Azure Firewall での Azure Well-Architected フレームワークの分析観点
Azure Firewall は、Azure で実行されているクラウド ワークロードに最高レベルの脅威保護を提供する、クラウドネイティブでインテリジェントなネットワーク ファイアウォールのセキュリティ サービスです。 これは、組み込みの高可用性とクラウドによる無制限のスケーラビリティを備えた、完全にステートフルなマネージド ファイアウォール サービスです。 Azure Firewall は、East-West と North-South 両方のトラフィック検査を提供します。
この記事では、アーキテクトとして、仮想ネットワーク セキュリティ オプションを確認し、ワークロードのネットワーク セキュリティ サービスとして Azure Firewall を選択していることを前提としています。 この記事のガイダンスでは、Azure Well-Architected Framework の柱の原則にマップされるアーキテクチャに関する推奨事項を示します。
重要
このガイドを使用する方法
各セクションには、"設計チェックリスト" があり、アーキテクチャの関心領域と、テクノロジ スコープに限定した設計戦略が示されています。
これらの戦略の具体化に役立つテクノロジ機能に関する "推奨事項" も含まれています。 これらの推奨事項は、Azure Firewall とその依存関係で利用できるすべての構成の完全な一覧とはなっていません。 そうではなく、設計パースペクティブにマップされた主要な推奨事項が一覧表示されます。 推奨事項を使用して概念実証を構築するか、既存の環境を最適化してください。
主要な推奨事項を示す基本アーキテクチャ: Azure でのハブスポーク ネットワーク トポロジ
テクノロジの範囲
このレビューでは、次の Azure リソースについての相互に関連する決定に焦点をあてます。
- Azure Firewall
- Azureファイヤウォール マネージャー
信頼性
信頼性の柱の目的は、障害から迅速に復旧するのに十分な回復性と機能を構築して、継続的な機能を提供することです。
信頼性の設計原則は、個々のコンポーネント、システム フロー、およびシステム全体に適用されるおおまかな設計戦略を提供します。
設計チェック リスト
信頼性の設計レビュー チェックリストに基づいて、設計戦略を開始します。 使用するポリシーとアーキテクチャの種類を念頭に置いて、ビジネス要件との関連性を判断します。 必要に応じて、より多くのアプローチを含むように戦略を拡張します。
Azure Firewall の既知の問題の一覧を確認します。 Azure Firewall 製品では、既知の問題の更新された一覧が保持されます。 この一覧には、設計上の動作、構築中の修正、プラットフォームの制限事項、考えられる回避策または軽減策の戦略に関連する重要な情報が含まれています。
Azure Firewall ポリシーが Azure Firewall の制限と推奨事項に準拠していることを確認します。 ポリシー構造には、ルールとルール コレクション グループの数、ポリシーの合計サイズ、ソースの宛先、ターゲットの宛先など、制限があります。 作成するポリシーは、ドキュメント化されたしきい値を下回るようにしてください。
より高いサービス レベル アグリーメント (SLA) を実現するために、複数の可用性ゾーンに Azure Firewall をデプロイします。 Azure Firewall では、1 つの可用性ゾーンにサービスをデプロイするか、複数のゾーンに応じて、さまざまな SLA が提供されます。 詳細については、「オンライン サービス の SLA」を参照してください。
複数リージョン環境で各リージョンに Azure Firewall インスタンスをデプロイします。 従来のハブアンドスポーク アーキテクチャについては、「複数リージョンの考慮事項」を参照してください。 セキュリティで保護された Azure Virtual WAN ハブの場合は、ハブ間通信とブランチ間通信をセキュリティで保護するためにルーティングの意図とポリシーを構成します。 障害に強くフォールト トレラントなワークロードの場合は、Azure Firewall と Azure Virtual Network のインスタンスをリージョン リソースとして検討してください。
Azure Firewall メトリックとリソースの正常性状態を監視します。 Azure Firewall は、Azure Resource Health と統合されます。 Resource Health チェックを使用して、Azure Firewall の正常性状態を表示し、Azure Firewall リソースに影響する可能性があるサービスの問題に対処します。
Azure Firewall は、ハブ仮想ネットワーク内、または Virtual WAN ハブの一部としてデプロイします。
Note
ネットワーク サービスの可用性は、従来のハブアンドスポーク モデルと Virtual WAN で管理されるセキュリティで保護されたハブ モデルによって異なります。 たとえば、Virtual WAN ハブでは、Azure Firewall パブリック IP はパブリック IP プレフィックスから取得できないため、Azure DDoS Protection を有効にすることはできません。 モデルを選択するときは、Well-Architected フレームワークの 5 つの柱すべてに対する要件を考慮してください。
推奨事項
| 推奨事項 | 特長 |
|---|---|
| Azure Firewall を複数の可用性ゾーンにデプロイします。 | 特定のレベルの回復性を維持するために、複数の可用性ゾーンに Azure Firewall をデプロイします。 1 つのゾーンで障害が発生した場合、別のゾーンは引き続きトラフィックを処理します。 |
| Log Analytics ワークスペースで Azure Firewall メトリックを監視します。 スループット、ファイアウォール正常性状態、SNAT ポート使用率、AZFW 待機時間プローブ メトリックなど、Azure Firewall の正常性状態を示すメトリックを厳密に監視します。 Azure Service Health を使用して、Azure Firewall の正常性を監視します。 |
リソース メトリックとサービスの正常性を監視して、サービスの状態がいつ低下するかを検出し、障害を防ぐための予防的な対策を講じることができるようにします。 |
セキュリティ
セキュリティの柱の目的は、ワークロードに機密性、整合性、可用性の保証を提供することです。
セキュリティ設計原則は、Azure Firewall の技術設計へのアプローチを適用することで、これらの目標を達成するためのおおまかな設計戦略を提供します。
設計チェック リスト
セキュリティの設計レビュー チェックリストに基づいて、設計戦略を開始します。 セキュリティ態勢を向上させるための脆弱性と制御を特定します。 必要に応じて、より多くのアプローチを含むように戦略を拡張します。
ファイアウォールまたはネットワーク仮想アプライアンス (NVA) 経由でワークロードからのすべてのインターネット トラフィックを送信し、脅威を検出してブロックします。 Azure Firewall 経由でトラフィックを強制するようにユーザー定義ルート (UDR) を構成します。 Web トラフィックの場合は、明示的なプロキシとして Azure Firewall を使用することを検討してください。
これらのプロバイダーを使用して送信接続を保護する場合は、Firewall Manager 内でサポートされているパートナーのサービスとしてのソフトウェア (SaaS) セキュリティ プロバイダーを構成します。
トラフィックがファイアウォールをバイパスできないように、仮想マシンに直接関連付けられているパブリック IP アドレスの使用を制限します。 Azure クラウド導入フレームワーク モデルは、特定の Azure ポリシーを CORP 管理グループに割り当てます。
セキュリティのニーズで、検査や暗号化の追加など、Web アプリケーションにゼロ トラスト アプローチを実装する必要がある場合は、Azure Firewall と Application Gateway のゼロ トラスト構成ガイドに従ってください。 このガイドに従って、従来のハブアンドスポークと Virtual WAN シナリオの両方に Azure Firewall と Application Gateway を統合します。
詳細については、「エッジでファイアウォールを適用する」を参照してください。
ワークロードセグメント化戦略の一部として、ネットワーク境界を確立し、ブラスト半径を制御し、ワークロード リソースを難読化し、予期しない、禁止された、安全でないアクセスをブロックします。 最小特権アクセス 条件に基づいて、Azure Firewall ポリシーの規則を作成します。
Azure Firewall を強制トンネリング モードで構成するときに、パブリック IP アドレスを None に設定して、完全プライベート データ プレーンをデプロイします。 この方法は Virtual WAN に適用されません。
ネットワーク ルールを定義して管理を簡略化する場合は、完全修飾ドメイン名 (FQDN) とサービス タグを使用します。
脅威や悪用の兆候を熱心に監視するために検出メカニズムを使用します。 プラットフォームが提供する検出メカニズムとメジャーを活用します。 侵入検知および防御システム(IDPS)を有効にします。 Azure DDoS Protection プランをハブ仮想ネットワークに関連付けます。
詳細については、「不正使用の検出」を参照してください。
推奨事項
| 推奨事項 | 特長 |
|---|---|
| インターネットに直接ではなく、指定された次ホップにインターネットにバインドされたすべてのトラフィックをルーティングする必要がある場合は、強制トンネリング モードで Azure Firewall を構成します。 この推奨事項は Virtual WAN に適用されません。 Azure Firewall には、インターネットへの直接接続が必要です。 AzureFirewallSubnet によってオンプレミス ネットワークへの Border Gateway Protocol を介したデフォルト ルートが学習される場合は、Azure Firewall を強制トンネリング モードで構成する必要があります。 強制トンネリング機能を使用して、Azure Firewall 管理サブネット用に別の /26 アドレス空間を追加できます。 サブネットに AzureFirewallManagementSubnet と名前を付けます。 強制トンネリング モードで再構成できない既存の Azure Firewall インスタンスがある場合は、0.0.0.0/0 ルートで UDR を作成します。 NextHopType 値をインターネットとして設定します。 インターネット アクセスを維持するには、UDR を AzureFirewallSubnet 関連付けます。 Azure Firewall を強制トンネリング モードで構成するときに、パブリック IP アドレスを None に設定して、完全プライベート データ プレーンをデプロイします。 ただし、その場合でも、管理プレーンには、管理のためにのみパブリック IP が必要です。 仮想ネットワークとオンプレミス ネットワークからの内部トラフィックでは、そのパブリック IP は使用されません。 |
Azure リソースをインターネットに直接公開しないように、強制トンネリングを使用します。 このアプローチにより、攻撃面が減少し、外部の脅威のリスクが最小限に抑えられます。 企業ポリシーとコンプライアンス要件をより効果的に適用するには、すべてのインターネットに接続されたトラフィックをオンプレミスのファイアウォールまたは NVA を介してルーティングします。 |
| 中央の基本ポリシーをオーバーレイする階層構造にファイアウォール ポリシーのルールを作成します。 詳細については、「Azure Firewall ポリシーを使用してルールを処理する」を参照してください。 最小特権アクセス ゼロ トラスト原則に基づいてルールを作成します |
詳細なポリシーが特定のリージョンの要件を満たすことができるように、階層構造でルールを整理します。 各ポリシーには、特定の優先順位、アクション、処理順序を持つさまざまな宛先ネットワーク アドレス変換 (DNAT)、ネットワーク、およびアプリケーションルールのセットを含めることができます。 |
| Firewall Manager 内でサポートされているセキュリティ パートナー プロバイダーを構成して、送信接続を保護します。 このシナリオでは、IPsec トンネルを使用してプロバイダーのインフラストラクチャに接続するため、ハブに S2S VPN ゲートウェイがある Virtual WAN が必要です。 マネージド セキュリティ サービス プロバイダーは、追加のライセンス料金を請求し、IPsec 接続のスループットを制限する場合があります。 Zscaler Cloud Connector などの代替ソリューションを使用することもできます。 |
Azure Firewall のセキュリティ パートナー プロバイダーが、インターネット トラフィックの高度な保護を提供する、最新のクラウド セキュリティ オファリングを利用できるようにします。 これらのプロバイダーは、ユーザー対応の特殊なフィルター処理と包括的な脅威検出機能を提供し、全体的なセキュリティ体制を強化します。 |
| Azure Firewall DNS プロキシ構成を有効にします。 また、DNS クエリの転送にカスタム DNS を使用するように Azure Firewall を構成します。 |
この機能を有効にすると、仮想ネットワーク内のクライアントが DNS サーバーとして Azure Firewall に接続されます。 この機能は、直接アクセスおよび公開されていない内部 DNS インフラストラクチャを保護します。 |
| スポーク間、スポーク対インターネット、および スポーク対ハイブリッド 接続用の従来のハブ アンド スポーク アーキテクチャで Azure Firewall を通過するように UDR を構成します。 Virtual WAN で、ハブに統合 Azure Firewall インスタンスを介してプライベート トラフィックまたはインターネット トラフィックをリダイレクトするようにルーティングの意図とポリシーを構成します。 UDR を適用できない場合、Web トラフィックのリダイレクトのみが必要な場合は、送信パスで明示的なプロキシとして Azure Firewall を使用します。 Azure Firewall をプロキシとして構成するときに、Web ブラウザーなどの送信アプリケーションでプロキシ設定を構成できます。 |
ファイアウォールを介してトラフィックを送信してトラフィックを検査し、悪意のあるトラフィックの特定とブロックに役立ちます。 送信トラフィックの明示的なプロキシとして Azure Firewall を使用して、Web トラフィックがファイアウォールのプライベート IP アドレスに到達し、UDR を使用せずにファイアウォールから直接送信されるようにします。 この機能により、既存のネットワーク ルートを変更することなく、複数のファイアウォールを使用できるようにもなります。 |
| ネットワーク ルールでは FQDN フィルタリングを使用します。 ネットワーク規則で FQDN を使用するには、Azure Firewall DNS プロキシ構成を有効にする必要があります。 | 管理者が複数の IP アドレスではなくドメイン名を管理できるように、Azure Firewall ネットワーク規則で FQDN を使用すると、管理が簡素化されます。 この動的解決により、ドメイン IP が変更されたときにファイアウォール ルールが自動的に更新されます。 |
| 特定の IP アドレスの代わりに Azure Firewall サービス タグ を使用して、Azure、Microsoft Dynamics 365、および Microsoft 365 の特定のサービスに選択的にアクセスできるようにします。 | ネットワーク ルールでサービス タグを使用すると、特定の IP アドレスではなくサービス名に基づいてアクセス制御を定義できるため、セキュリティ管理が簡単になります。 Microsoft は、IP アドレスが変更されたときにこれらのタグを自動的に管理および更新します。 この方法により、手動による介入なしにファイアウォール ルールが正確かつ効果的に維持されます。 |
| アプリケーション ルールで FQDN タグ を使用して、特定の Microsoft サービスへの選択的アクセスを提供します。 アプリケーション ルールで FQDN タグを使用すると、Microsoft 365、Windows 365、Microsoft Intune など、特定の Azure サービスファイアウォール経由で必要な送信ネットワーク トラフィックを許可できます。 |
Azure Firewall アプリケーション ルールで FQDN タグを使用して、既知の Microsoft サービスに関連付けられている FQDN のグループを表します。 この方法により、ネットワーク セキュリティ ルールの管理が簡略化されます。 |
| Azure Firewall の脅威インテリジェンスを [アラートを出して拒否] モードで有効にします。 | 脅威インテリジェンスを使用して、新たな脅威に対するリアルタイムの保護を提供し、サイバー攻撃のリスクを軽減します。 この機能では、Microsoft 脅威インテリジェンス フィードを使用して、既知の悪意のある IP アドレス、ドメイン、URL からのトラフィックに自動的にアラートを送信し、ブロックします。 |
| アラート または アラートを出して拒否 モードで IDPS を有効にします。 この機能のパフォーマンスへの影響を考慮してください。 | Azure Firewall で IDPS フィルター処理を有効にすると、ネットワーク トラフィックをリアルタイムで監視および分析して、悪意のあるアクティビティを検出して防止できます。 この機能では、署名ベースの検出を使用して、既知の脅威を迅速に特定し、損害を引き起こす前にブロックします。 詳細については、「不正使用の検出」を参照してください。 |
| 内部エンタープライズ証明機関 (CA) を使用して、Azure Firewall Premium で TLS 検査使用するときに証明書を生成します。 自己署名証明書は、テストと概念実証 (PoC) の目的でのみ使用。 | Azure Firewall Premium が TLS 接続を終了して検査し、HTTPS の悪意のあるアクティビティを検出、アラート、軽減できるように、TLS 検査を有効にします。 |
| Firewall Manager を使用して、Azure DDoS Protection プランを作成し、ハブ仮想ネットワークに関連付けます。 この方法は Virtual WAN に適用されません。 | ファイアウォール ポリシーと共に DDoS 保護を一元的に管理できるように、Azure DDoS Protection プランを構成します。 このアプローチにより、ネットワーク セキュリティを管理する方法が合理化され、プロセスのデプロイと監視の方法が簡略化されます。 |
コストの最適化
コストの最適化は、支出パターンを検出し、重要な領域への投資を優先し、その他への投資を最適化することに重点を置いて、ビジネス要件を満たしながら組織の予算に合わせます。
コスト最適化の設計原則は、Azure Firewall とその環境に関連する技術設計で、これらの目標を達成し、必要に応じてトレードオフを行うおおまかな設計戦略を提供します。
設計チェック リスト
コスト最適化の設計レビュー チェックリストに基づいて、投資の設計戦略を開始します。 ワークロードがワークロードに割り当てられている予算に合うように設計を微調整します。 設計では、適切な Azure 機能を使用し、投資を監視し、時間の経過に伴って最適化する機会を見つける必要があります。
デプロイする Azure Firewall SKU を選択します。 Basic、Standard、Premium の 3 つの Azure Firewall SKU から選択します。 Azure Firewall Premium を使用して機密性の高いアプリケーション (支払処理など) をセキュリティで保護します。 ワークロードにレイヤー 3 からレイヤー 7 のファイアウォールが必要で、最大 30 Gbps のピーク トラフィック期間を処理するために自動スケーリングが必要な場合は、Azure Firewall Standard を使用します。 SMB を使用し、最大 250 Mbps のスループットが必要な場合は、Azure Firewall Basic を使用します。 Standard SKU と Premium SKU の間でダウングレードまたはアップグレードできます。 詳細については、「適切な Azure Firewall SKU を選択する」を参照してください。
未使用のファイアウォールのデプロイを削除し、使用されていないデプロイを最適化します。 継続的に実行する必要のない Azure Firewall デプロイを停止します。 未使用の Azure Firewall デプロイを特定して削除します。 運用コストを削減するには、ファイアウォール インスタンスの使用状況、Azure Firewall Manager ポリシーの構成、使用するパブリック IP アドレスとポリシーの数を監視および最適化します。
Azure Firewall の同じインスタンスを共有します。 ハブ仮想ネットワークまたは Virtual WAN セキュリティで保護されたハブで Azure Firewall の中央インスタンスを使用し、同じリージョンから同じハブに接続するスポーク仮想ネットワーク間で同じ Azure Firewall インスタンスを共有できます。 ハブ アンド スポーク トポロジに予期しないリージョン間トラフィックがないことを確認します。
ファイアウォール経由のトラフィックを最適化します。 Azure Firewall が処理するトラフィックを定期的にレビューします。 ファイアウォールを通過するトラフィックの量を減らす機会を見つけます。
保存するログ データの量を減らします。 Azure Firewall では、Azure Event Hubs を使用してトラフィックのメタデータを包括的にログに記録し、Log Analytics ワークスペース、Azure Storage、または Microsoft 以外のソリューションに送信できます。 すべてのログ ソリューションでは、データを処理してストレージを提供するためのコストが発生します。 大量のデータでは、大きなコストが発生する可能性があります。 Log Analytics の代わりにコスト効率の高いアプローチとを検討し、コストを見積もります。 すべてのログ カテゴリのトラフィック メタデータをログに記録する必要があるかどうかを検討します。
推奨事項
| 推奨事項 | 特長 |
|---|---|
| 継続的に実行する必要のない Azure Firewall デプロイを停止します。 営業時間内にのみ使用される開発またはテスト環境がある場合があります。 詳細については、Azure Firewall の割り当て解除と割り当てに関する記事を参照してください。 | オフピーク時またはアイドル時にこれらのデプロイをシャットダウンして、不要な費用を削減しますが、重要な時間にセキュリティとパフォーマンスを維持します。 |
| Azure Firewall が処理するトラフィックを定期的に確認し、元のワークロードの最適化を見つけます。 トップ フロー ログ (fat flows ログとも呼ばれます) は、ファイアウォールを介した最高のスループットに寄与する上位の接続を示しています。 | ファイアウォールを通過するトラフィックを最も多く生成するワークロードを最適化してトラフィック量を減らし、ファイアウォールの負荷を軽減し、データ処理と帯域幅のコストを最小限に抑えます。 |
| 未使用の Azure Firewall デプロイを特定して削除します。 ファイアウォール プライベート IP を指すサブネットに関連付けられている と UDR の監視メトリックを分析します。 また、環境とデプロイに関する他の検証と内部ドキュメントも検討してください。 たとえば、Azure Firewall のクラシック NAT、ネットワーク、アプリケーションのルールを分析します。 また、設定を検討してください。 たとえば、DNS プロキシ設定を無効に構成できます。 詳しくは、「Azure Firewall を監視する」を参照してください。 |
このアプローチを使用して、時間の経過と同時にコスト効率の高いデプロイを検出し、不要なコストを回避する未使用のリソースを排除します。 |
| コストを最適化するには、Firewall Manager のポリシー、関連付け、継承を慎重に確認します。 ポリシーは、ファイアウォールの関連付けに基づいて課金されます。 ファイアウォールの関連付けが 0 個または 1 個のポリシーは無料です。 ファイアウォールの関連付けが複数存在するポリシーは、固定レートで課金されます。 詳細については、「Firewall Manager の価格」を参照してください。 |
Firewall Manager とそのポリシーを適切に使用して、運用コストを削減し、効率を向上させ、管理オーバーヘッドを削減します。 |
| 構成内のすべてのパブリック IP アドレスを確認し、使用していないパブリック IP アドレスの関連付けを解除して削除します。 IP アドレスを削除する前に、ソース ネットワーク アドレス変換 (SNAT) ポートの使用状況を評価します。 詳細については、「Azure Firewall のログとメトリックを監視する」および「SNAT ポート使用」を参照してください。 |
未使用の IP アドレスを削除してコストを削減します。 |
オペレーショナル エクセレンス
オペレーショナル エクセレンスは主に、開発プラクティス、監視、リリース管理の手順に重点を置いています。
オペレーショナル エクセレンスの設計原則は、ワークロードの運用要件についてこれらの目標を達成するためのおおまかな設計戦略を提供します。
設計チェック リスト
オペレーショナル エクセレンスの設計レビュー チェックリストに基づいて、Azure Firewall に関連する監視、テスト、デプロイのプロセスを定義する設計戦略を開始します。
Azure Firewall のインスタンスをデプロイおよび管理するために、従来のハブアンドスポーク トポロジまたは Virtual WAN ネットワーク トポロジで Firewall Manager を使用します。 トラフィック ガバナンスと保護のためのネイティブ セキュリティ サービスを使用して、ハブおよびスポーク アーキテクチャと推移的アーキテクチャを作成できます。 詳細については、「ネットワーク トポロジと接続」を参照してください。
既存のデプロイ用に、Azure Firewall クラシック ルールを Firewall Manager ポリシーに移行します。 Firewall Manager を使用して、ファイアウォールとポリシーを一元的に管理します。 詳細については、「Azure Firewall Premium への移行」を参照してください。
Azure Policy アーティファクトの定期的なバックアップを維持します。 コードとしてのインフラストラクチャアプローチを使用して Azure Firewall とすべての依存関係を維持する場合は、Azure Firewall ポリシーのバックアップとバージョン管理を行う必要があります。 そうでない場合は、外部ロジック アプリに基づくコンパニオン メカニズムをデプロイして、効果的な自動化されたソリューションを提供できます。
Azure Firewall のログとメトリックを監視する。 ファイアウォールの監視とトラブルシューティングに診断ログを利用し、監査操作のアクティビティ ログを利用します。
監視データを分析して、システムの全体的な正常性を評価します。 組み込みの Azure Firewall 監視ブックを使用し、Kusto 照会言語 (KQL) クエリを理解し、ポリシー分析ダッシュボードを使用して潜在的な問題を特定します。
オペレーターがそれらに迅速に応答できるように、主要なイベントのアラートを定義します。
Azure でプラットフォームによって提供される検出メカニズムを利用して、不正使用を検出します。 可能な場合は、Azure Firewall を Microsoft Defender for Cloud と Microsoft Sentinel に統合します。 Defender for Cloud と統合することで、ネットワーク インフラストラクチャとネットワーク セキュリティの状態を 1 か所で視覚化できます。これには、Azure 内のさまざまなリージョン内のすべての仮想ネットワークと仮想ハブにわたる Azure ネットワーク セキュリティが含まれます。 Microsoft Sentinel との統合により、脅威の検出と防止の機能が提供されます。
推奨事項
| 推奨事項 | 特長 |
|---|---|
| Azure Firewall の診断ログを有効にします。 ファイアウォール ログまたはブックを使用して、Azure Firewall を監視します。 また、アクティビティ ログを使用して、Azure Firewall リソースに対する操作を監査することもできます。 構造化ファイアウォール ログ フォーマットを使用します。 以前の診断ログ フォーマットは必要な既存のツールがある場合にのみ使用してください。 両方のログ フォーマットを同時に有効にしないでください。 |
診断ログを有効にして、Azure Firewall の監視ツールと戦略を最適化します。 構造化されたファイアウォール ログを使用してログ データを構造化し、検索、フィルター処理、分析を簡単に行えるようにします。 最新の監視ツールは、この種類のログに基づいているため、多くの場合、前提条件です。 |
| 組み込みの Azure Firewall ブックを使用します。 | Azure Firewall ブックを使用して、Azure Firewall イベントから貴重な分析情報を抽出し、アプリケーションとネットワークルールを分析し、URL、ポート、アドレスにわたるファイアウォール アクティビティに関する統計情報を調べます。 |
| Azure Firewall のログとメトリックを監視し、Azure Firewall 容量のアラートを作成します。 アラートを作成して、スループットの、ファイアウォールの正常性状態の、SNAT ポート使用率、AZFW 待機時間プローブメトリックを監視します。 | 潜在的な問題が発生する前にオペレーターに通知し、中断を防ぎ、迅速な容量調整を開始するために、主要なイベントのアラートを設定します。 |
| ポリシー分析ダッシュボード を定期的に確認して、潜在的な問題を特定します。 | ポリシー分析を使用して、Azure Firewall ポリシーの影響を分析します。 ポリシーの制限、不適切なルール、不適切な IP グループの使用など、ポリシー内の潜在的な問題を特定します。 セキュリティ態勢とルール処理のパフォーマンスを向上させるための推奨事項を取得します。 |
| Azure Firewall ログを使用して問題をすばやく分析およびトラブルシューティングできるように、KQL クエリについて説明します。 Azure Firewall には、サンプル クエリが用意されています。 | KQL クエリを使用して、ファイアウォール内のイベントをすばやく識別し、トリガーされるルール、または要求を許可またはブロックするルールを確認します。 |
パフォーマンス効率
パフォーマンス効率とは、容量を管理することで、負荷が増加したときにも、ユーザー エクスペリエンスを維持することです。 この戦略には、リソースのスケーリング、潜在的なボトルネックの特定と最適化、ピーク パフォーマンスの最適化が含まれます。
パフォーマンス効率設計の原則は、予想される使用に対してこれらの容量目標を達成するためのおおまかな設計戦略を提供します。
設計チェック リスト
パフォーマンス効率の設計レビュー チェックリストに基づいて、設計戦略を開始します。 Azure Firewall の主要業績評価指標に基づくベースラインを定義します。
Well-Architected フレームワークに関する推奨事項に従って Azure Firewall 構成を最適化し、コードとインフラストラクチャを最適化し、運用のピークを確保します。 効率的で安全なネットワークを維持するには、ファイアウォール ルールを定期的に確認して最適化します。 この方法は、ファイアウォール構成が最新のセキュリティ脅威と共に有効で最新の状態を維持するのに役立ちます。
ポリシー要件を評価し、IP 範囲と URL リストを要約する機会を見つけます。 Web カテゴリを使用して送信アクセスを一括で許可または拒否し、管理を合理化し、セキュリティを強化します。 この構成はネットワーク待機時間とスループットに影響を与える可能性があるため、アラートと拒否モードでの IDPS のパフォーマンスへの影響を評価します。 SNAT ポートの要件をサポートするようにパブリック IP アドレスを構成します。 これらのプラクティスに従って、堅牢でスケーラブルなネットワーク セキュリティ インフラストラクチャを作成します。
Azure Firewall を VNet 内トラフィック制御に使用しないでください。 Azure Firewall を使用して、次の種類のトラフィックを制御します:
- 仮想ネットワーク間のトラフィック
- 仮想ネットワークとオンプレミス ネットワーク間のトラフィック
- インターネットへの送信トラフィック
- 受信した非 HTTP または非 HTTPS トラフィック
仮想ネットワーク内トラフィック制御には、ネットワーク セキュリティ グループを使用してください。
パフォーマンス テストの前に Azure Firewall を適切にウォームアップします。 テストの 20 分前に、ロード テストに属さない初期トラフィックを作成します。 診断設定を使用して、スケールアップとスケールダウンのイベントをキャプチャします。 Azure Load Testing サービスを使用して初期トラフィックを生成し、Azure Firewall を最大インスタンス数にスケールアップできます。
/26 アドレス空間を使用して Azure Firewall サブネットを構成します。 Azure Firewall 専用のサブネットが必要です。 Azure Firewall では、拡大に合わせてより多くの容量がプロビジョニングされます。 /26 アドレス空間を使用すると、スケールに対応できる十分な数の IP アドレスをファイアウォールに使用できるようになります。 Azure Firewall では、/26 より大きいサブネットは必要ありません。 Azure Firewall サブネットに AzureFirewallSubnet と名前を付けます。
必要ない場合は、高度なログ記録を有効にしないでください。 Azure Firewall には、アクティブな状態を維持するために多大なコストが発生する可能性がある高度なログ機能がいくつか用意されています。 代わりに、これらの機能は、トラブルシューティングの目的でのみ、および限られた時間だけ使用できます。 必要がない場合は、機能を無効にします。 たとえば、上位フローとフロー トレース ログはコストがかかるため、Azure Firewall インフラストラクチャで過剰な CPU とストレージの使用率が発生する可能性があります。
推奨事項
| 推奨事項 | 特長 |
|---|---|
| ポリシー分析 ダッシュボードを使用して、Azure Firewall ポリシーを最適化する方法を特定します。 | ポリシー分析を使用して、ポリシーの制限、不適切なルール、不適切な IP グループの使用など、ポリシー内の潜在的な問題を特定します。 セキュリティ態勢とルール処理のパフォーマンスを向上させるための推奨事項を取得します。 |
| グループの早い段階で頻繁に使用されるルールを配置して、 ルール セットが大きい Azure Firewall ポリシーの待機時間を最適化します。 詳細については、「Azure Firewall ポリシーを使用してルールを処理する」を参照してください。 |
待機時間を最適化するために、頻繁に使用されるルールをルール セット内に高く配置します。 Azure Firewall では、ルールの種類、継承、ルール コレクション グループの優先順位、およびルール コレクションの優先順位に基づいてルールが処理されます。 Azure Firewall では、優先度の高いルール コレクション グループが最初に処理されます。 ルール コレクション グループ内では、Azure Firewall は優先順位が最も高いルール コレクションを最初に処理します。 |
| IP グループを使用して IP アドレス範囲を集計し、一意の送信元または一意の宛先ネットワーク 規則の制限超えないようにします。 Azure Firewall では、ネットワーク 規則を作成するときに、IP グループが 1 つのアドレスとして扱われます。 | この方法により、制限を超えることなくカバーできる IP アドレスの数が効果的に増えます。 各規則について、Azure はポートを IP アドレスで乗算します。 そのため、4 つの IP アドレス範囲と 5 つのポートを持つ 1 つのルールがある場合は、20 個のネットワーク ルールを使用します。 |
| パブリック インターネット サイトの長いリストを明示的に構築して維持するのではなく、Azure Firewall Web カテゴリ を使用して、送信アクセスを一括で許可または拒否します。 | この機能により、Web コンテンツが動的に分類され、コンパクトなアプリケーション ルールの作成が可能になり、運用上のオーバーヘッドが軽減されます。 |
| [アラートを出して拒否] モードでの IDPS のパフォーマンスへの影響を評価します。 詳細については、「Azure Firewall のパフォーマンス」を参照してください。 | アラートと拒否モードで IDPS を有効にして、悪意のあるネットワーク アクティビティを検出して防止します。 この機能により、パフォーマンスが低下する可能性があります。 ワークロードへの影響を理解し、それに応じて計画できるようにします。 |
| SNAT 枯渇の影響を受けやすいデプロイについては、パブリック IP アドレスを最低でも 5 つ使用して Azure Firewall のデプロイを構成するようにします。 | Azure Firewall では、各バックエンド Azure Virtual Machine Scale Sets インスタンスが使用するパブリック IP アドレスごとに 2,496 個のポートがサポートされています。 この構成により、使用可能な SNAT ポートが 5 倍になります。 既定では、Azure Firewall は、フローの宛先 IP、宛先ポート、TCP または UDP プロトコルごとに 4,992 個のポートをサポートする 2 つの Microsoft Azure Virtual Machine Scale Sets インスタンスをデプロイします。 ファイアウォールは、最大 20 インスタンスまでスケールアップします。 |
Azure のポリシー
Azure には、Azure Firewall とその依存関係に関連する広範な組み込みポリシー セットが用意されています。 前述の推奨事項の一部は、Azure Policy を使用して監査できます。 たとえば、次のことを確認できます。
ネットワーク インターフェイスにはパブリック IP を含めることはできません。 このポリシーは、パブリック IP で構成されているネットワーク インターフェイスを拒否します。 パブリック IP アドレスを使用すると、インターネット リソースから Azure リソースへの受信通信を許可したり、Azure リソースからインターネットへの送信通信を許可したりすることができます。
すべてのインターネット トラフィックはデプロイされた Azure Firewall インスタンスを介してルーティングする必要があります。 一部のサブネットが次世代のファイアウォールで保護されていないことを Azure Security Center で確認しました。 サブネットを潜在的な脅威から保護します。 Azure Firewall またはサポートされている次世代ファイアウォールを使用して、サブネットへのアクセスを制限します。
包括的なガバナンスについては、ネットワークのセキュリティに影響を与える可能性がある Azure Firewall およびその他のポリシーに関する Azure Policy 組み込み定義を確認してください。
Azure Advisor の推奨事項
Azure Advisor は、ベスト プラクティスに従って Azure デプロイメントを最適化できるようにする、個人用に設定されたクラウド コンサルタントです。 Azure Firewall の信頼性、セキュリティ、コスト効率、パフォーマンス、オペレーショナル エクセレンスの向上に役立つ推奨事項を次にいくつか示します。
次のステップ
この記事の推奨事項を示す次のリソースを参照してください。
この記事のガイダンスをワークロードに適用する方法の例として、次の参照アーキテクチャを使用します:
実装の専門知識を向上させるには、次のリソースを使用します:
その他のリソースを参照してください: