連載
» 2018年04月26日 05時00分 公開

Microsoft Azure最新機能フォローアップ(49):Azure上のリソースを外部からの攻撃から保護する2つの新機能が正式版に

2018年4月、Microsoft Azureに展開したアプリケーションや仮想マシン、仮想ネットワークをサイバー攻撃から保護する2つのセキュリティ機能が全リージョンで正式に利用可能になりました。「アプリケーションセキュリティグループ(ASG)」と「DDoS Protection」です。

[山市良,テクニカルライター]
「Microsoft Azure最新機能フォローアップ」のインデックス

連載目次

ネットワークセキュリティの定義を簡素化できるASG

 2018年4月5日にMicrosoft Azureの全てのリージョンで一般提供が開始された「アプリケーションセキュリティグループ(Application Security Group:ASG)」は、従来の「ネットワークセキュリティグループ(Network Security Group:NSG)」とは別の方法で仮想ネットワークのセキュリティを分割することを可能にします。

 NSGは、仮想マシンやゲートウェイのネットワークインタフェース、あるいは仮想ネットワークのセグメントに割り当てることができる、ファイアウォールポリシー(プロトコル、ポート、IPアドレス、方向による許可/禁止のトラフィックフィルター)です。

 一方、ASGは、同じ仮想ネットワーク(サブネットは問わない)に接続される複数(0以上)のネットワークインタフェースを追加できるファイアウォールポリシーであり、アプリケーションやワークロードの種類、システムの階層などに応じたグループ化が可能です。例えば、1つのNSGでサブネット全体を保護し、複数のASGでさらに細かい保護設定を適用できます。

 なお、現状、ASGは「Azureポータル」で作成、管理することができません。ASGを作成、管理するには、Azureコマンドラインインタフェース(CLI)またはAzure PowerShellを使用する必要があります。いずれも、Azureポータルから開始できる「Azure Cloud Shell」から利用できます(画面1)。

画面1 画面1 ASGの作成と管理にはAzure CLIまたはAzure PowerShellを使用。Azure Cloud Shellから操作するのが便利

AzureのリソースはDDoS攻撃からは標準で保護、Standardプランでさらに強化

 もう1つの新機能「DDoS Protection」は、2018年4月18日からMicrosoft Azureの全てのリージョンで一般提供が開始された、分散型サービス拒否(Distributed Denial of Service:DDoS)攻撃に対する新しいセキュリティ機能です。

 DDoS Protectionには「Basic」と「Standard」の2つのサービスがあり、Basicサービスの方はAzureプラットフォームに既定で組み込まれ、追加コストなしで利用可能になります。つまり、利用者による有効化やアプリケーションを変更することなく、Azure上に展開されたアプリケーション、ストレージ、仮想ネットワーク、仮想マシン、Azure DNSなどのリソースやサービスが既知のDDoS攻撃から標準で保護されるようになります。

 具体的には、IPv4およびIPv6のパブリックIPアドレスに対して、Microsoftのオンラインサービスに用いられているのと同じ防御策による攻撃トラフィックの監視と破棄(ドロップ)が行われます。ただし、利用者が自身のリソースに対する攻撃トラフィックの情報や攻撃の軽減効果を取得することはできません。

 対して、Standardサービス(有料)では、「DDoS Protection Plan」という保護ポリシー(Azureポータルの「DDoS保護計画」ブレードを使用)を作成して、IPv4またはIPv6パブリックIPアドレス(仮想マシンの外部ネットワーク接続やロードバランサー、アプリケーションゲートウェイなどのパブリックIPアドレス)に適用することで、その状況を「Azure Monitor」(Azureポータルの「モニター」ブレードを使用)からリアルタイムに参照したり、アラートで監視したりすることができます(画面2画面3)。

画面2 画面2 DDoS Protection Standard(有料)を利用するには、Azureポータルで「DDoS保護計画」を作成し、パブリックIPアドレスを追加する
画面3 画面3 DDoS Protection Standardによる攻撃中のトラフィックの状態は、「モニター」ブレードを使用して参照、およびアラート監視可能

 保護ポリシーは、ポリシー対象に対するトラフィックの監視と機械学習アルゴリズムによって最適化されます。また、Azure Application Gatewayの「Webアプリケーションファイアウォール(Web Application Firewall:WAF)」(2017年3月から一般提供)を併用することで、Webアプリケーション/サービスにアプリケーションレベル(L7)の保護を実装できます。

 DDoS ProtectionのBasicおよびStandardサービスで対策可能なDDoS攻撃の種類については、以下のドキュメントで確認してください。なお、日本語ドキュメント(最終更新日:2017年11月13日)は少し古く、プレビュー機能であると説明されていますが、一般提供は既に始まっています。最新情報はオリジナルの英語のドキュメントで確認してください(以下のURLの「ja-jp」を「en-us」に変更)。

筆者紹介

山市 良(やまいち りょう)

岩手県花巻市在住。Microsoft MVP:Cloud and Datacenter Management(Oct 2008 - Sep 2016)。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。Microsoft製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。


Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。