すべての Azure リージョンでアプリケーション セキュリティ グループの一般提供を開始
執筆者: Mario Lopez (Program Manager)
このポストは、2018 年 4 月 5 日に投稿された Application Security Groups now generally available in all Azure regions の翻訳です。
このたび、すべての Azure リージョンでアプリケーション セキュリティ グループ (ASG) の一般提供を開始します。これは、Azure 内の仮想ネットワーク セキュリティを限りなく小さくセグメント化できる機能です。
ネットワーク セキュリティのマイクロ セグメンテーション
ASG では、IP アドレスを明示的に指定する代わりに、アプリケーションごとのワークロードに基づくネットワーク セキュリティ ポリシーを細かく定義します。また、モニカーで VM をグループ化して、ネットワーク内の信頼できるセグメントからのトラフィックのみを許可することで、アプリケーションを保護します。
セキュリティ トラフィックを細かく制御することで、ワークロードを分離して個別に保護します。これにより、セキュリティ侵害が発生した場合でも、攻撃がネットワーク内に拡大するのを防止できます。
セキュリティ定義を簡素化
ASG では、以下のような方法で簡単にアプリケーション パターンに基づいてトラフィックをフィルタリングします。
- アーキテクチャに沿ったモニカー名を付けてアプリケーション グループを定義します。これは、アプリケーション、ワークロードの種類、システム、階層、環境、任意のロールに利用します。
- ASG とネットワーク セキュリティ グループ (NSG) を使用してルール セットを定義し、1 つの NSG をすべてのサブネット内の仮想ネットワーク全体に適用します。これにより、トラフィック ポリシー全体を一元的に管理することができます。
- 必要に応じて自由にスケーリングします。VM をデプロイする場合は、適切な ASG のメンバーに追加します。VM で複数のワークロードを実行している場合は、複数の ASG を割り当てます。アクセス許可は、ワークロードに基づいて付与され、セキュリティ定義を再度変更する必要はありません。さらに、ゼロトラスト モデルを実装し、明示的に許可したアプリケーション フローのみにアクセスを制限することもできます。
単一のネットワーク セキュリティ ポリシー
ASG を使用すると、同一サブネット内に複数のアプリケーションをデプロイし、ASG に基づいてトラフィックを分離することができます。また、サブスクリプションの NSG の数を削減することができます。場合によっては、1 つの NSG を仮想ネットワークの複数のサブネットに適用することも可能です。動的な環境で構成を一元化すると、以下のようなメリットがあります。
- NSG を一元的に表示: すべてのトラフィック ポリシーを 1 か所で確認できるため、運用や変更管理が簡単です。VM グループ間で新たに送信用または受信用のポートを開く必要がある場合、ルールを 1 つ変更するだけで対応することができます。
- ログを一元化: NSG のフローのログを組み合わせることで、ログを 1 つ構成するだけでトラフィック分析の効果が大幅に向上します。
- ポリシーを強制適用: 特定のトラフィックを拒否する必要がある場合、優先度の高いセキュリティ ルールを追加して管理ルールを強制適用することができます。
水平方向のトラフィックのフィルタリング
ASG を使用すると、複数のワークロードを分離して、仮想ネットワークの保護を強化することができます。
次の図では、複数のアプリケーションが同一の仮想ネットワーク内にデプロイされています。設定したセキュリティ ルールに基づいて、ワークロードが分離されます。1 つのアプリケーションの VM が攻撃された場合、水平方向への探索が制限されるため、影響を最小限に抑えることができます。
この例では、アプリケーション 1 の Web サーバー VM が攻撃を受けていますが、他のアプリケーションは引き続き保護され、データベース サーバーなどの重要なワークロードへアクセスすることはできません。ネットワークのセキュリティが何層も追加されるこの方法では、攻撃の被害を軽減することができ、対応も容易になります。
垂直方向のトラフィックのフィルタリング
NSG の高度な機能と組み合わせることで、さまざまなシナリオに沿って、オンプレミスのワークロードと Azure のサービスを分離することができます。
次の図は、1 つの仮想ネットワーク内に複数のワークロードが構成されている比較的複雑な環境です。セキュリティ ルールを設定することで、各 VM のアプリケーションに適切なポリシー セットが適用されます。先ほどと同様にいずれかのブランチが攻撃された場合、垂直方向の探索が制限されるため、影響を最小限に抑えることができます。
この例では、攻撃者がいずれかのブランチに VPN で接続して、ワークステーション経由でネットワークにアクセスしています。通常、このブランチはネットワーク内の一部しか使用しないため、他の部分から分離されています。このため、他のアプリケーションは引き続き保護され、アクセスすることはできません。このように、ASG を使用するとネットワーク全体のセキュリティを強化することができます。
もし Web サーバーのいずれかでセキュリティ侵害が発見された場合には、VM を分離して検査するのが効果的な対応方法です。ASG では、対象の VM に対して事前定義済みの特殊なグループのセキュリティ ポリシーを最優先で適用することができます。対象の VM へのアクセスが剥奪されるため、影響を軽減できると同時に対応が容易になります。
まとめ
アプリケーション セキュリティ グループと NSG の最新機能を組み合わせると、管理エクスペリエンスの一元化、多面的な制限強化、大幅な簡素化、お客様のアーキテクチャとのネイティブな統合など、ネットワーク セキュリティの面でさまざまなメリットが得られます。ぜひこれらの機能をお客様の仮想ネットワークでも今すぐお試しください。
詳しくは、ASG も紹介されている NSG の概要をお読みください。NSG および ASG の実装方法は、こちらのチュートリアル (英語) をご覧ください。
今後の開発の参考にさせていただくため、皆様からのフィードバックをお待ちしております。ASG に関するご意見やご感想、追加機能のご希望などがありましたら、UserVoice (英語) にお寄せください。今後も継続的にネットワーク セキュリティを強化していきますので、どうぞご期待ください。