Azure ネットワークセキュリティ

📘ネットワークセキュリティグループ（NSG）

• Azure ネットワーク セキュリティ グループの概要 | Microsoft Docs
• Azure ネットワーク - ITとかCockatielとか
• Azure仮想ネットワーク内における仮想マシン間の通信をフィルタリング制御する。
• Azureリソースへの送信トラフィックを制御（許可/拒否）する。
• 受信セキュリティ規則と送信セキュリティ規則でポート、プロトコル、ソース（IPアドレス）、宛先（接続許可をするリソース）を設定し制御する。
• NIC（ネットワークインターフェイス）やサブネットに対して関連付けることで有効になる。

📘アプリケーションセキュリティグループ（ASG）

• Azure アプリケーション セキュリティ グループの概要 | Microsoft Docs
• Azure NSG 機能拡張！ Application Security Group とは？
• 仮想マシンをグループ化して、NSGのセキュリティポリシーを設定（関連付け）できる。
• NSGの拡張機能という位置づけである。

📘User Defined Route (UDR)

• Azure 仮想ネットワーク トラフィックのルーティング | Microsoft Docs
• ルートテーブルは仮想ネットワークのサブネットに対して0個以上関連付けることができる。
• これに対しユーザー定義ルートテーブルを追加すると、既定のルートに対するオーバーライドやルートの追加ができる。
• ユースケース
  • 仮想アプライアンスを導入した場合
  • インターネット通信をオンプレ経由で通信させたい場合
  • サブネット間の通信を止めたい場合(NSGでも可)
  • 別の仮想ネットワークを経由して通信させたい場合

ファイアウォール

📘Azure Firewall

• Azure Firewall とは | Microsoft Docs
• 送信元のIPアドレスに基づいてサーバーアクセスを制御するFaaS。
• Azure Virtual Network リソースを保護するマネージドなファイアウォール。
• スケーラビリティを備えたステートフルなサービス。

📘Azure Application Gateway

• Azure Application Gateway とは | Microsoft Docs
• ロードバランサー（OSI レイヤー７）にWAFが含まれるもの。
• HTTPを対象として設計されている。

ネットワーク仮想アプライアンス（NVA）

• ネットワーク仮想アプライアンス | Microsoft Azure
• 他社ブランドが提供する仮想アプライアンス（あらかじめ構成されているアプリケーション）が利用できる。
• HTTP以外のプロトコルではこちらから適用する。

📘Azure DDoS Protection

• Azure DDoS Protection Standard の概要 | Microsoft Docs
• DDoS攻撃を軽減する。
• サービスレベル
  • Basicサービスレベル：
    自動的に有効になる（OFFにできない）。無償。
  • Standardサービスレベル：
    Azure Virtual Network に特化して設計されている。レポートサービスが利用できる。

📘セキュリティソリューションの選択

• 境界層：
  Azure DDoS保護、Azure Firewallが適している
• ネットワーク層：
  NSGを設定する。