• 4 min read

Azure Firewall Manager での仮想ネットワークのサポート

By Gopikrishna Kannan, Principal Program Manager, Azure Networking
昨年 11 月に、セキュリティ保護付き仮想ハブで Azure Firewall ポリシーとルート管理のための Microsoft Azure Firewall Manager プレビューを導入しました。

この投稿は、Yair Tor 氏 (Principal Program Manager、Azure ネットワーク) との共著です。

昨年 11 月に、セキュリティ保護付き仮想ハブで Azure Firewall ポリシーとルート管理のための Microsoft Azure Firewall Manager プレビューを導入しました。これには、サービスとしてのセキュリティの主要パートナーである、Zscaler、iboss との統合が含まれており、まもなく Check Point も加わります。これらのパートナーは、ブランチからインターネット、および仮想ネットワークからインターネットへのシナリオをサポートします。

本日は、Azure Firewall Manager プレビューが拡張され、ハブ仮想ネットワークの Azure Firewall に自動デプロイと一元的なセキュリティ ポリシー管理が含まれるようになったことをお知らせします。

Azure Firewall Manager プレビューは、クラウドベースのセキュリティ境界に対して、セキュリティ ポリシーとルートの一元管理を提供する、ネットワーク セキュリティ管理サービスです。このサービスを使用すると、企業の IT チームはネットワークおよびアプリケーション レベルの規則を一元的に定義することができ、ハブとスポークのアーキテクチャのさまざまな Azure リージョンやサブスクリプションにまたがる複数の Azure Firewall インスタンス全体のトラフィックをフィルター処理することができ、これによりトラフィックを制御し、保護することができます。さらに、これにより DevOps が強化され、派生したローカル ファイアウォール セキュリティ ポリシーを組織全体に実装することにより、機敏性を向上させることができます。

詳細については、Azure Firewall Manager のドキュメントをご覧ください。

Azure Firewall Manager の開始ページ

図 1 - Azure Firewall Manager の [開始] ページ

 

ハブ仮想ネットワークとセキュリティ保護付き仮想ハブ

Azure Firewall Manager は、次の 2 種類のネットワーク アーキテクチャのセキュリティ管理を提供できます。

  •  セキュリティ保護付き仮想ハブ - Azure Virtual WAN Hub は Microsoft の管理対象リソースで、ハブとスポークのアーキテクチャを簡単に作成できます。セキュリティとルーティングのポリシーがそのようなハブに関連付けられている場合、そのハブをセキュリティ保護付き仮想ハブと呼びます。
  •  ハブ仮想ネットワーク - これは、お客様自身で作成して管理する、標準の Azure Virtual Network です。このようなハブにセキュリティ ポリシーが関連付けられている場合、それをハブ仮想ネットワークと呼びます。現時点では、Azure ファイアウォール ポリシーのみがサポートされています。お客様のワークロード サーバーとサービスを含んでいるスポーク仮想ネットワークをピアリングすることができます。また、スポークとピアリングされていないスタンドアロン仮想ネットワークのファイアウォールを管理することもできます。

ハブ仮想ネットワークとセキュリティ保護付き仮想ハブのどちらを使用するかは、シナリオによって異なります。

  •  ハブ仮想ネットワーク - ハブ仮想ネットワークは、お客様のネットワーク アーキテクチャが仮想ネットワークのみに基づいている場合、リージョンごとに複数のハブが必要な場合、またはハブとスポークをまったく使用しない場合に適しています。
  •  セキュリティ保護付き仮想ハブ - セキュリティ保護付き仮想ハブでは、お客様がグローバルに分散した多くのセキュリティで保護されたハブ全体でルーティングやセキュリティ ポリシーを管理する必要がある場合、それらのニーズにさらに適切に対応することができます。セキュリティ保護付き仮想ハブには、高スケールの VPN 接続、SDWAN サポート、サービスとしてのセキュリティのサードパーティとの統合が備わっています。Azure を使用すれば、オンプレミスとクラウドの両方のリソースのインターネット エッジをセキュリティで保護することができます。

次の図 2 の比較表は、情報に基づいた判断を行う際に役立ちます。

 

  ハブ仮想ネットワーク セキュリティ保護付き仮想ハブ
基になるリソース Virtual Network 仮想 WAN ハブ
ハブとスポーク 仮想ネットワーク ピアリングを使用 ハブ仮想ネットワーク接続を使用した自動化
オンプレミス接続

最大 10 Gbps と 30 個のサイト間接続を備えた VPN Gateway、ExpressRoute

最大 20 Gbps と 1000 個のサイト間接続を備え、よりスケーラブルな VPN Gateway、ExpressRoute
SDWAN を使用したブランチ接続の自動化 サポートなし サポート対象
リージョンあたりのハブ リージョンごとに複数の仮想ネットワーク

リージョンごとに 1 つの仮想ハブ。複数の仮想 WAN で複数のハブを使用可能
Azure Firewall - 複数のパブリック IP アドレス お客様側で準備 自動生成 (一般提供に伴い利用可能に)
Azure Firewall Availability Zones サポート対象 プレビューでは利用できません (一般提供開始で利用できるようになります) 

サービスとしてのセキュリティのサードパーティ パートナーによる高度なインターネット セキュリティ

お客様が確立し、管理している VPN をお好みのパートナー サービスに接続

信頼されたセキュリティ パートナーのフローとパートナー管理エクスペリエンスによる自動化

ハブへのトラフィックを集中させるための一元的なルート管理

カスタマー マネージド UDR、ロードマップ: スポークに対し UDR の既定のルート オートメーション

 BGP を使用してサポート
Application Gateway 上の Web アプリケーション ファイアウォール 仮想ネットワークでサポート ロードマップ: スポークで使用可能
ネットワーク仮想アプライアンス 仮想ネットワークでサポート ロードマップ: スポークで使用可能

図 2 – ハブ仮想ネットワークとセキュリティ保護付き仮想ハブの比較

ファイアウォール ポリシー

ファイアウォール ポリシーは、ネットワーク アドレス変換 (NAT)、ネットワーク、アプリケーションの規則のコレクションに加え、脅威インテリジェンスの設定を含んでいる Azure リソースです。これは、セキュリティ保護付き仮想ハブおよびハブ仮想ネットワーク内の複数の Azure Firewall インスタンス全体で使用できるグローバル リソースです。新しいポリシーは、最初から作成することも、既存のポリシーから継承することもできます。継承すると、DevOps は組織の必須基本ポリシーの上にローカルのファイアウォール ポリシーを作成できます。ポリシーは、リージョンとサブスクリプション全体で機能します。

Azure Firewall Manager は、ファイアウォール ポリシーの作成と関連付けを調整します。あるいは、REST API、テンプレート、Azure PowerShell、CLI を使用して、ポリシーの作成や管理を行うこともできます。

作成したポリシーは、仮想 WAN ハブ (セキュリティ保護付き仮想ハブ) 内のファイアウォール、または仮想ネットワーク (別名ハブ仮想ネットワーク) 内のファイアウォールに関連付けることができます。

ファイアウォール ポリシーは、ファイアウォールの関連付けに基づいて課金されます。0 個または 1 個のファイアウォールに関連付けられているポリシーは無料です。複数のファイアウォールに関連付けられているポリシーは、固定料金で課金されます。

詳細については、Azure Firewall Manager の価格をご覧ください。

次の表は、新しいファイアウォール ポリシーと既存のファイアウォール規則を比較したものです。

 

ポリシー

規則

含まれるもの

NAT、ネットワーク、アプリケーション規則、脅威インテリジェンスの設定

NAT、ネットワーク、アプリケーション規則

保護の対象

仮想ハブと仮想ネットワーク

仮想ネットワークのみ

ポータルのエクスペリエンス

Firewall Manager を使用した中央管理

スタンドアロンのファイアウォール エクスペリエンス

複数のファイアウォールのサポート

ファイアウォール ポリシーは個別のリソースで、ファイアウォール全体で使用可能

規則を手動でエクスポートおよびインポートするか、サードパーティの管理ソリューションを使用

価格

ファイアウォールの関連付けに基づいて課金されます。価格をご確認ください

無料

サポートされているデプロイのメカニズム

ポータル、REST API、テンプレート、PowerShell、CLI

ポータル、REST API、テンプレート、PowerShell、CLI

リリースの状態

プレビュー

一般提供

図 3 – ファイアウォール ポリシーとファイアウォール規則の比較

次のステップ

この投稿で説明しているトピックの詳細については、次のブログ、ドキュメント、ビデオをご覧ください。

Azure Firewall 中央管理パートナー:

この投稿は、Yair Tor 氏 (Principal Program Manager、Azure ネットワーク) との共著です。

昨年 11 月に、セキュリティ保護付き仮想ハブで Azure Firewall ポリシーとルート管理のための Microsoft Azure Firewall Manager プレビューを導入しました。これには、サービスとしてのセキュリティの主要パートナーである、Zscaler、iboss との統合が含まれており、まもなく Check Point も加わります。これらのパートナーは、ブランチからインターネット、および仮想ネットワークからインターネットへのシナリオをサポートします。

本日は、Azure Firewall Manager プレビューが拡張され、ハブ仮想ネットワークの Azure Firewall に自動デプロイと一元的なセキュリティ ポリシー管理が含まれるようになったことをお知らせします。

Azure Firewall Manager プレビューは、クラウドベースのセキュリティ境界に対して、セキュリティ ポリシーとルートの一元管理を提供する、ネットワーク セキュリティ管理サービスです。このサービスを使用すると、企業の IT チームはネットワークおよびアプリケーション レベルの規則を一元的に定義することができ、ハブとスポークのアーキテクチャのさまざまな Azure リージョンやサブスクリプションにまたがる複数の Azure Firewall インスタンス全体のトラフィックをフィルター処理することができ、これによりトラフィックを制御し、保護することができます。さらに、これにより DevOps が強化され、派生したローカル ファイアウォール セキュリティ ポリシーを組織全体に実装することにより、機敏性を向上させることができます。

詳細については、Azure Firewall Manager のドキュメントをご覧ください。

Azure Firewall Manager の開始ページ

図 1 - Azure Firewall Manager の [開始] ページ

 

ハブ仮想ネットワークとセキュリティ保護付き仮想ハブ

Azure Firewall Manager は、次の 2 種類のネットワーク アーキテクチャのセキュリティ管理を提供できます。

ハブ仮想ネットワークとセキュリティ保護付き仮想ハブのどちらを使用するかは、シナリオによって異なります。

次の図 2 の比較表は、情報に基づいた判断を行う際に役立ちます。

 

  ハブ仮想ネットワーク セキュリティ保護付き仮想ハブ
基になるリソース Virtual Network 仮想 WAN ハブ
ハブとスポーク 仮想ネットワーク ピアリングを使用 ハブ仮想ネットワーク接続を使用した自動化
オンプレミス接続

最大 10 Gbps と 30 個のサイト間接続を備えた VPN Gateway、ExpressRoute

最大 20 Gbps と 1000 個のサイト間接続を備え、よりスケーラブルな VPN Gateway、ExpressRoute
SDWAN を使用したブランチ接続の自動化 サポートなし サポート対象
リージョンあたりのハブ リージョンごとに複数の仮想ネットワーク

リージョンごとに 1 つの仮想ハブ。複数の仮想 WAN で複数のハブを使用可能
Azure Firewall - 複数のパブリック IP アドレス お客様側で準備 自動生成 (一般提供に伴い利用可能に)
Azure Firewall Availability Zones サポート対象 プレビューでは利用できません (一般提供開始で利用できるようになります) 

サービスとしてのセキュリティのサードパーティ パートナーによる高度なインターネット セキュリティ

お客様が確立し、管理している VPN をお好みのパートナー サービスに接続

信頼されたセキュリティ パートナーのフローとパートナー管理エクスペリエンスによる自動化

ハブへのトラフィックを集中させるための一元的なルート管理

カスタマー マネージド UDR、ロードマップ: スポークに対し UDR の既定のルート オートメーション

 BGP を使用してサポート
Application Gateway 上の Web アプリケーション ファイアウォール 仮想ネットワークでサポート ロードマップ: スポークで使用可能
ネットワーク仮想アプライアンス 仮想ネットワークでサポート ロードマップ: スポークで使用可能

図 2 – ハブ仮想ネットワークとセキュリティ保護付き仮想ハブの比較

ファイアウォール ポリシー

ファイアウォール ポリシーは、ネットワーク アドレス変換 (NAT)、ネットワーク、アプリケーションの規則のコレクションに加え、脅威インテリジェンスの設定を含んでいる Azure リソースです。これは、セキュリティ保護付き仮想ハブおよびハブ仮想ネットワーク内の複数の Azure Firewall インスタンス全体で使用できるグローバル リソースです。新しいポリシーは、最初から作成することも、既存のポリシーから継承することもできます。継承すると、DevOps は組織の必須基本ポリシーの上にローカルのファイアウォール ポリシーを作成できます。ポリシーは、リージョンとサブスクリプション全体で機能します。

Azure Firewall Manager は、ファイアウォール ポリシーの作成と関連付けを調整します。あるいは、REST API、テンプレート、Azure PowerShell、CLI を使用して、ポリシーの作成や管理を行うこともできます。

作成したポリシーは、仮想 WAN ハブ (セキュリティ保護付き仮想ハブ) 内のファイアウォール、または仮想ネットワーク (別名ハブ仮想ネットワーク) 内のファイアウォールに関連付けることができます。

ファイアウォール ポリシーは、ファイアウォールの関連付けに基づいて課金されます。0 個または 1 個のファイアウォールに関連付けられているポリシーは無料です。複数のファイアウォールに関連付けられているポリシーは、固定料金で課金されます。

詳細については、Azure Firewall Manager の価格をご覧ください。

次の表は、新しいファイアウォール ポリシーと既存のファイアウォール規則を比較したものです。

 

ポリシー

規則

含まれるもの

NAT、ネットワーク、アプリケーション規則、脅威インテリジェンスの設定

NAT、ネットワーク、アプリケーション規則

保護の対象

仮想ハブと仮想ネットワーク

仮想ネットワークのみ

ポータルのエクスペリエンス

Firewall Manager を使用した中央管理

スタンドアロンのファイアウォール エクスペリエンス

複数のファイアウォールのサポート

ファイアウォール ポリシーは個別のリソースで、ファイアウォール全体で使用可能

規則を手動でエクスポートおよびインポートするか、サードパーティの管理ソリューションを使用

価格

ファイアウォールの関連付けに基づいて課金されます。価格をご確認ください

無料

サポートされているデプロイのメカニズム

ポータル、REST API、テンプレート、PowerShell、CLI

ポータル、REST API、テンプレート、PowerShell、CLI

リリースの状態

プレビュー

一般提供

図 3 – ファイアウォール ポリシーとファイアウォール規則の比較

次のステップ

この投稿で説明しているトピックの詳細については、次のブログ、ドキュメント、ビデオをご覧ください。

Azure Firewall 中央管理パートナー: