NVA とは

完了

ネットワーク仮想アプライアンス (NVA) は、次のようなさまざまなレイヤーで構成される仮想アプライアンスです。

• ファイアウォール
• WAN オプティマイザー
• アプリケーション配信コントローラー
• ルーター
• ロード バランサー
• IDS/IPS
• プロキシ

Azure Marketplace 内のプロバイダーから選択した NVA をデプロイすることができます。 このようなプロバイダーには、Cisco、Check Point、Barracuda、Sophos、WatchGuard、SonicWall などがあります。 NVA を使用して、仮想ネットワークへの着信トラフィックをフィルター処理したり、悪意のある要求をブロックしたり、予期しないリソースからの要求をブロックしたりすることができます。

小売組織のシナリオ例では、セキュリティ チームおよびネットワーク チームと協力する必要があります。 すべての受信トラフィックを綿密に調べ、承認されていないトラフィックが内部ネットワークに渡されないようにする安全な環境を実装する必要があります。 また、仮想マシン ネットワークと Azure サービス ネットワークの両方を、会社のネットワーク セキュリティ戦略の一環としてセキュリティで保護する必要があります。

目標は、望ましくないまたはセキュリティで保護されていないネットワーク トラフィックが、主要なシステムに到達しないようにすることです。

ネットワーク セキュリティ戦略の一環として、仮想ネットワーク内のトラフィックのフローを制御する必要があります。 また、NVA のロールと、NVA を使用して Azure ネットワーク経由のトラフィック フローを制御する利点について学習する必要があります。

ネットワーク仮想アプライアンス

ネットワーク仮想アプライアンス (NVA) は、ルーティングを制御することによってネットワーク トラフィックのフローを制御する仮想マシンです。 通常はそれらを使用して、境界ネットワーク環境から他のネットワークまたはサブネットへのトラフィック フローを管理します。

ファイアウォール アプライアンスは、さまざまな構成の仮想ネットワークにデプロイできます。 ファイアウォール アプライアンスは、仮想ネットワーク内の境界ネットワーク サブネット内に配置できます。セキュリティをさらに制御する必要がある場合は、マイクロセグメンテーションのアプローチを実装することもできます。

マイクロセグメンテーション アプローチを使用すると、ファイアウォール専用のサブネットを作成してから、Web アプリケーションやその他のサービスを他のサブネットにデプロイできます。 すべてのトラフィックは、ファイアウォール経由でルーティングされ、NVA によって検査されます。 仮想アプライアンス ネットワーク インターフェイスでの転送を有効にし、適切なサブネットによって受け入れられたトラフィックを渡します。

マイクロセグメンテーションを使用すると、ファイアウォールでは、OSI レイヤー 4 の、また、アプリケーション対応アプライアンスの場合はレイヤー 7 のすべてのパケットを検査できます。 Azure にデプロイされた NVA は、ルーターとして機能し、仮想ネットワーク上のサブネット間で要求が転送されます。

一部の NVA では、複数のネットワーク インターフェイスが必要です。 1 つのネットワーク インターフェイスがアプライアンスの管理ネットワーク専用となります。 追加のネットワーク インターフェイスでは、トラフィック処理が管理および制御されます。 NVA をデプロイした後、適切なインターフェイス経由でトラフィックをルーティングするように、アプライアンスを構成することができます。

ユーザー定義ルート

ほとんどの環境では、Azure によって既に定義されている既定のシステム ルートだけで、環境を稼働させるのに十分です。 特定のケースでは、ルーティング テーブルを作成し、カスタム ルートを追加する必要があります。 たとえば、次のようになります。

• 強制トンネリングを使用して、オンプレミス ネットワーク経由でインターネットにアクセスする
• 仮想アプライアンスを使ってトラフィック フローを制御する

Azure では、複数のルート テーブルを作成できます。 各ルート テーブルは、1 つまたは複数のサブネットに関連付けることができます。 1 つのサブネットは、1 つのルート テーブルにのみ関連付けることができます。

高可用性アーキテクチャのネットワーク仮想アプライアンス

NVA 経由でトラフィックがルーティングされる場合、NVA はインフラストラクチャの重要な部分になります。 NVA の障害はすべて、サービスの通信機能に直接影響を与えます。 NVA デプロイに高可用性アーキテクチャを含めることが重要です。

NVA を使用しているときに高可用性を実現するには、いくつかの方法があります。 このモジュールの最後に、高可用性シナリオでの NVA の使用に関する詳細を確認できます。

自分の知識をチェックする

1.

ネットワーク仮想アプライアンスを使用する主な利点は何ですか?

インターネットへの発信アクセスを制御する。

DR のために複数の Azure 仮想マシン間および 2 つのリージョン間で、インターネットからの受信トラフィックを負荷分散する。

境界ネットワークからの受信トラフィックを制御し、セキュリティ要件を満たすトラフィックのみに通過を許可する。

境界ネットワークから Azure リソースにアクセスできるユーザーを制御する。

2.

ネットワーク仮想アプライアンスはどのようにデプロイできますか?

Windows 仮想マシンを構成し、ルーティング テーブル、ユーザー定義ルート、およびサブネットが更新された後に IP 転送を有効にすることができます。 または、Azure Marketplace のパートナー イメージを使用できます。

Azure CLI を使用して、Azure に Linux 仮想マシンをデプロイし、この仮想マシンを運用仮想ネットワークに接続して、パブリック IP アドレスを割り当てます。

Azure portal を使用して、Windows 2016 Server インスタンスをデプロイします。 次に、Azure Application Gateway を使用して、Windows 2016 Server インスタンスをターゲット エンドポイントとして追加します。

Azure Marketplace から仮想アプライアンスをダウンロードし、運用ネットワークと境界ネットワークに接続するようにアプライアンスを構成します。

作業を確認する前にすべての問題に回答する必要があります。