秘密鍵にアクセスするには、アプライアンスを認証および承認する必要があります。
• 認証：システム割り当てまたはユーザ割り当てのマネージドID をアプライアンスに作成します。これにより、アプライアンスで次のことが可能になります認証するAzure ADを使用してAzure Key Vaultにアクセスします。これにより、コードにクレデンシャルが保存されなくなります。
• Authorization: 証明書とシークレットにアクセスするために必要な権限を持つようにアプライアンスを設定します（Azure Key Vaultには秘密鍵として秘密鍵が保存されます）。最適なセキュリティを確保するには、必要最小限の権限のみを設定してください。Azureダッシュボードから、 YourKeyVault> Settings > Access Policies > Permission model の順に選択し、次のいずれかのモデルを選択して権限を設定します。
  • Vaultアクセスポリシー： アプライアンスがシークレット、キー、および証明書に対して実行できるAzure Key Vault操作の種類を決定します。Webアプライアンスの証明書にアクセスするには、仮想アプライアンスに List および Get certificate 権限が必要です。Webアプライアンスの秘密鍵にアクセスするには、仮想アプライアンスに GET シークレット権限が必要です。設定を保存してください。詳細を表示。
  • Azure role-based access control (RBAC): さまざまな範囲レベル（サブスクリプション、リソースグループ、または個々のリソース）で詳細な権限を提供します。Azure RBACモデルでは、権限の範囲をより詳細に定義できます。詳細を表示。

• 秘密鍵へのアクセス： 証明書が作成されるか、Azure Key Vaultにインポートされたら、アプライアンスが証明書に関連付けられた秘密鍵にもアクセスできるように、証明書ポリシーをエクスポート可能に設定します。

• プロキシするサーバとその秘密鍵にアクセスします。TLS検査には複数のプロキシを設定できますが、一度に設定できるプロキシは1つだけです。サーバを追加するには、 Network > Appliances > appliancename ページに移動します。

• Network Security仮想アプライアンス。TLS検査用に複数のアプライアンスを設定できますが、一度に設定できるアプライアンスは1つだけです。アプライアンスのバージョンは2021.8.0.11159以上である必要があります。
  TLSインスペクションは、スケーリンググループまたはスケールセットに属するアプライアンスと、Azure内部ロードバランサ (ILB) を備えたアプライアンスでサポートされるようになりましたが、スケールセット内の各アプライアンスにTLSポリシーを配布する必要があります。Network Security 仮想アプライアンスは自動スケーリングをサポートしていません。
• 保護されたIPアドレスを持つ単一のサーバ、またはロードバランサの背後で実行されるサーバのCIDR。たとえば、 192.0.2.0 、CIDRを使用する場合は 198.51.100.0/24です。サブネットの範囲は8〜32です。サーバのIPを取得するには、 仮想マシンのプライベートIPアドレス情報の取得を参照してください。
• サーバの公開証明書。Azure Key Vaultからのアクセスを有効にできます。