Azure Firewall、Azure Firewall Manager、ファイアウォール ポリシーの計画、実装、管理

  • 7 分

Azure Firewall は、Azure で実行されているクラウド ワークロードに最高レベルの脅威保護を提供する、クラウドネイティブでインテリジェントなネットワーク ファイアウォールのセキュリティ サービスです。 組み込みの高可用性とクラウドの無制限のスケーラビリティを備えた、完全にステートフルなサービスとしてのファイアウォールです。 これは、東西と北南の両方のトラフィック検査を提供します。

Azure Firewall は、Standard、Premium、および Basic の 3 つの SKU で提供されています。

Azure Firewall Standard

Azure Firewall Standard では、レイヤー 3 からレイヤー 7 (L3 - L7) のフィルター処理を備えており、Microsoft サイバー セキュリティから脅威インテリジェンス フィードが直接提供されます。 脅威インテリジェンス ベースのフィルタリングにより、既知の悪意のある IP アドレスやドメインとの間のトラフィックを警告したり拒否したりすることができます。これらは、新たに出現した攻撃から保護するためにリアルタイムで更新されます。

Azure Firewall Standard の例を示す図。

Azure Firewall Premium

Azure Firewall Premium には、特定のパターンを探して攻撃を迅速に検出できるようにする、シグネチャ ベースの侵入検出および防御システム (IDPS) などの高度な機能が備わっています。 そうしたパターンには、ネットワーク トラフィックのバイト シーケンスや、マルウェアで使用される既知の悪意のある命令シーケンスなどがあります。 リアルタイムに更新されている 50 以上のカテゴリに分類された 67,000 以上のシグネチャにより、新たに出現した悪用方法から保護します。 悪用のカテゴリには、マルウェア、フィッシング、コインのマイニング、およびトロイの木馬攻撃が含まれます。

Azure Firewall Premium の例を示す図。

Azure Firewall Basic

Azure Firewall Basic は、小規模および中規模 (SMB) の顧客が Azure クラウド環境をセキュリティで保護することを目的としています。 これは、SMB 顧客が必要とする重要な保護機能を手頃な価格で提供します。

Azure Firewall Basic は Firewall Standard に似ていますが、主に次の制限があります。

  • 脅威インテリジェンスの "アラート モード" のみをサポートします
  • 2 つの仮想マシン バックエンド インスタンスでサービスを実行するスケール ユニットを修正しました
  • 推定スループットが 250 Mbps の環境に推奨されます

Azure Firewall Basic の例を示す図。

Azureファイヤウォール マネージャー

Azure Firewall Manager は、クラウドベースのセキュリティ境界に対して、集約型セキュリティ ポリシーとルート管理を提供するセキュリティ管理サービスです。

Firewall Manager は、次の 2 種類のネットワーク アーキテクチャのセキュリティ管理機能を備えています。

  • セキュリティ保護付き仮想ハブ
    Azure Virtual WAN ハブは、ハブとスポークのアーキテクチャを簡単に作成できる Microsoft の管理対象リソースです。 セキュリティおよびルーティングのポリシーがそのようなハブに関連付けられている場合は、セキュリティ保護付き仮想ハブと呼ばれます。
  • ハブ仮想ネットワーク
    自分で作成して管理できる標準の Azure 仮想ネットワークです。 そのようなハブにセキュリティ ポリシーが関連付けられている場合は、"ハブ仮想ネットワーク" と呼ばれます。 現時点では、Azure Firewall ポリシーのみがサポートされています。 ワークロード サーバーが含まれるスポーク仮想ネットワークとサービスをピアリングすることができます。 どのスポークにもピアリングされていないスタンドアロンの仮想ネットワークでファイアウォールを管理することもできます。

Azure Firewall Manager の例を示す図。

Azure Firewall Manager の機能

Azure Firewall Manager には、次の機能が用意されています。

一元的な Azure Firewall のデプロイと構成

異なる Azure リージョンとサブスクリプションにまたがる複数の Azure Firewall インスタンスを一元的にデプロイし、構成することができます。

階層型ポリシー (グローバルおよびローカル)

Azure Firewall Manager を使用して、複数のセキュリティで保護された仮想ハブにまたがる Azure Firewall ポリシーを一元的に管理できます。 中央の IT チームは、グローバル ファイアウォール ポリシーを作成し、チームを越えて組織全体のファイアウォール ポリシーを適用することができます。 ローカルで作成されたファイアウォール ポリシーを使用すると、DevOps のセルフサービス モデルで機敏性を向上させることができます。

セキュリティを強化するためのサードパーティのサービスとしてのセキュリティとの統合

Azure Firewall だけでなく、サードパーティのサービスとしてのセキュリティ (SECaaS) プロバイダーを統合して、VNet とブランチのインターネット接続に追加のネットワーク保護を提供することもできます。

この機能は、セキュリティ保護付き仮想ハブのデプロイでのみ利用できます。

  • VNet からインターネット (V2I) へのトラフィックのフィルター処理

    • 任意のサードパーティ セキュリティ プロバイダーを使用して、送信仮想ネットワーク トラフィックをフィルター処理します。
    • Azure 上で実行されているクラウド ワークロードに対して、高度なユーザー対応のインターネット保護を利用します。

  • ブランチからインターネット (B2I) へのトラフィックのフィルター Azure の接続とグローバル分散を利用して、ブランチからインターネットへのシナリオにサードパーティのフィルター処理を簡単に追加できます。

一元化されたルート管理

スポーク仮想ネットワークに手動でユーザー定義ルート (UDR) を設定しなくても、トラフィックをフィルター処理とログのためにセキュリティ保護されたハブに簡単にルーティングできます。

この機能は、セキュリティ保護付き仮想ハブのデプロイでのみ利用できます。

ブランチからインターネット (B2I) へのトラフィックのフィルター処理にはサードパーティ プロバイダーを使用し、ブランチから VNet (B2V)、VNet から VNet (V2V)、および VNet からインターネット (V2I) には Azure Firewall を同時に使用できます。

DDoS 保護プラン

Azure Firewall Manager では、仮想ネットワークを DDoS 保護プランに関連付けることができます。 詳細については、「Azure Firewall Manager を使用した Azure DDoS Protection プランの構成」を参照してください。

Web Application Firewall ポリシーを管理する

Azure Front Door や Azure Application Gateway などのアプリケーション配信プラットフォーム用に Web Application Firewall (WAF) ポリシーを一元的に作成し、関連付けることができます。 詳細については、「Web Application Firewall ポリシーを管理する」を参照してください。

利用可能なリージョン

Azure Firewall ポリシーは、複数のリージョンで使用できます。 たとえば、米国西部でポリシーを作成し、米国東部で使用することができます。