ネットワーク通信のセキュリティ保護
医療業界のリーダーとして、Contoso は厳格な規制コンプライアンス環境で業務を行う必要があります。 このような環境でのネットワーク通信に関する重要な考慮事項をいくつか見ていきます。
デジタル資産の保護
Azure および Azure VMware Solution プライベート クラウドにデプロイされるすべての VM を保護する必要があります。 Azure VMware Solution プライベート クラウドに出入りするネットワーク トラフィックは、悪意のあるアクティビティがないかリアルタイムで検査する必要があります。 Contoso では、IT 管理者が、危険な可能性がある Web サイト (特定の種類のソーシャル メディア Web サイトなど) へのアクセスを許可または禁止できるようにしたいと考えています。
ネットワーク トラフィックのコントロール
Contoso には、複数の Azure 仮想ネットワーク (VNet) があります。 各 VNet には複数のサブネットがあります。 Contoso では、サブネット間で適切に定義されたネットワーク トラフィックを許可する、明確に定義された規則を定める必要があります。 このような規則により、Contoso は各サブネットがネットワーク トラフィックを開始する方法を制御できるようになります。 また、サブネット間のネットワーク フローを許可する Azure の既定のネットワーク ポリシーをオーバーライドすることもできるようになります。
ファイアウォールのインターネット ルート
ネットワーク トラフィックの保護と制御に関する要件を考慮して、Contoso では Azure Firewall を使うことにしました。 これは、サービスとしてのステートフルなマネージド ファイアウォールです。 Azure Firewall では、ExpressRoute と VPN ゲートウェイを使ったハイブリッド ネットワーク接続を介したトラフィックのフィルター処理が提供されます。これは、Azure VMware Solution プライベート クラウドにとって非常に重要です。 Azure Firewall はトラフィックのフィルター処理に使用できますが、インターネット自体に直接アクセスする必要があります。 これは、Azure Firewall がデプロイされるサブネットに対して適切な規則を構成することで簡単に実現できます。
Azure Firewall とネットワーク トラフィック制御の技術的な実装については、次のユニットの手順を使用します。 この実装は、このユニットで説明した主要なネットワーク セキュリティ要件を満たすのに役立ちます。