Azure Managed Service Column ＜Azure運用コラム＞Azure NAT Gatewayとは？高いセキュリティと効率性を備えたネットワーク構築を解説

フルマネージドで簡単にセットアップ可能なNATとは？Azureでの構築方法を解説

ビジネス環境においてクラウド技術の採用が進む中、セキュリティへの関心が高まっています。外部との通信を安全かつ効率的に行うことはもはや企業にとって不可欠な要素となっています。

マイクロソフトのクラウド、 Azure では、企業が Azure 上での通信をより安全に管理するための手段のひとつとして、 Azure NAT Gateway を提供しています。セキュリティの強化と、通信の効率向上を同時に追求する企業にとって、注目のサービスと言えます。

本記事では、 NAT 、 SNAT といったネットワーク技術と、 Azure NAT Gateway の概要とメリットについて解説します。

1. NATとは

ネットワークの技術において、 NAT は IPア ドレス節約やセキュリティ強化を目的としてよく使われる技術ですが、具体的にどのようなものでしょうか。ここでは NAT と、 NAT の一種である SNAT の概要について解説します。

NATとは

NAT （ Network Address Translation ）は、「ネットワークアドレス変換」と呼ばれ、 IP アドレスを変換する技術です。一般的には、プライベートネットワーク内の IP アドレスを、インターネット上のパブリック IP アドレスへ変換する技術として使われます。この NAT により、プライベート IP アドレスを持つデバイスがインターネットに接続できるようになります。

NAT の主な目的は、 IPv4 アドレスの枯渇問題を緩和することです。 IPv4 アドレスは限られた数しかないため、全デバイスにパブリック IP アドレスを割り当てることは不可能です。しかし、 NAT を使用することで、多数のデバイスのうちインターネットへのアクセスが必要な少数のデバイスのみパブリック IP アドレスへの変換を行い利用するIPv4アドレスの数を最小限にすることができます。

NAT は、企業のルーターやファイアウォールなどで広く使用されています。通常、企業内部ネットワークのデバイスは、ローカルなプライベート IP アドレスを持っており、インターネットに接続する際には、ルーターが行う NAT を経由して通信を行います。

SNATとは

図版出典：GeeksforGeeks

SNAT （ Source Network Address Translation ）は、 NAT の一種で、「送信元ネットワークアドレス変換」とも呼ばれています。

SNAT の主な機能は、内部ネットワークのプライベート IP アドレスからのトラフィックの送信元アドレスを、特定のパブリック IP アドレスに変更することです。 SNAT により、外部のネットワークやインターネット上のサービスと通信する際に、同じ送信元アドレスを使用することができます。

SNAT の利用シナリオの一つとして、負荷分散や冗長性を持ったシステムの構築があります。複数のサーバーがある場合、 SNAT を使用してすべてのトラフィックが同じ送信元アドレスを持つようにすることで、外部システムやサービスはそれらのサーバー群との通信を一つのアドレスとして扱うことができます。

また、セキュリティの観点からも、 SNAT は内部の IP 構成を外部から見えなくすることで、不正アクセスのリスクを低減する役割も果たしています。

2. Azure NAT Gatewayとは

Azure NAT Gateway は、 Azure 上で NAT を実現するためのサービスです。ここでは、Azure NAT Gateway の概要と料金体系について解説します。

Azure NAT Gatewayの概要

図版出典：Livestyle

Azure NAT Gateway は、 Azure の仮想ネットワークとインターネットとの間で、 NAT 機能を提供するフルマネージドのサービスです。

具体的には、 Azure 内の仮想マシンやその他のリソースから、インターネットへ出ていくアウトバウンド通信の送信元 IP アドレスを、パブリック IP アドレスに変換する SNAT の機能を提供します。インターネットからの受信トラフィックは、この NAT Gateway を経由して適切な内部リソースにルーティングされます。

Azure NAT Gateway を利用することで、 Azure 上のリソースとインターネットとの間の通信が効率的かつ安全に行われるようになります。

Azure NAT Gatewayの料金体系

Azure NAT Gateway の料金体系は、リソースの稼働時間と処理されたデータ量に応じて課金される従量課金制となっています。ただし、課金はリソースの作成時から開始されることに留意が必要です。

Azure NAT Gateway の料金体系の詳細は公式サイト（※1）を参照してください。

3. Azure NAT Gatewayのメリット

Azure NAT Gateway は IP アドレスの節約とセキュリティ強化を主な目的として利用されますが、具体的にどのようなメリットがあるのでしょうか。ここではそのメリットについて詳しく解説します。

ゼロトラストモデルに基づいた高いセキュリティ

Azure NAT Gateway は、ゼロトラストセキュリティモデルに基づき設計（※2）されています。これは、どんな通信も、無条件で信頼しない（全ての通信を検証・制御する）というゼロトラストの原則に基づいています。 Azure NAT Gateway の SNAT の機能により、ネットワーク内部からのアウトバウンド接続を制御することができます。

また、内部のネットワーク構成を外部から隠蔽することができます。そして、 SNAT を適切に設定することで、不要なインバウンド接続を防ぐことができます。

このように、 SNAT 機能を活用することで、インバウンド、アウトバウンドの通信全てを検証・制御することができるため、クラウド時代に合った強固なセキュリティを実現することが可能になります。

高い可用性と回復性

Azure NAT Gateway は、 Azure のフルマネージドのサービスであるため、作成した時点でリソースは複数の障害ドメインに分散配置されます。この分散配置により、仮想マシンや物理のネットワーク機器のような単一障害ポイントがなくなるため、サービス停止することなく、高い可用性と回復性を維持することが可能です。

高いスケーラビリティ

Azure NAT Gateway は、トラフィックの増加に応じて自動的にスケールアップ・スケールダウンが可能です。これにより、ビジネスの成長や突発的なトラフィック増加にも迅速かつ柔軟に対応することができます。ユーザーは、リソースの効率的な利用でコストを抑えつつ、ビジネスニーズに応じて柔軟にサービスを拡張できます。

高いパフォーマンス

Azure NAT Gateway は高いスループットと接続性（※3）もメリットのひとつです。送信、受信を含め双方向の通信で最大 50Gbps のスループットを保証しており、大量のデータを効率的に処理することができます。

また、インターネット経由の接続に関して、最大 50,000 の同時接続をサポートします。これに加えて、 1 秒あたり 1M のパケットを処理し、必要に応じて 1 秒あたり最大 5M のパケットへスケールアップが可能です。これにより、通信量の多い環境でも安定したパフォーマンスを得ることが可能です。

セットアップの簡易性

Azure ポータルを利用すれば、数クリックで簡単に Azure NAT Gateway のセットアップが可能です。セットアップが完了した時点で、サブネットとパブリック IP アドレスに接続し、すぐにインターネットへの接続と送信が可能となります。複雑なネットワーク設定を要求されることなく、迅速にデプロイを行うことができる点は、大きなメリットであると言えます。

4. まとめ

本記事では、 Azure NAT Gateway の概要と料金体系、メリットについて解説しました。 Azure NAT Gateway により、効率的かつクラウド環境に合ったセキュリティを確保することが容易になります。ぜひ専門家の支援を受けながら導入を検討してみてください。

Microsoft Azureを利用したシステムの設計・構築を代行します。お客様のご要件を実現する構成をご提案・実装いたします。

Tag： Azure NAT Gateway

• 

  Azure Orbital Ground Stationで何ができる？衛星をクラウド上で管理する方法と利用シーンを解説

• 

  FATクライアントとシンクライアントの違いとは？活用シーンも解説