Azure Front Door の配信元へのトラフィックをセキュリティで保護する

Important

Azure Front Door (クラシック) では、プロファイルの作成、新しいドメインオンボード、またはマネージド証明書はサポートされておらず、2027 年 31 月 31 日 で廃止されます。サービスの中断を回避するには、Azure Front Door Standard または Premium に移行してください。詳細については、「Azure Front Door (クラシック) の提供終了を参照してください。

Azure Front Door の機能は、トラフィックが Front Door のみを通過する場合に最適です。 Front Door 経由で送信されていないトラフィックをブロックするように配信元を構成する必要があります。そうしないと、トラフィックで Front Door の Web アプリケーションファイアウォール、DDoS 保護、およびその他のセキュリティ機能のバイパスが発生する可能性があります。

方法	サポートされているレベル
Private Link	Premium
マネージド ID	Standard、Premium
IP アドレスのフィルター処理	クラシック、Standard、Premium
フロントドア識別子	クラシック、Standard、Premium

注

この記事の 配信元 と 配信元グループ は、Azure Front Door (クラシック) 構成のバックエンドとバックエンドプールを指します。

Front Door には、配信元のトラフィックを制限するために使用できるいくつかの方法が用意されています。

Private Link が有効になっている配信元

Azure Front Door の Premium レベルを使用する場合は、Private Link を使用して配信元にトラフィックを送信できます。 Private Link の配信元について確認してください。

Private Link を経由しないトラフィックを禁止するように配信元を構成する必要があります。トラフィックを制限する方法は、使用する Private Link の配信元の種類によって異なります。

Azure App Service と Azure Functions では、Private Link を使用すると、パブリックインターネットエンドポイント経由のアクセスが自動的に無効になります。詳細については、Azure Web アプリでのプライベートエンドポイントの使用に関するページを参照してください。
Azure Storage には、インターネットからのトラフィックを拒否するために使用できるファイアウォールが用意されています。詳細については、Azure Storage ファイアウォールおよび仮想ネットワークの構成に関する記事を参照してください。
Azure Private Link サービスを使用する内部ロードバランサーは、パブリックにルーティングできません。また、ネットワークセキュリティグループを構成して、インターネットからの仮想ネットワークへのアクセスを許可しないようにすることもできます。

マネージド ID

Microsoft Entra ID によって提供されるマネージド ID を使用すると、Front Door インスタンスは、資格情報を管理することなく、Azure Blob Storage などの他の Microsoft Entra で保護されたリソースに安全にアクセスできます。 Front Door のマネージド ID を有効にし、配信元に必要なアクセス許可をマネージド ID に付与すると、Front Door はマネージド ID を使用して、指定されたリソースにアクセスするためのアクセストークンを Microsoft Entra ID から取得します。トークンが正常に取得されると、Front Door はベアラースキームを使用して Authorization ヘッダー内のトークンの値を設定し、要求を配信元に転送します。 Front Door は、有効期限が切れるまでトークンをキャッシュします。詳細については、「マネージド ID を使用して配信元に対する認証を行う (プレビュー)」を参照してください。

パブリック IP アドレスベースの発信元

パブリック IP ベースの配信元を使用する場合は、トラフィックが Front Door インスタンスを通過するように、次の 2 つの方法を一緒に使用する必要があります。

IP アドレスのフィルター処理を構成して、配信元への要求が Front Door の IP アドレス範囲からのみ受け入れられるようにします。
アプリケーションを構成して、Front Door で配信元へのすべての要求にアタッチされるヘッダー値 X-Azure-FDID を確認し、その値が Front Door の識別子と一致することを確認します。

IP アドレスのフィルター処理

使用する配信元で、Azure Front Door のバックエンド IP アドレス空間と Azure のインフラストラクチャサービスからのトラフィックのみが受け入れられるように IP アドレスのフィルター処理を構成します。

AzureFrontDoor.Backend サービスタグは、Front Door がオリジンに接続するために使用する IP アドレスの一覧を提供します。このサービスタグは、ネットワークセキュリティグループ規則内で使用できます。最新の IP アドレスで定期的に更新される Azure IP 範囲とサービスタグデータセットをダウンロードすることもできます。

Azureの基本インフラストラクチャサービスからのトラフィックも仮想化ホストのIPアドレスおよび168.63.129.16を通して許可する必要があります。

警告

Front Door の IP アドレス空間は定期的に変更されます。 IP アドレスをハードコーディングする代わりに、AzureFrontDoor.Backend サービスタグを使用してください。

フロントドア識別子

他の Azure のお客様が同じ IP アドレスを使用しているため、IP アドレスのフィルター処理だけでは配信元へのトラフィックをセキュリティで保護するには不十分です。トラフィックが "自分の" Front Door プロファイルから送信されたことを保証するように配信元を構成する必要もあります。

Azure では、Front Door プロファイルごとに一意の識別子を生成します。この識別子は、Azure portal でプロファイルの [概要] ページにある Front Door ID の値を探すことで確認できます。

Front Door が origin に要求を行うと、要求ヘッダー X-Azure-FDID が追加されます。配信元では、受信要求のヘッダーを検査し、値が Front Door プロファイルの識別子と一致しない要求は拒否する必要があります。

構成例

次の例は、さまざまな種類の配信元をセキュリティで保護する方法を示しています。

App Service のアクセス制限を使用して、IP アドレスのフィルター処理とヘッダーフィルター処理を実行できます。この機能はプラットフォームによって提供されるため、アプリケーションやホストを変更する必要はありません。

Application Gateway は仮想ネットワークにデプロイされます。ネットワークセキュリティグループ規則を構成して、AzureFrontDoor.Backend サービスタグからポート 80 と 443 への受信アクセスを許可し、"インターネット" サービスタグからポート 80 と 443 への受信トラフィックを禁止します。

カスタム Web アプリケーションファイアウォール (WAF) 規則を使用して、 X-Azure-FDID ヘッダー値を確認します。詳細については、「Application Gateway で Web アプリケーションファイアウォール v2 のカスタム規則を作成して使用する」を参照してください。

Application Gateway for Containers を使用して Azure Kubernetes Service (AKS) のトラフィックルーティングを構成するには、X-Azure-FDID ヘッダーを使用して、Azure Front Door からの着信トラフィックと一致する HTTPRoute 規則を設定します。

apiVersion: gateway.networking.k8s.io/v1
kind: HTTPRoute
metadata:
  name: http-route
  namespace: {namespace}
spec:
  parentRefs:
  - name: {gateway-name}
  rules:
  - matches:
    - headers:
      - type: Exact
        name: X-Azure-FDID
        value: "xxxxxxxx-xxxx-xxxx-xxxx-xxx"
    backendRefs:
    - name: {backend-name}
      port: {port}

Azure でホストされている仮想マシンで Microsoft インターネットインフォメーションサービス (IIS) を実行する場合は、仮想マシンをホストする仮想ネットワークにネットワークセキュリティグループを作成する必要があります。ネットワークセキュリティグループ規則を構成して、AzureFrontDoor.Backend サービスタグからポート 80 と 443 への受信アクセスを許可し、"インターネット" サービスタグからポート 80 と 443 への受信トラフィックを禁止します。

次の例のような IIS 構成ファイルを使用して、受信要求のヘッダー X-Azure-FDID を検査します。

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
  <system.webServer>
    <rewrite>
      <rules>
        <rule name="Filter_X-Azure-FDID" patternSyntax="Wildcard" stopProcessing="true">
          <match url="*" />
          <conditions>
            <add input="{HTTP_X_AZURE_FDID}" pattern="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" negate="true" />
          </conditions>
          <action type="AbortRequest" />
        </rule>
      </rules>
    </rewrite>
  </system.webServer>
</configuration>

NGINX イングレスコントローラーを使用した AKS を実行する場合は、AKS クラスターをホストする仮想ネットワークにネットワークセキュリティグループを作成する必要があります。ネットワークセキュリティグループ規則を構成して、AzureFrontDoor.Backend サービスタグからポート 80 と 443 への受信アクセスを許可し、"インターネット" サービスタグからポート 80 と 443 への受信トラフィックを禁止します。

次の例のような Kubernetes イングレス構成ファイルを使用して、受信要求のヘッダー X-Azure-FDID を検査します。

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: frontdoor-ingress
  annotations:
  kubernetes.io/ingress.class: nginx
  nginx.ingress.kubernetes.io/enable-modsecurity: "true"
  nginx.ingress.kubernetes.io/modsecurity-snippet: |
    SecRuleEngine On
    SecRule &REQUEST_HEADERS:X-Azure-FDID \"@eq 0\"  \"log,deny,id:106,status:403,msg:\'Front Door ID not present\'\"
    SecRule REQUEST_HEADERS:X-Azure-FDID \"@rx ^(?!xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx).*$\"  \"log,deny,id:107,status:403,msg:\'Wrong Front Door ID\'\"
spec:
  #section omitted on purpose

Front Door で WAF プロファイルを構成する方法について学習します。
フロントドアの作成方法について学習します。
Front Door のしくみについて学習します。

フィードバック

このページはお役に立ちましたか?

Last updated on 2026-05-05