Azure ExpressRoute を使用すると、オンプレミスインフラストラクチャと Microsoft クラウド サービス間のプライベートで高パフォーマンスの接続が可能になり、パブリック インターネットがバイパスされます。 この専用接続によってセキュリティと信頼性が向上しますが、潜在的な脅威からデプロイを保護するためのベスト プラクティスを実装することが不可欠です。
このガイドでは、ネットワーク セキュリティ、ID 管理、データ保護、ログと脅威の検出、資産管理、バックアップと回復などの主要な領域を対象に、Azure ExpressRoute デプロイをセキュリティで保護するための実用的な推奨事項を示します。 これらのガイドラインに従うことで、セキュリティ体制を強化し、コンプライアンスを確保し、運用継続性を維持することができます。
ネットワークのセキュリティ
ExpressRoute のネットワーク セキュリティには、ハイブリッド接続を保護するための適切なセグメント化、トラフィック フロー制御、監視が含まれます。 ExpressRoute は仮想ネットワークと統合されるため、分離を維持し、クラウド リソースへの未承認のアクセスを防ぐために、ネットワーク層をセキュリティで保護することが重要です。
ExpressRoute Direct の MACsec 暗号化を構成する: ExpressRoute Direct 接続で MACsec (メディア アクセス制御セキュリティ) 暗号化を有効にして、ネットワーク機器と Microsoft のエッジ ルーターの間にレイヤー 2 暗号化を追加します。 MACsec キーを Azure Key Vault に安全に格納します。 詳細については、 ExpressRoute Direct の MACsec 暗号化の構成に関するページを参照してください。
ExpressRoute ゲートウェイを専用サブネットにデプロイする: ExpressRoute ゲートウェイは仮想ネットワークにデプロイされ、既定でセキュリティで保護された接続が提供されます。 ゲートウェイ サブネット (GatewaySubnet) は、適切なセキュリティ制御で構成されます。 詳細については、「 ExpressRoute ゲートウェイ」を参照してください。
ネットワーク セキュリティ グループを使用してトラフィックを制御する: ExpressRoute 経由で接続されたリソースを含むサブネットにネットワーク セキュリティ グループ (NSG) を適用し、ポート、プロトコル、およびソース IP アドレスによってトラフィックを制限します。 既定ですべての受信トラフィックを拒否し、必要な通信のみを許可する NSG ルールを作成します。 詳細については、「 ネットワーク セキュリティ グループの概要」を参照してください。
Azure Firewall またはネットワーク仮想アプライアンス (NVA) を使用する: Azure Firewall またはサードパーティのネットワーク仮想アプライアンス (NVA) をデプロイして、アプリケーション レベルのフィルター処理、脅威インテリジェンス、ログ記録などのセキュリティ制御を追加します。 これらのアプライアンスは、ExpressRoute 経由でトラフィックを検査し、高度なセキュリティ ポリシーを適用します。 詳細については、「 Azure Firewall の概要」を参照してください。
注
GatewaySubnet で NSG を直接構成することはできません。
ネットワーク セグメント化の実装: 仮想ネットワーク ピアリングとルート テーブルを使用して、ExpressRoute 経由で接続されているネットワーク セグメント間のトラフィック フローを制御します。 これにより、機密性の高いワークロードが分離され、セキュリティ インシデントの影響が制限されます。 詳細については、「 仮想ネットワーク ピアリング と ルート テーブル」を参照してください。
ゾーン冗長仮想ネットワーク ゲートウェイの構成: フォールト トレランスと高可用性を確保するために、可用性ゾーン間で ExpressRoute 仮想ネットワーク ゲートウェイをデプロイします。 ゾーン冗長ゲートウェイは、1 つの可用性ゾーンで障害が発生した場合でも、接続を維持します。 詳細については、「 ゾーン冗長仮想ネットワーク ゲートウェイ」を参照してください。
異なる ExpressRoute サービス プロバイダーを使用する: 回線ごとに異なるサービス プロバイダーを選択して、さまざまなパスを確保し、1 つのプロバイダーの停止によるネットワーク ダウンタイムのリスクを軽減します。 詳細については、「 ExpressRoute の場所とサービス プロバイダー」を参照してください。
ExpressRoute 接続の監視: 診断ログと監視を有効にして、接続の正常性、パフォーマンス、およびセキュリティ イベントを追跡します。 詳細については、「 Azure ExpressRoute の監視」を参照してください。
ID 管理
ExpressRoute は、ネットワーク 層で動作するため、データ プレーン アクセスに対する従来の ID ベースの認証をサポートしていません。 ただし、MACsec 構成用の Azure Key Vault などの ExpressRoute リソースおよび関連サービスへのアクセスを制御するには、適切な ID 管理が不可欠です。
管理操作に Azure RBAC を使用する: ロールベースのアクセス制御を適用して、ExpressRoute 回線とゲートウェイを作成、変更、または削除できるユーザーを制限します。 ユーザーとサービス アカウントに最低限必要なアクセス許可を割り当てます。 詳細については、 Azure ロールベースのアクセス制御 (RBAC) に関するページを参照してください。
Azure Key Vault を使用して MACsec シークレットをセキュリティで保護する: 構成ファイルに埋め込む代わりに、MACsec 暗号化キーを Azure Key Vault に安全に格納します。 ExpressRoute では、これらのシークレットを取得するために、マネージド ID を使用して Key Vault で認証します。 詳細については、「 ExpressRoute Direct の MACsec 暗号化を構成する」を参照してください。
管理に条件付きアクセスを実装する: Microsoft Entra 条件付きアクセス ポリシーを使用して、ユーザーの場所、デバイスのコンプライアンス、リスク レベルに基づいて ExpressRoute リソースへの管理アクセスを制御します。 これにより、承認されたユーザーのみが ExpressRoute 回線とゲートウェイを管理できるようになります。 詳細については、「 条件付きアクセス」を参照してください。
データ保護
ExpressRoute ではプライベート接続が提供されますが、転送中のデータは既定では暗号化されません。 オンプレミス環境と Azure サービスの間を流れる機密データを保護するための暗号化とセキュリティ対策を追加します。
MD5 ハッシュ認証の構成: プライベート ピアリングまたは Microsoft ピアリングを設定するときに MD5 ハッシュ認証を使用して、オンプレミス ルーターと Microsoft Enterprise Edge (MSEE) ルーターの間のメッセージをセキュリティで保護します。 これにより、データの整合性が確保され、転送中の改ざんが防止されます。 詳細については、 ExpressRoute ルーティングの要件に関するページを参照してください。
ExpressRoute 経由で IPsec VPN を実装する: ExpressRoute プライベート ピアリング経由で暗号化を追加するには、ExpressRoute 回線をトランスポートとして使用する VPN 接続を設定します。 これにより、トラフィックのエンドツーエンドの暗号化が追加されます。 詳細については、「 ExpressRoute プライベート ピアリングのバックアップとして S2S VPN を使用する」を参照してください。
アプリケーション層で機密データを暗号化する: ExpressRoute ではアプリケーション層の暗号化が提供されないため、TLS/SSL またはアプリケーション固有の暗号化方法を使用して送信する前に、アプリケーションで機密データを暗号化してください。
ログ記録と脅威の検出
ExpressRoute 接続と関連するネットワーク アクティビティの監視は、潜在的なセキュリティの脅威を検出し、コンプライアンスを維持するために不可欠です。 適切なログ記録は、セキュリティ インシデントを示す可能性のある異常なトラフィック パターンと接続の問題を特定するのに役立ちます。
ExpressRoute リソース ログを有効にする: 分析と保持のために、Azure Monitor、Log Analytics、または Azure Storage に ExpressRoute リソース ログを送信するように診断設定を設定します。 これらのログには、接続イベントとパフォーマンス メトリックが表示されます。 詳細については、「 Azure ExpressRoute の監視」を参照してください。
サービスの正常性と接続の問題に関するアラートを設定する: Azure Monitor を使用して、ExpressRoute 回線の停止、パフォーマンスの低下、構成の変更、および計画メンテナンス イベントと計画外メンテナンス イベントの両方に対するアラートを構成します。 これらのアラートは、接続とセキュリティ体制を事前に管理するのに役立ちます。 詳細については、「 ExpressRoute 回線の監視」を参照してください。
ネットワーク トラフィック パターンの監視: Azure Network Watcher と Traffic Analytics を使用して、ExpressRoute 接続経由のトラフィックを分析します。 これは、セキュリティ上の脅威や構成の誤りを示す可能性のある異常なパターンを見つけるのに役立ちます。 詳細については、「 Azure Network Watcher 」と「 Traffic Analytics を使用したネットワーク トラフィックの監視」を参照してください。
Microsoft Sentinel との統合: 高度な脅威を検出し、ハイブリッド環境全体の他のセキュリティ イベントと関連付けるために、ExpressRoute ログを Microsoft Sentinel に送信します。
資産管理
ExpressRoute リソースを効果的に管理するには、適切なガバナンスの実装、構成の監視、組織のポリシーへの準拠の確保が含まれます。 適切な資産管理は、セキュリティ体制と運用の可視性を維持するのに役立ちます。
リソース タグの実装: Azure リソース タグを使用して、ExpressRoute 回線、ゲートウェイ、および関連リソースを整理して追跡します。 タグは、コスト管理、セキュリティ分類、運用アカウンタビリティに役立ちます。 詳細については、 Azure リソース タグに関するページを参照してください。
回線使用率の追跡: 帯域幅の使用状況と接続パターンを監視して、セキュリティ上の脅威や運用上の問題を示す可能性のある異常なアクティビティを特定します。
ドキュメントの管理: インシデント対応とコンプライアンス監査をサポートするために、回線設定、ルーティング ポリシー、セキュリティ構成など、ExpressRoute 構成の詳細な記録を保持します。
バックアップと回復
バックアップ ソリューションと復旧手順を実装して、ExpressRoute 接続のビジネス継続性を確保します。 ExpressRoute 回線をバックアップすることはできませんが、冗長な接続オプションを作成し、構成設定を文書化します。
冗長な ExpressRoute 回線をデプロイする: 高可用性と自動フェールオーバーを実現するために、個別のピアリングの場所に複数の ExpressRoute 回線を設定します。 この方法により、1 つの回線で問題が発生した場合でも、接続が動作し続けます。 詳細については、「 回復性のある ExpressRoute 接続を設計する」を参照してください。
VPN バックアップ接続を実装する: ExpressRoute プライベート ピアリングのバックアップとしてサイト間 VPN 接続を設定します。 このセットアップでは、プライマリ ExpressRoute 回線が失敗した場合に代替接続が提供されます。 詳細については、「 ExpressRoute プライベート ピアリングのバックアップとして S2S VPN を使用する」を参照してください。
テスト フェールオーバー手順: バックアップ接続オプションとフェールオーバー手順を定期的にテストして、必要に応じて正常に動作することを確認します。 Azure Connectivity Toolkit などのツールを使用して、パフォーマンスと接続性を検証します。 詳細については、「 Azure Connectivity Toolkit」を参照してください。
ドキュメント構成設定: 回線設定、ルーティング構成、セキュリティ ポリシーなど、ExpressRoute 構成の詳細なドキュメントを保持します。 このドキュメントでは、構成の問題や回線の交換が発生した場合の復旧を高速化します。 詳細については、「 ExpressRoute 回線の構成」を参照してください。
回復のための回復性の分析情報と検証を活用する: ExpressRoute の回復性分析情報を使用して、接続の回復性を評価し、復旧時間の目標を検証します。 Resiliency Insights を使用すると、構成のギャップを特定し、障害シナリオをテストし、バックアップとフェールオーバー のソリューションがビジネス回復要件を満たしていることを検証できます。 回復性の検証を定期的に実行して、環境が停止に備え、復旧手順が有効であることを確認します。 詳細については、「 ExpressRoute の回復性の分析情報 」と 「ExpressRoute の回復性の検証」を参照してください。