このブログは、プリンシパル プログラム マネージャーの Eliran Azulai との共著です。

COVID-19 のパンデミック以降、デジタル トランスフォーメーションが加速する中、組織は継続的に、ワークロードをクラウドに移行し、ワークロードの安全性を確保することを模索しています。さらに、組織は最新の環境の複雑さにもっと効果的に適応し、ハイブリッド ワークプレースを受け入れ、場所を問わずにアプリケーションやデータを保護する新しいセキュリティ モデルを必要としています。

Microsoft のゼロ トラスト フレームワークは、以下の 3 つの原則を守ることで、あらゆる場所の資産を保護します。

1. 明示的に検証する: 使用可能なすべてのデータ ポイント (ユーザー ID、場所、デバイスの正常性、サービスまたはワークロード、データ分類、異常など) に基づいて、常に認証と許可を行います。
2. 最小限の特権アクセスを使用する: ジャストインタイム、ジャストイナフアクセス (JIT、JEA)、リスクベースのアダプティブ ポリシー、データ保護により、ユーザー アクセスを制限し、データと生産性の両方を保護します。
3. 侵害行為の想定: 影響範囲を最小限に抑え、アクセスをセグメント化します。エンドツーエンドで暗号化されていることを確認し、分析を使用して視覚化し、脅威検出を推進し、防御を強化します。

このブログでは、組織のゼロ トラストへの取り組みを支援する Azure のネットワーク セキュリティ サービスのいくつかについて、第 3 の原則である「侵害行為」に焦点を当てて説明します。

ネットワーク ファイアウォール

ネットワーク ファイアウォールは通常、エッジ ネットワークにデプロイされ、信頼できる、および信頼できないゾーンの間のトラフィックをフィルタリングします。ゼロ トラスト アプローチでは、このモデルを拡張し、内部ネットワーク、ホスト、およびアプリケーション間のトラフィックをフィルタリングすることが推奨されています。

ゼロ トラスト アプローチは、侵害行為を想定し、悪質なアクターはどこにでもいるという現実を受け入れるものです。信頼できる、および信頼できないゾーンの間に壁を築くのではなく、すべてのアクセス試行を検証し、JIT と JEA にユーザー アクセスを制限し、リソース自体を強化することが推奨されています。しかし、これはセキュリティ ゾーンの維持を妨げるものではありません。実際、ネットワーク ファイアウォールは、ネットワークを小さなゾーンに分割し、その間を流れるトラフィックを制御することで、ネットワーク通信に対する一種の抑制と均衡の機能を提供します。この徹底したセキュリティの実践のため、私たちは特定の接続が機密性の高い境界を越えるべきかどうかを検討する必要があります。

それではゼロ トラスト ネットワークでは、ファイアウォールをどこに設置すればよいのでしょうか。ネットワークは本質的に脆弱なものであるため、ホスト レベルやその外側でファイアウォールを実装する必要があります。Microsoft は Azure で、ホストと仮想ネットワークまたはサブネットの間という、異なるネットワークの位置にデプロイされるフィルタリングとファイアウォールのサービスを提供しています。ここでは、Azure のファイアウォール サービスがどのようにゼロ トラストをサポートしているかを説明します。

Azure ネットワーク セキュリティ グループ (NSG)

Azure 仮想ネットワーク内の Azure リソースが送受信するネットワーク トラフィックは、Azure ネットワーク セキュリティ グループを使用してフィルター処理できます。NSG は、仮想マシン (VM) の外側のホスト レベルで実装されます。ユーザー設定の観点からは、NSG は、サブネットまたは VM NIC に関連付けることができます。NSG をサブネットに関連付けることは、後で説明する境界フィルタリングの形態の 1 つです。ゼロ トラスト ネットワークのコンテキストにおける NSG のより適切な用途は、特定の VM に関連付けることです (VM NIC に NSG を割り当てる方法など)。これにより、VM 単位のフィルタリング ポリシーがサポートされ、VM をそれ自体のセキュリティに参加させることができます。この機能は、すべてのファイアウォールを一元的なファイアウォールに委ねるのではなく、すべての VM が自身のネットワーク トラフィックをフィルタリングできるようにすることを目的としています。

ホスト ファイアウォールはゲスト OS レベルで実装できますが、Azure NSG は、侵害された VM に対して防御します。攻撃者が VM へのアクセスを取得し、その特権を昇格させると、オンホスト ファイアウォールが削除される可能性があります。NSG は VM の外部に実装され、ホスト レベルのフィルタリングを分離することで、ファイアウォール システムに対する攻撃に対して強力な保証が提供されます。

受信と送信のフィルタリング

NSG は、受信フィルタリング (VM に入るトラフィックを規制) と送信フィルタリング (VM から出るトラフィックを規制) の両方を提供します。送信フィルタリング、特に vNet 内のリソース間のフィルタリングは、ゼロ トラスト ネットワークにおいて、ワークロードをより強固にするために重要な役割を担っています。たとえば、受信 NSG ルールでの設定ミスは、受信フィルタリングの防御レイヤーを失うことになりかねず、またこれは発見が非常に困難です。NSG の送信フィルタリングは、このような重要な設定ミスが発生した場合でも、サブネットを保護します。

Azure アプリケーション セキュリティ グループで NSG の設定を簡素化する

Azure アプリケーション セキュリティ グループ (ASG) は、アプリケーションの構造の延長としてネットワーク セキュリティを構成することで、NSG の構成と管理を簡素化します。ASG を使用すると、VM をグループ化し、これらのグループに基づいてネットワーク セキュリティ ポリシーを定義することができます。ASG を使用すると、明示的な IP アドレスを手動で管理することなく、ネットワーク セキュリティを大規模に再利用することができます。以下の単純化した例では、サブネット レベルで NSG1 を適用し、2 つの VM を WebASG (Web アプリケーション層 ASG) に、別の VM を LogicASG (ビジネス ロジック アプリケーション層 ASG) に関連付けています。

VM 個々にではなく、ASG にセキュリティ ルールを適用することができます。たとえば、以下のルールは、各 VM に対して個別にルールを作成する代わりに、WebASG を宛先として指定することで、インターネットからの HTTP トラフィック (TCP ポート 80) を Web アプリケーション層の VM1 および VM2 に対して許可します。

優先順位	移行元	ソース ポート	移行先	接続先ポート	プロトコル	アクセス
100	インターネット	*	WebASG	80	TCP	許可

Azure Firewall

ミクロの境界を作るには、ホストレベルのフィルタリングが理想的ですが、仮想ネットワークやサブネット レベルのファイアウォールによって、もう 1 つ重要な保護レイヤーが追加されます。これにより、インターネットからの不正なトラフィックや潜在的な攻撃から、可能な限り多くのインフラストラクチャを保護することができます。また、East-West トラフィックも保護され、攻撃が発生した場合には、その半径を最小限に抑えることもできます。

Azure Firewall は、ファイアウォールのネイティブ ネットワーク セキュリティ サービスです。NSG と一緒に実装されたこれら 2 つのサービスは、ゼロ トラスト ネットワークにおいて重要な抑制と均衡を提供します。Azure Firewall には、グローバル ルールと粗粒度のホスト ポリシーが実装され、NSG によって細粒度のポリシーが設定されます。このように境界とホスト フィルタリングを分離することで、ファイアウォール ポリシーの管理を簡素化することができます。

ゼロ トラスト モデルのベスト プラクティスは、転送中のデータを常に暗号化し、エンドツーエンドの暗号化を実現することです。しかし、運用の観点からは、データを視覚化するだけでなく、暗号化されていないデータにも追加のセキュリティ サービスを適用することが必要になる場合もあります。

Azure Firewall Premium のトランスポート層セキュリティ (TLS) 検査により、トラフィックを完全に復号化および暗号化することができます。これにより、侵入検知防御システム (IDPS) を利用できるほか、お客様がデータそのものを見ることも可能です。

DDoS Protection

ゼロ トラストは、ネットワーク上のあらゆるものを認証および認可しようとするものですが、DDoS 攻撃、特にボリューム型攻撃に対しては、十分な軽減策を提供することができません。パケットを受信できるシステムは、ゼロ トラスト アーキテクチャを採用しているものであっても、DDoS 攻撃に対して脆弱です。したがって、ゼロ トラストの実装では、DDoS 攻撃から完全に保護されることが不可欠です。

Azure DDoS Protection Standard には、DDoS 攻撃から保護するための DDoS 軽減機能が備わっています。これは、仮想ネットワーク内のインターネットに面したリソースを保護するために自動的に調整されます。保護機能は、新規または既存の仮想ネットワーク上で簡単に有効化でき、アプリケーションやリソースの変更は必要ありません。

Azure Firewall Manager での SecOps の最適化

Azure Firewall Manager は、クラウドベースのセキュリティ境界に対して集約型のセキュリティ ポリシーとルート管理を提供する、セキュリティ管理サービスです。

Azure Firewall のポリシー管理に加え、Azure Firewall Manager では、お客様の仮想ネットワークと DDoS 保護プランの関連付けができるようになりました。シングルテナントでは、複数のサブスクリプションにわたって DDoS Protection プランを仮想ネットワークに適用できます。仮想ネットワーク ダッシュボードを使用して、DDoS Protection プランを持たないすべての仮想ネットワークを一覧表示し、新しい、または利用可能な保護プランを割り当てることができます。

さらに、Azure Firewall Manager では、使い慣れた、最適なサード パーティーのサービスとしてのセキュリティ (SECaaS) オファリングを使用して、ユーザーのインターネット アクセスを保護することもできます。

Microsoft Defender for Cloud、Microsoft Sentinel、Azure Log Analytics などの Azure コア セキュリティ サービスとシームレスに統合することで、お客様は最高のネットワーク セキュリティサービス、態勢管理、ワークロード保護、さらに SIEM とデータ分析をワンストップで提供し、SecOps をさらに最適化することができます。

今後の展望

ゼロ トラストは、すべてをありのままに守ろうとする組織にとって不可欠なものです。これは、セキュリティ専門家にとって継続的な道のりですが、最初の一歩を踏み出し、継続的に反復的な改善を行うことから始まります。このブログでは、いくつかの Azure セキュリティ サービスと、それらによってどのようにすべての組織のゼロ トラストの行程が実現するかについて説明しました。

これらのサービスの詳細については、次のリソースをご覧ください。

• ゼロ トラスト フレームワーク。
• Azure ネットワーク セキュリティ グループ。
• Azure アプリケーション セキュリティ グループ。
• Azure Firewall。
• Azure Firewall Manager。
• Azure DDoS Protection Standard。