この投稿は、Yair Tor 氏 (Principal Program Manager、Azure ネットワーク) との共著です。
昨年 11 月に、セキュリティ保護付き仮想ハブで Azure Firewall ポリシーとルート管理のための Microsoft Azure Firewall Manager プレビューを導入しました。これには、サービスとしてのセキュリティの主要パートナーである、Zscaler、iboss との統合が含まれており、まもなく Check Point も加わります。これらのパートナーは、ブランチからインターネット、および仮想ネットワークからインターネットへのシナリオをサポートします。
本日は、Azure Firewall Manager プレビューが拡張され、ハブ仮想ネットワークの Azure Firewall に自動デプロイと一元的なセキュリティ ポリシー管理が含まれるようになったことをお知らせします。
Azure Firewall Manager プレビューは、クラウドベースのセキュリティ境界に対して、セキュリティ ポリシーとルートの一元管理を提供する、ネットワーク セキュリティ管理サービスです。このサービスを使用すると、企業の IT チームはネットワークおよびアプリケーション レベルの規則を一元的に定義することができ、ハブとスポークのアーキテクチャのさまざまな Azure リージョンやサブスクリプションにまたがる複数の Azure Firewall インスタンス全体のトラフィックをフィルター処理することができ、これによりトラフィックを制御し、保護することができます。さらに、これにより DevOps が強化され、派生したローカル ファイアウォール セキュリティ ポリシーを組織全体に実装することにより、機敏性を向上させることができます。
詳細については、Azure Firewall Manager のドキュメントをご覧ください。
図 1 - Azure Firewall Manager の [開始] ページ
ハブ仮想ネットワークとセキュリティ保護付き仮想ハブ
Azure Firewall Manager は、次の 2 種類のネットワーク アーキテクチャのセキュリティ管理を提供できます。
- セキュリティ保護付き仮想ハブ - Azure Virtual WAN Hub は Microsoft の管理対象リソースで、ハブとスポークのアーキテクチャを簡単に作成できます。セキュリティとルーティングのポリシーがそのようなハブに関連付けられている場合、そのハブをセキュリティ保護付き仮想ハブと呼びます。
- ハブ仮想ネットワーク - これは、お客様自身で作成して管理する、標準の Azure Virtual Network です。このようなハブにセキュリティ ポリシーが関連付けられている場合、それをハブ仮想ネットワークと呼びます。現時点では、Azure ファイアウォール ポリシーのみがサポートされています。お客様のワークロード サーバーとサービスを含んでいるスポーク仮想ネットワークをピアリングすることができます。また、スポークとピアリングされていないスタンドアロン仮想ネットワークのファイアウォールを管理することもできます。
ハブ仮想ネットワークとセキュリティ保護付き仮想ハブのどちらを使用するかは、シナリオによって異なります。
- ハブ仮想ネットワーク - ハブ仮想ネットワークは、お客様のネットワーク アーキテクチャが仮想ネットワークのみに基づいている場合、リージョンごとに複数のハブが必要な場合、またはハブとスポークをまったく使用しない場合に適しています。
- セキュリティ保護付き仮想ハブ - セキュリティ保護付き仮想ハブでは、お客様がグローバルに分散した多くのセキュリティで保護されたハブ全体でルーティングやセキュリティ ポリシーを管理する必要がある場合、それらのニーズにさらに適切に対応することができます。セキュリティ保護付き仮想ハブには、高スケールの VPN 接続、SDWAN サポート、サービスとしてのセキュリティのサードパーティとの統合が備わっています。Azure を使用すれば、オンプレミスとクラウドの両方のリソースのインターネット エッジをセキュリティで保護することができます。
次の図 2 の比較表は、情報に基づいた判断を行う際に役立ちます。
ハブ仮想ネットワーク | セキュリティ保護付き仮想ハブ | |
基になるリソース | Virtual Network | 仮想 WAN ハブ |
ハブとスポーク | 仮想ネットワーク ピアリングを使用 | ハブ仮想ネットワーク接続を使用した自動化 |
オンプレミス接続 |
最大 10 Gbps と 30 個のサイト間接続を備えた VPN Gateway、ExpressRoute |
最大 20 Gbps と 1000 個のサイト間接続を備え、よりスケーラブルな VPN Gateway、ExpressRoute |
SDWAN を使用したブランチ接続の自動化 | サポートなし | サポート対象 |
リージョンあたりのハブ | リージョンごとに複数の仮想ネットワーク |
リージョンごとに 1 つの仮想ハブ。複数の仮想 WAN で複数のハブを使用可能 |
Azure Firewall - 複数のパブリック IP アドレス | お客様側で準備 | 自動生成 (一般提供に伴い利用可能に) |
Azure Firewall Availability Zones | サポート対象 | プレビューでは利用できません (一般提供開始で利用できるようになります) |
サービスとしてのセキュリティのサードパーティ パートナーによる高度なインターネット セキュリティ |
お客様が確立し、管理している VPN をお好みのパートナー サービスに接続 |
信頼されたセキュリティ パートナーのフローとパートナー管理エクスペリエンスによる自動化 |
ハブへのトラフィックを集中させるための一元的なルート管理 |
カスタマー マネージド UDR、ロードマップ: スポークに対し UDR の既定のルート オートメーション |
BGP を使用してサポート |
Application Gateway 上の Web アプリケーション ファイアウォール | 仮想ネットワークでサポート | ロードマップ: スポークで使用可能 |
ネットワーク仮想アプライアンス | 仮想ネットワークでサポート | ロードマップ: スポークで使用可能 |
図 2 – ハブ仮想ネットワークとセキュリティ保護付き仮想ハブの比較
ファイアウォール ポリシー
ファイアウォール ポリシーは、ネットワーク アドレス変換 (NAT)、ネットワーク、アプリケーションの規則のコレクションに加え、脅威インテリジェンスの設定を含んでいる Azure リソースです。これは、セキュリティ保護付き仮想ハブおよびハブ仮想ネットワーク内の複数の Azure Firewall インスタンス全体で使用できるグローバル リソースです。新しいポリシーは、最初から作成することも、既存のポリシーから継承することもできます。継承すると、DevOps は組織の必須基本ポリシーの上にローカルのファイアウォール ポリシーを作成できます。ポリシーは、リージョンとサブスクリプション全体で機能します。
Azure Firewall Manager は、ファイアウォール ポリシーの作成と関連付けを調整します。あるいは、REST API、テンプレート、Azure PowerShell、CLI を使用して、ポリシーの作成や管理を行うこともできます。
作成したポリシーは、仮想 WAN ハブ (セキュリティ保護付き仮想ハブ) 内のファイアウォール、または仮想ネットワーク (別名ハブ仮想ネットワーク) 内のファイアウォールに関連付けることができます。
ファイアウォール ポリシーは、ファイアウォールの関連付けに基づいて課金されます。0 個または 1 個のファイアウォールに関連付けられているポリシーは無料です。複数のファイアウォールに関連付けられているポリシーは、固定料金で課金されます。
詳細については、Azure Firewall Manager の価格をご覧ください。
次の表は、新しいファイアウォール ポリシーと既存のファイアウォール規則を比較したものです。
ポリシー |
規則 |
|
含まれるもの |
NAT、ネットワーク、アプリケーション規則、脅威インテリジェンスの設定 |
NAT、ネットワーク、アプリケーション規則 |
保護の対象 |
仮想ハブと仮想ネットワーク |
仮想ネットワークのみ |
ポータルのエクスペリエンス |
Firewall Manager を使用した中央管理 |
スタンドアロンのファイアウォール エクスペリエンス |
複数のファイアウォールのサポート |
ファイアウォール ポリシーは個別のリソースで、ファイアウォール全体で使用可能 |
規則を手動でエクスポートおよびインポートするか、サードパーティの管理ソリューションを使用 |
価格 |
無料 |
|
サポートされているデプロイのメカニズム |
ポータル、REST API、テンプレート、PowerShell、CLI |
ポータル、REST API、テンプレート、PowerShell、CLI |
リリースの状態 |
プレビュー |
一般提供 |
図 3 – ファイアウォール ポリシーとファイアウォール規則の比較
次のステップ
この投稿で説明しているトピックの詳細については、次のブログ、ドキュメント、ビデオをご覧ください。
Azure Firewall 中央管理パートナー:
- AlgoSec CloudFlow
- Azure Market で Barracuda Cloud Security Gardian の一般提供開始
- Tufin SecureCloud