Azure platformのTLS Inspectionポリシーには以下が必要です:
-
[Access to][Azure Active Directory (AD)]。また、AzureサブスクリプションをAzure ADに関連付けることを忘れないでください。Virtual ApplianceがAzure ADに認証できるようにするには、マネージドIDを作成し、新しいIDにRoleを割り当てます。マネージドIDについて詳しく学ぶ。
-
[Access to the][Azure Key Vault]。お使いのアプライアンスは、Azure Key Vaultからサーバ証明書と秘密鍵にアクセスするために認証および認可されている必要があります。
- [Authentication:]システム割り当てまたはユーザ割り当てのマネージドIDを作成するアプライアンス上で。これにより、アプライアンスはAzure ADを使用してAzure Key Vaultに認証できるようになり、コード内に資格情報を保存する必要がなくなります。
- [Authorization:] アプライアンスがCertificates and secretsにアクセスするために必要な権限を持つように構成します (Azure Key Vaultは秘密鍵をシークレットとして保存します)。最適なセキュリティのために、必要最小限の権限のみを構成してください。AzureダッシュボードからYourKeyVault
- [Vault access policy:] は、Virtual Applianceがシークレット、キー、および証明書に対して実行できるAzure Key Vaultの操作の種類を決定します。Webサーバー証明書にアクセスするには、Virtual
Applianceに
List
およびGet certificate
の権限が必要です。Webサーバーの秘密鍵にアクセスするには、Virtual ApplianceにGET
のシークレット権限が必要です。設定を保存することを忘れないでください。詳細はこちら。 - [Azure role-based access control (RBAC):] は、異なるスコープレベル (サブスクリプション、Resource Group、または個々のリソース) に対して詳細な権限を提供します。Azure RBACモデルは、権限のスコープをより細かく定義することができます。詳細はこちら。
に移動し、権限を構成するための以下のモデルのいずれかを選択します:
- [Vault access policy:] は、Virtual Applianceがシークレット、キー、および証明書に対して実行できるAzure Key Vaultの操作の種類を決定します。Webサーバー証明書にアクセスするには、Virtual
Applianceに
- [Access to private keys:] 証明書がAzure Key Vaultに作成またはインポートされるとき、証明書ポリシーをエクスポート可能に構成して、アプライアンスが証明書に関連付けられた秘密鍵にもアクセスできるようにします。
-
[Server to be proxied, and access to its private key]。TLS Inspectionのために複数のプロキシを設定することはできますが、一度に設定できるプロキシは1つだけです。サーバを追加するには、ページに移動してください。
-
[Network Security virtual appliances]。複数のAppliancesをTLS Inspection用に設定することはできますが、一度に設定できるのは1台のApplianceのみです。Applianceは最低でもバージョン2021.8.0.11159である必要があります。TLS Inspectionは、スケーリンググループまたはScale Setに属するAppliances、およびAzure Internal Load Balancer (ILB) を持つAppliancesに対してサポートされるようになりましたが、TLSポリシーをScale Set内の各Applianceに配布する必要があります。Network Security仮想Appliancesは自動スケーリングをサポートしていません。
-
[A single server with a protected IP address, or a CIDR for servers running behind a load balancer.] 例えば、
192.0.2.0
または、CIDRを使用する場合は198.51.100.0/24
です。サブネットは8から32の範囲です。サーバのIPアドレスを取得するには、VMのプライベートIPアドレス情報を取得するを参照してください。 -
[Server’s public certificate]。Azure Key Vaultを通じてアクセスを有効にできます。