Azure Firewall Manager の一般提供を開始

2020年7月1日 に投稿済み

Senior Program Manager

Azure Firewall Manager の一般提供が開始されました。Azure ファイアウォール ポリシー、Virtual WAN ハブ (セキュリティ保護付き仮想ハブ) での Azure Firewall、ハブ仮想ネットワークが含まれています。さらに、スタンドアロンの Azure Firewall 構成の機能に合わせて、Firewall Manager とファイアウォール ポリシーにいくつかの新機能が導入されています。

今回のリリースに含まれている主な機能:

  • ファイアウォール ポリシーにおける脅威インテリジェンスベースのフィルタリングの許可リストが一般提供になりました。
  • セキュリティ保護付き仮想ハブでの Azure Firewall における複数のパブリック IP アドレスのサポートが一般提供になりました。
  • ハブ仮想ネットワークの強制トンネリングのサポートが一般提供になりました。
  • Azure Firewall を East-West トラフィック (プライベート) 用に、選択したサードパーティの SECaaS (サービスとしてのセキュリティ) パートナーを North-South トラフィック (インターネット宛て) 用に使用して、セキュリティ保護付き仮想ハブを構成できます。
  • サードパーティの SECaaS パートナーの統合が、すべての Azure パブリック クラウド リージョンで一般提供になりました。
  • Zscaler の統合が 2020 年 7 月 3 日に一般提供になる予定です。Check Point はサポート対象の SECaaS パートナーであり、2020 年 7 月 3 日にプレビューになる予定です。iboss の統合が 2020 年 7 月 31 日に一般提供になる予定です。
  • ファイアウォール ポリシーを使用したネットワーク規則におけるドメイン ネーム システム (DNS) プロキシ、カスタム DNS、完全修飾ドメイン名 (FQDN) フィルタリングのサポートがプレビューになりました。

 

Azure Firewall Manager パートナーの Zscaler、Check Point、iboss。

ファイアウォール ポリシーの一般提供を開始

ファイアウォール ポリシーは、ネットワーク アドレス変換 (NAT)、ネットワーク、アプリケーションの規則のコレクションに加え、脅威インテリジェンスと DNS の設定が含まれている Azure リソースです。これは、セキュリティ保護付き仮想ハブおよびハブ仮想ネットワーク内の複数の Azure Firewall インスタンス全体で使用できるグローバル リソースです。ファイアウォール ポリシーは、リージョンやサブスクリプションにまたがって機能します。

ファイアウォール ポリシーを作成するのに Firewall Manager は必要ありません。ファイアウォール ポリシーを作成および管理するには、REST APIPowerShell、またはコマンドライン インターフェイス (CLI) を使用するなど、さまざまな方法があります。

ファイアウォール ポリシーを作成したら、Firewall Manager を使用するか、REST APIPowerShell、または CLI を使用して、1 つ以上のファイアウォールにポリシーを関連付けることができます。  規則とポリシーの詳細な比較については、ポリシーの概要が記載されたドキュメントをご覧ください。

スタンドアロンのファイアウォール規則をファイアウォール ポリシーに移行する

既存の Azure Firewall から規則を移行して、ファイアウォール ポリシーを作成することもできます。スクリプトを使用してファイアウォール規則をファイアウォール ポリシーに移行することもできますし、Azure portal で Firewall Manager を使用することもできます。

既存の Azure Firewall から規則をインポートする例。

既存の Azure Firewall から規則をインポート。

ファイアウォール ポリシーの価格

ファイアウォール ポリシー リソースを作成するだけでは、料金は発生しません。また、1 つの Azure ファイアウォールのみに関連付けられている場合、ファイアウォール ポリシーに対して請求はされません。作成できるポリシーの数に制限はありません。

ファイアウォール ポリシーの価格は、リージョンあたりのファイアウォール ポリシーごとに固定されています。リージョン内では、5 個のファイアウォールまたは 50 個のファイアウォールを管理するファイアウォール ポリシーの価格は同じです。次の例では、4 つのファイアウォール ポリシーを使用して、10 個の別個の Azure ファイアウォールを管理します。

  • ポリシー 1: cac2020region1policy - 4 つのリージョンにわたる 6 つのファイアウォールに関連付けられています。請求は、ファイアウォールごとではなく、リージョンごとに行われます。
  • ポリシー 2: cac2020region2policy - 3 つのリージョンにわたる 3 つのファイアウォールに関連付けられていて、リージョンあたりのファイアウォールの数に関係なく、3 つのリージョンについて請求されます。
  • ポリシー 3: cac2020region3policy - ポリシーが複数のファイアウォールに関連付けられていないため、請求されません。
  • ポリシー 4: cacbasepolicy - 3 つのすべてのポリシーによって継承される中心的ポリシーです。このポリシーは、5 つのリージョンについて請求されます。繰り返しになりますが、価格はファイアウォールごとの請求方法と比べて安価になります。

ファイアウォール ポリシーの請求例。

ファイアウォール ポリシーの請求例。

脅威インテリジェンスの許可リスト、DNS プロキシ、カスタム DNS を構成する

今回の更新によって、カスタム DNS および DNS プロキシの設定 (プレビュー) や脅威インテリジェンスの許可リストを含む追加の構成がファイアウォール ポリシーでサポートされます。SNAT のプライベート IP アドレス範囲の構成はまだサポートされていませんが、ロードマップに含まれています。

通常、ファイアウォール ポリシーは複数のファイアウォール間で共有できますが、NAT 規則はファイアウォールに固有で、共有することはできません。しかし、複数のファイアウォール間で共有するために NAT 規則なしで親ポリシーを作成し、必要な NAT 規則を追加するために特定のファイアウォールでローカルの派生ポリシーを作成することはできます。ファイアウォール ポリシーについての詳細をご覧ください。

ファイアウォール ポリシーで IP グループのサポートを開始

IP グループは新しい最上位レベルの Azure リソースで、Azure Firewall の規則で IP アドレスをグループ化して管理できます。IP グループのサポートについては、Azure Firewall に関する最近のブログで詳しく説明されています。

Azure Firewall とサードパーティの SECaaS パートナーを使用してセキュリティ保護付き仮想ハブを構成する

Azure Firewall をプライベート トラフィック (仮想ネットワークから仮想ネットワーク/ブランチから仮想ネットワーク) のフィルタリング用に、選択したセキュリティ パートナーをインターネット (仮想ネットワークからインターネット/ブランチからインターネット) トラフィックのフィルタリング用に使用して、仮想ハブを構成できるようになりました。

Firewall Manager でセキュリティ パートナー プロバイダーを利用すると、使い慣れた、最も優れたサードパーティの SECaaS オファリングを使用して、お客様のユーザーのインターネット アクセスを保護することができます。クイック構成を使用すると、サポートされているセキュリティ パートナーを使用してハブをセキュリティで保護し、仮想ネットワーク (VNet) またはリージョン内のブランチの場所からのインターネット トラフィックをルーティングおよびフィルタリングできます。これは、ユーザー定義ルート (UDR) を設定したり管理したりすることなく、自動ルート管理を使用して行われます。

セキュリティ保護付き仮想ハブは、Firewall Manager の [セキュリティで保護された仮想ハブの新規作成] ワークフローを使用して作成できます。次のスクリーンショットでは、2 つのセキュリティ プロバイダーで構成された新しいセキュリティ保護付き仮想ハブを示しています。

2 つのセキュリティ プロバイダーで構成された新しいセキュリティ保護付き仮想ハブ。

2 つのセキュリティ プロバイダーで構成された新しいセキュリティ保護付き仮想ハブを作成。

接続をセキュリティで保護する

セキュリティで保護されたハブを作成したら、ハブのセキュリティ構成を更新し、ハブでのインターネットおよびプライベート トラフィックのルーティング方法を明示的に構成する必要があります。プライベート トラフィックについては、RFC1918 の範囲内の場合はプレフィックスを指定する必要はありません。組織において仮想ネットワークとブランチでパブリック IP アドレスが使用されている場合は、それらの IP プレフィックスを明示的に追加する必要があります。

この作業をシンプルにするために、個々のサブネットを指定する代わりに、集約プレフィックスを指定できるようになりました。さらに、サードパーティのセキュリティ プロバイダーを使用したインターネット セキュリティについては、パートナー ポータルを使用して構成を完了させる必要があります。詳細については、セキュリティ パートナー プロバイダーのページをご覧ください。

インターネット トラフィックのフィルタリング用にサードパーティの SECaaS を選択する方法の例。

インターネット トラフィックのフィルタリング用にサードパーティの SECaaS を選択。

セキュリティ保護付き仮想ハブの価格

セキュリティ保護付き仮想ハブは、Firewall Manager によって構成された、セキュリティおよびルーティング ポリシーが関連付けられた Azure Virtual WAN ハブです。セキュリティ保護付き仮想ハブの価格は、構成されているセキュリティ プロバイダーによって異なります。

セキュリティ保護付き仮想ハブの価格オプション。

詳しくは、Firewall Manager の価格ページをご覧ください。

次のステップ

これらの発表内容の詳細については、以下のリソースをご覧ください。