ExpressRouteに暗号化は必要か

はじめに

こんにちは。株式会社プログライブ コンサルティングの酒見（さけみ）です。

前回の記事、ExpressRouteの監視と運用のポイントはいかがでしたでしょうか。

今回は、ExpressRouteの暗号化についてお話しします。

暗号化がなぜ求められるか

まず、様々なシステムにおいて暗号化が求められる理由について考えてみます。

• 盗聴、改ざんなどネットワーク上におけるセキュリティリスクの軽減
  
  
• 機密情報の漏洩防止
  
  
• 法規制や業界標準への準拠

特にインターネットを経由する通信では、パケットが通る機器やネットワークが多く、それに応じてセキュリティリスクも高まります。

これらの対策として、TLSを利用したアプリケーションに近いレイヤーでの暗号化が広く使われています。

• HTTPS (HTTP over TLS)
  
  
• SMTPS (SMTP over TLS)
  
  
• DOT (DNS over TLS)

しかし、エンタープライズシステムの中にはTLS対応していないプロトコルも残っているのが現実です。

従来のプロトコルを利用する場合、パスワードなどの情報が平文で送られてしまうことがあります。

アプリケーションレイヤーでの暗号化が難しい場合、ネットワークレイヤーでの暗号化が必要となります。

ExpressRouteのステークホルダー

上記では、エンドツーエンドのネットワークで信頼性が保証されない場合に暗号化が必要なケースを説明しました。

では、ExpressRouteにおけるセキュリティリスクについて考えてみましょう。

ExpressRouteでは以下のようなステークホルダーが関わることが多いです。

• ユーザー企業のIT部門、ネットワークオペレーター
  
  
• データセンターの事業者・オペレーター
  
  
• ExpressRoute接続プロバイダー
  
  
• Azure（Microsoft）
  
  

これらのステークホルダーは比較的信頼できると考えられます。

そのため、インターネットを経由する通信に比べ、パケットの通り道に不審なものがある可能性は低く、盗聴や改ざんのセキュリティリスクは低いです。

一方で、業界の規制、法律、コンプライアンスにより暗号化が必須とされる場合もあります。

また、ユーザー側ですべてをコントロールすることでリスク管理レベルを高める考え方もあります。

AzureのStorage AccountやManaged Diskで利用可能なCustomer Managed Key（CMK）も、ユーザー自身のコントロールを高めることでセキュリティリスクを管理する手段の一つです。

ちなみに、ExpressRouteは閉域接続とはいえ、暗号化はされていません。

具体的な実装方法は様々ありますが、概念としてはVLANによりユーザー毎のトラフィックを分離しているイメージです。

そのため、暗号化を利用しなくても他のユーザーとは完全に分離されており、盗聴や改ざんのセキュリティリスクは低いです。

ExpressRouteの暗号化

以上の検討結果として、ネットワークレイヤーでの暗号化が必要であれば、ExpressRouteでも暗号化が利用できます。

具体的には、ExpressRoute プライベート ピアリング経由のサイト間 VPN 接続 - Azure VPN Gatewayにあるような、VPN over ExpressRouteと表現できるような構成が利用可能です。

ExpressRouteで接続されたオンプレミスとAzureの間でさらにプライベートIPアドレス同士でVPNを構成することで、ExpressRouteを通る通信を暗号化できます。

メリットとしては以下のようなものがあります。

• アプリケーションレイヤーでの暗号化が難しい場合にネットワーク側で暗号化を実施し、セキュリティリスクを軽減できる
  
  
• ExpressRoute GatewayとVPN Gatewayはマネージドサービスのため、Azure側の運用コストはあまり変わらない

デメリットとしては以下のようなものがあります。

• ExpressRoute Gatewayに加えてVPN Gatewayのコストがかかる
  
  
• パフォーマンスはExpressRoute GatewayとVPN Gatewayの両方に依存する
  
  

利用に際しては、以下の点に注意してください。

• 正しく構成されていないと、VPNを張っていても暗号化がかかっていないExpressRouteのパスを使う可能性がある
  
  

そのほかの暗号化

この記事ではExpressRouteの暗号化について説明しましたが、それ以外にも暗号化を利用し、セキュリティレベルを高める方法があります。

- Azure 仮想ネットワーク暗号化とは? - Azure Virtual Network

 VNet内のVM間の通信を暗号化する機能です。ただし、現時点でExpressRoute GatewayやVPN GatewayとAzure VM間の通信が暗号化されるかどうかは明言されていません。

- Azure コンフィデンシャル コンピューティングの概要

Azure VMで利用中のデータを保護するための機能です。保存されているデータの保護（Data at rest）、ネットワーク上のデータの保護（Data in transit）に加え、データを処理する際の保護（Data in use）を提供します。

まとめ

ExpressRouteの暗号化について、まずはそのセキュリティリスクを検討し、暗号化が必要かどうかを確認してください。

その上で、ExpressRouteなどのネットワークレイヤーでの暗号化が必要であれば、VPN over ExpressRouteが利用可能です。

さらに、Azureで利用可能な暗号化に関する機能も紹介しましたので、全体的なセキュリティレベルを高めるため参考にしていただければ幸いです。

この記事を書いた人　プログライブ コンサルティング 酒見

同じカテゴリーの記事