Azure Front Door 詳細機能｜Rules Engine・Caching・Private Link・Bot Manager・Custom Domain

Rules Engine は Front Door のリクエスト / レスポンスをカスタム制御する条件付きアクション機能。Match Conditions (条件) + Actions (動作) の組み合わせで、HTTP Header 書き換え・URL Redirect / Rewrite・キャッシュ制御・Route 上書きなどを実装。代表的なルール例: 1) Path 条件で『/api/*』をバックエンド A、『/images/*』をバックエンド B に Route、2) User-Agent 条件で『Mobile からは Mobile 用バックエンド』、3) 古い URL から新 URL への自動 301 Redirect、4) Custom Header (X-Frame-Options・Content-Security-Policy・Strict-Transport-Security) 自動付与、5) Geo 条件で『中国からのアクセスは中国 Region バックエンド』、6) 機密 Header の Backend 隠蔽 (Remove Server Header)。Front Door Standard / Premium で利用可能、最大 25 Rules / Endpoint。Application Gateway の Rewrite Rules と類似ですが、Front Door はグローバル Edge で実行されるため遅延ゼロ。

Front Door に Custom Domain を割り当てる手順: 1) Custom Domain (例: www.example.com) を Front Door Profile に追加、2) DNS で CNAME レコード (www → my-frontdoor.azurefd.net) または Alias レコード (Azure DNS の場合) を追加、3) TXT レコードで Ownership 検証、4) SSL 証明書を Front Door Managed Certificate (Microsoft が無料発行・自動更新) または Customer-managed Certificate (Key Vault 連携) で構成、5) Custom Domain Status が Active になれば完了。Front Door Managed Certificate は無料・自動更新で運用負荷ゼロ、代表的な選択肢。Wildcard 証明書・EV 証明書・特定 CA 証明書 (DigiCert・GlobalSign) が必要な場合は Customer-managed Certificate (Key Vault) で対応。本番運用では Managed Certificate が標準、特殊要件のみ Customer-managed という選定パターンです。

Origin Group は複数の Origin (バックエンド) をグループ化して Front Door からのルーティング先として定義。各 Origin: 1) Host Name (Azure リソース・カスタム IP・FQDN)、2) HTTP/HTTPS Port、3) Priority (1-5、低い番号が高優先)、4) Weight (1-1000、Round Robin の重み)、5) Enabled / Disabled。Health Probe で各 Origin の健全性を継続チェック (5-255 秒間隔)、不健全 Origin は自動的に Routing から除外、回復で復帰。Load Balancing Method: 1) Latency-based (最低レイテンシ Origin 優先、標準)、2) Priority-based (Priority 1 が動作中はそこ、ダウンで Priority 2 へ Failover)、3) Weighted (Weight で配分)。代表的な構成: マルチ Region App Service を Origin Group に追加、Latency-based でユーザー最寄り Region へ自動 Route、Health Probe で Region 障害時の自動 Failover を実現します。

Front Door の Caching は Microsoft の Global Edge ネットワーク 300+ ロケーションで静的コンテンツをキャッシュし、ユーザーへの配信遅延を劇的削減 (CDN 機能)。動作: 1) ユーザーリクエスト → 最寄り Edge にヒット、2) Cache HIT なら Edge から即時返却、3) Cache MISS なら Origin にリクエスト → Edge にキャッシュ → ユーザーへ返却、4) 以降のリクエストは Edge から配信。Cache Behavior: 1) Cache Compression (gzip・brotli 自動)、2) Query String Caching (Query Parameter による Cache Key 設計)、3) Cache Duration (Origin の Cache-Control Header または手動上書き)、4) Purge (キャッシュ削除 API・特定パス・全削除)。代表的なキャッシュ戦略: HTML 1 時間・CSS/JS 1 年 (Versioned URL)・画像 30 日・API レスポンス 5 分。Origin への Egress コスト削減・配信遅延短縮の両方を実現する重要機能です。

Front Door Premium の Private Link Integration は、Origin (Backend) を Private Endpoint 経由で配信する機能。Public IP 不要・完全 Private 構成。動作: 1) Origin として Azure サービスの Private Endpoint Resource ID 指定、2) Front Door が内部的に Private Link Service 経由でバックエンドにアクセス、3) ユーザー → Front Door Edge (Public) → Front Door Backbone → Private Endpoint → バックエンド、4) バックエンドの Public Endpoint 完全遮断可能。対応サービス: Storage Blob・Static Web App・App Service・Internal Load Balancer・Custom Private Link Service。代表的なシナリオ: 1) Storage Static Web Hosting を Public Access Disable + Front Door Premium 経由で公開、2) Internal App Service を Front Door 経由でグローバル公開しつつ VNet 内で完全 Private 化。本番セキュリティ重視の Web 公開アーキテクチャの中核です。

Front Door Premium の WAF に統合された Bot Manager は、Microsoft Threat Intelligence をベースに Good Bot (検索エンジンクローラー・正規のスクレイパー) と Bad Bot (Credential Stuffing・Scraper・Vulnerability Scanner) を識別する機能。Bot Categories: 1) Good Bots (Googlebot・Bingbot・Baidu Spider)、2) Bad Bots (Microsoft Threat Intelligence で識別)、3) Unknown Bots (識別不可)、4) Verified Bots (組織検証済み)。Action: Allow・Block・Log・JS Challenge・CAPTCHA Challenge。代表的なユースケース: 1) ログインエンドポイントへの Credential Stuffing 攻撃 Block、2) E-commerce 価格スクレイピング Block (Bad Bots + Custom Rule)、3) API Endpoint への異常リクエスト JS Challenge。Microsoft Sentinel 統合で SOC ダッシュボードに Bot 攻撃集計表示、本番 Web 公開システムでの Application Security の重要機能です。

Front Door 自体に直接 Conditional Access 連携機能はないが、バックエンド (App Service・AKS) の Easy Auth (App Service Authentication) で Microsoft Entra ID 認証 → Conditional Access Authentication Context 適用が標準パターン。動作フロー: 1) ユーザー → Front Door Edge、2) Front Door → Backend App Service (Easy Auth 設定済み)、3) Easy Auth が Microsoft Entra ID にリダイレクト、4) Conditional Access Policy 評価 (MFA・Compliant Device・Risk Level・Authentication Context Class Reference (ACR))、5) 認証成功で Bearer Token 取得 → Backend アクセス継続。代表的な Conditional Access 要件: 1) 機密データアクセス時に MFA + Compliant Device 強制、2) Risky Sign-in は Block、3) Authentication Context で High Sensitivity データには Step-up Authentication。Front Door + Easy Auth + Conditional Access の組み合わせで、ゼロトラストの認証フローが完成します。

AZ-700 (Network Engineer Associate) で Front Door が深く問われる本領域の本命認定 (Rules Engine・Caching・Private Link・WAF・Bot Manager 全機能)。AZ-305 (Solutions Architect Expert) でアーキテクト視点での選定 (Application Gateway vs Front Door)、AZ-204 (Developer Associate) で開発者視点での Static Web App + Front Door 統合、SC-100 (Cybersecurity Architect Expert) で WAF + DDoS Protection + Private Link の組み合わせアーキテクチャ、SC-200 (Security Operations Analyst) で SOC 視点での Bot Manager 攻撃集計分析。Azure ネットワーク・セキュリティエンジニアにとって Front Door の理解は必須スキルです。