Azure Dedicated HSM ネットワーク

Azure Dedicated HSM では、すべてのデプロイ シナリオで堅牢でセキュリティで保護されたネットワーク インフラストラクチャが必要です。 Azure クラウドからオンプレミス環境への接続、分散アプリケーションの実装、高可用性構成の確立のいずれであっても、包括的なセキュリティが不可欠です。 Azure Networking は、慎重な計画と実装を必要とする 4 つの重要なネットワーク領域を通じてセキュリティを提供します。

• Azure での仮想ネットワーク (VNet) 内での HSM デバイスの作成
• HSM デバイスの構成と管理のためにオンプレミスからクラウドベースのリソースに接続する
• アプリケーション リソースと HSM デバイスを相互に接続するための仮想ネットワークの作成と接続
• リージョン間で仮想ネットワークを接続して通信を行い、高可用性シナリオを実現する

専用 HSM 用の仮想ネットワーク

専用 HSM は仮想ネットワークに統合され、Azure の顧客独自のプライベート ネットワークに配置されます。 これにより、仮想ネットワーク内の仮想マシンまたはコンピューティング リソースからデバイスにアクセスできます。
仮想ネットワークへの Azure サービスの統合とその機能の詳細については、 Azure サービスの仮想ネットワークに関するドキュメントを 参照してください。

仮想ネットワーク

お客様は、プロビジョニングする前に Azure に仮想ネットワークを作成するか、顧客のサブスクリプションに既に存在する仮想ネットワークを使用する必要があります。 仮想ネットワークは、専用 HSM デバイスのセキュリティ境界を定義します。 仮想ネットワークの作成の詳細については、 仮想ネットワークのドキュメントを参照してください。

サブネット

サブネットは、仮想ネットワークを、配置する Azure リソースが使用できる個別のアドレス空間に分割します。 専用 HSM は、仮想ネットワーク内のサブネットにデプロイされます。 顧客のサブネットにデプロイされている各専用 HSM デバイスは、このサブネットからプライベート IP アドレスを受け取ります。

HSM デバイスがデプロイされるサブネットは、Microsoft.HardwareSecurityModules/dedicatedHSM というサービスに明示的に委任する必要があります。 これにより、サブネットへのデプロイのために HSM サービスに特定のアクセス許可が付与されます。 専用 HSM への委任では、サブネットに特定のポリシー制限が適用されます。 現在、委任されたサブネットでは、ネットワーク セキュリティ グループ (NSG) と User-Defined ルート (UDR) はサポートされていません。 その結果、サブネットが専用 HSM に委任されると、HSM リソースのデプロイにのみ使用できます。 サブネットへの他の顧客リソースのデプロイは失敗します。 専用 HSM のサブネットのサイズやサイズに関する要件はありませんが、各 HSM デバイスは 1 つのプライベート IP を消費するため、デプロイに必要な数の HSM デバイスに対応できる十分な大きさのサブネットを確保する必要があります。

ExpressRoute ゲートウェイ

現在のアーキテクチャの要件は、HSM デバイスを Azure に統合できるようにするために HSM デバイスを配置する必要がある顧客サブネット内の ExpressRoute ゲートウェイ の構成です。 ExpressRoute ゲートウェイを使用して、オンプレミスの場所を Azure の顧客 HSM デバイスに接続することはできません。

オンプレミスの IT を Azure に接続する

クラウドベースのリソースを作成する場合、オンプレミスの IT リソースへのプライベート接続を確立することが一般的な要件です。 Azure Dedicated HSM デプロイの場合、このような接続は主に、デバイスの構成、バックアップ操作、および分析のために HSM からログを取得するための HSM クライアント ソフトウェアのニーズに対応します。

接続オプションを選択する場合、接続の性質は重要な決定ポイントを表します。 サイト間 VPN は、特に、複数のオンプレミス リソースが HSM を含む Azure クラウド リソースとの安全な通信を必要とする場合に、最も柔軟性を提供します。 サイト間 VPN を実装するには、組織が VPN デバイスを展開して接続を容易にする必要があります。 または、管理ワークステーションなど、オンプレミスのエンドポイントが 1 つだけ存在する場合は、ポイント対サイト VPN 接続が適切に機能します。

接続オプションの詳細については、「 VPN Gateway の計画オプション」を参照してください。

ポイント対サイト VPN

ポイント対サイト仮想プライベート ネットワークは、オンプレミスの 1 つのエンドポイントへの最も簡単な形式のセキュリティで保護された接続です。 これは、Azure ベースの専用 HSM 用の管理ワークステーションが 1 つだけの場合に関連する場合があります。

サイト間 VPN

サイト間仮想プライベート ネットワークを使用すると、Azure ベースの専用 HSM とオンプレミスの IT インフラストラクチャ間のセキュリティで保護された通信が可能になります。 セキュリティで保護されたトンネルは両方の環境間のバックアップ操作に必要なデータ転送をサポートするため、HSM のオンプレミスバックアップ機能を維持する場合、組織は多くの場合、このような接続を実装します。

仮想ネットワークの接続

専用 HSM の一般的なデプロイ アーキテクチャは、1 つの仮想ネットワークと、HSM デバイスが作成およびプロビジョニングされる対応するサブネットから始まります。 同じリージョン内には、専用 HSM を使用するアプリケーション コンポーネント用の仮想ネットワークとサブネットが増える可能性があります。 これらのネットワーク間の通信を有効にするには、仮想ネットワーク ピアリングを使用します。

仮想ネットワーク ピアリング

お互いのリソースにアクセスする必要があるリージョン内に複数の仮想ネットワークがある場合、仮想ネットワーク ピアリングはそれらの間にセキュリティで保護された通信チャネルを作成します。 仮想ネットワーク ピアリングは、セキュリティで保護された通信を提供するだけでなく、Azure 内のリソース間の低待機時間および高帯域幅の接続も保証します。

Azure リージョン間の接続

HSM デバイスには、ソフトウェア ライブラリを介してトラフィックを代替 HSM にリダイレクトする機能があります。 トラフィック リダイレクトは、デバイスが失敗した場合や、デバイスへのアクセスが失われた場合に役立ちます。 リージョン レベルの障害シナリオは、他のリージョンに HSM をデプロイし、リージョン間の仮想ネットワーク間の通信を有効にすることで軽減できます。

VPN ゲートウェイを使用したリージョン間 HA

グローバル分散アプリケーションまたは高可用性リージョン フェールオーバー シナリオの場合は、リージョン間で仮想ネットワークを接続する必要があります。 Azure Dedicated HSM を使用すると、2 つの仮想ネットワーク間のセキュリティで保護されたトンネルを提供する VPN ゲートウェイを使用して高可用性を実現できます。 VPN Gateway を使用した Vnet 間接続の詳細については、「VPN Gateway とは」というタイトルの記事を参照してください 。

ネットワークの制限

ネットワーク セキュリティの制限事項

専用 HSM VNet 内にある HSM ネットワーク インターフェイス カード (NIC) は、サブネットの委任要件により、ネットワーク セキュリティ グループ (NSG) またはユーザー定義ルート (UDR) を利用できません。 これにより、セキュリティに関する重要な考慮事項が生じます。Dedicated HSM VNet の観点からは、既定の拒否ポリシーを直接実装することはできません。 代わりに、別の方法を使用して、特定のネットワーク セグメントから Dedicated HSM サービスへのアクセスを明示的に許可することで、セキュリティを実装する必要があります。

ネットワーク仮想アプライアンス (NVA) プロキシ ソリューションを追加すると、転送/DMZ ハブ内の NVA ファイアウォールを論理的に HSM NIC の前に配置できるため、NSG と UDR に代わる必要な代替手段が提供されます。

ソリューション アーキテクチャ

このネットワーク設計には、次の要素が必要です。

1. トランジットまたは DMZ ハブ VNet における NVA プロキシ層。 理想的には、2 つ以上の NVA が存在します。
2. プライベート ピアリングが有効になっている ExpressRoute 回線と、トランジット ハブ VNet への接続。
3. トランジット ハブ VNet と Dedicated HSM VNet 間の VNet ピアリング。
4. NVA ファイアウォールまたは Azure Firewall をデプロイすると、オプションとしてハブに DMZ サービスを提供できます。
5. 追加のワークロード スポーク VNet をハブ VNet にピアリングできます。 Gemalto クライアントは、ハブ VNet を介して専用 HSM サービスにアクセスできます。

NVA プロキシ ソリューションを追加すると、転送/DMZ ハブ内の NVA ファイアウォールを HSM NIC の前に論理的に配置できるため、必要な既定の拒否ポリシーが提供されます。 この例では、この目的のために Azure Firewall を使用し、次の要素を配置する必要があります。

1. DMZ ハブ VNet 内のサブネット "AzureFirewallSubnet" にデプロイされた Azure Firewall
2. Azure ILB プライベート エンドポイントに向かうトラフィックを Azure Firewall に転送する UDR を含むルーティング テーブル。 このルーティング テーブルは、顧客の ExpressRoute 仮想ゲートウェイ が存在する GatewaySubnet に適用されます。
3. 信頼できるソース範囲と、TCP ポート 1792 でリッスンする Azure IBL プライベート エンドポイント間の転送を許可する Azure ファイアウォール内のネットワーク セキュリティ規則。 このセキュリティ ロジックにより、Dedicated HSM サービスに対して必要な "既定の拒否" ポリシーが追加されます。 つまり、Dedicated HSM サービスには信頼できるソース IP 範囲のみが許可されます。 その他の範囲はすべて削除されます。
4. オンプレミスに向かうトラフィックを Azure Firewall に転送する UDR を持つルーティング テーブル。 このルーティング テーブルは、NVA プロキシ サブネットに適用されます。
5. ソースとして Azure Firewall のサブネット範囲のみを信頼し、TCP ポート 1792 経由で HSM NIC IP アドレスへの転送のみを許可するために、プロキシ NVA サブネットに適用された NSG。

UDR に代わる方法

前述の NVA 層ソリューションは、UDR の代替として機能します。 注意すべき重要な点がいくつかあります。

1. リターン トラフィックを正しくルーティングできるように、NVA でネットワーク アドレス変換を構成する必要があります。
2. NAT に VNA を使用するには、Luna HSM 構成でクライアント IP チェックインを無効にする必要があります。 次のコマンドは例として機能します。

Disable:
[hsm01] lunash:>ntls ipcheck disable
NTLS client source IP validation disabled
Command Result : 0 (Success)

Show:
[hsm01] lunash:>ntls ipcheck show
NTLS client source IP validation : Disable
Command Result : 0 (Success)

1. イングレス トラフィック用の UDR を NVA 層にデプロイします。
2. 設計上、HSM サブネットはプラットフォーム層への送信接続要求を開始しません。

グローバル VNET ピアリングを使用する代わりに

グローバル VNet ピアリングの代わりに使用できるアーキテクチャがいくつかあります。

1. Vnet 間 VPN Gateway 接続を使用する
2. HSM VNET を ER 回線を使用して別の VNET に接続します。 これは、オンプレミスの直接パスまたは VPN VNET が必要な場合に最適です。

直接 ExpressRoute 接続を使用する HSM

次のステップ

• よく寄せられる質問
• サポート可能性
• 高可用性
• 物理的なセキュリティ
• 監視
• デプロイ アーキテクチャ