この投稿は、Suren Jamiyanaa 氏 (Program Manager、Azure ネットワーク) との共著です

Microsoft では引き続き、当社のサービスに関する導入事例、関心事、ポジティブなご意見、およびお客様が見つけられたユース ケースをお待ちしております。本日は、お客様から最も多く寄せられるフィードバックの内容に基づいて、新しい Azure Firewall の機能をいくつかご紹介します。

• IICSA Labs Corporate Firewall 認定。
• 強制トンネリング サポートのプレビュー開始。
• IP グループのプレビュー開始。
• お客様が構成した SNAT プライベート IP アドレス範囲の一般提供開始。
• 厳格なポート制限の緩和の一般提供開始。

Azure Firewall は、クラウド ネイティブのサービスとしてのファイアウォール (FWaaS) オファリングで、DevOps アプローチを使用してお客様のすべてのトラフィック フローを一元的に管理し、ログに記録することができます。このサービスでは、アプリケーションおよびネットワークのレベルの両方のフィルタリング規則がサポートされています。また Microsoft 脅威インテリジェンス フィードと統合されており、既知の悪意のある IP アドレスおよびドメインをフィルター処理することができます。Azure Firewall は、組み込みの自動スケーリングによって高可用性を実現します。

ICSA Labs Corporate Firewall 認定

ICSA Labs は、セキュリティと正常性に関する IT 製品、およびネットワークに接続されたデバイスについて、第三者テストと認定を行う主要なベンダーです。世界有数のテクノロジ ベンダーの多くを対象として、製品のコンプライアンス、信頼性、パフォーマンスを測定しています。

Azure Firewall は、ICSA Labs Corporate Firewall 認定を達成した、最初のクラウド ファイアウォール サービスです。Azure Firewall 認定レポートについては、こちらの情報をご覧ください。詳細については、ICSA Labs Firewall 認定プログラムのページをご覧ください。

図 1 - Azure Firewall が ICSA Labs 認定を受けました。

強制トンネリング サポートのプレビュー開始

強制トンネリングを使用すると、Azure Firewall からインターネットに向かうすべてのトラフィックを、お客様のオンプレミスのファイアウォールまたは近くのネットワーク仮想アプライアンス (NVA) にリダイレクトして、追加の検査を行うことができます。既定では、送信 Azure のすべての依存関係を確実に満たすために、Azure Firewall での強制トンネリングは許可されていません。

強制トンネリングをサポートするため、サービス管理トラフィックは顧客のトラフィックから分離されています。AzureFirewallManagementSubnet という名前の追加の専用サブネットと、それ自体に関連付けられているパブリック IP アドレスが必要です。このサブネットで許可される唯一のルートは、インターネットへの既定のルートであり、BGP ルート伝達は無効にする必要があります。

この構成では、AzureFirewallSubnet にオンプレミスのファイアウォールまたは NVA へのルートを含めることができるようになり、インターネットに渡される前にトラフィックを処理することができます。BGP ルート伝達がこのサブネットで有効になっている場合は、BGP 経由でこれらのルートを AzureFirewallSubnet に発行することもできます。詳細については、Azure Firewall 強制トンネリングに関するドキュメントをご覧ください。

図 2 - 強制トンネリングが有効になっているファイアウォールを作成する。

IP グループのプレビュー開始

IP グループは新しい最上位レベルの Azure リソースで、Azure Firewall の規則で IP アドレスをグループ化して管理できます。IP グループに名前を付け、IP アドレスを入力するかファイルをアップロードすることでグループを作成できます。IP グループを使用すると、単一のファイアウォールまたは複数のファイアウォール全体で IP アドレスを使用することにより、管理作業が容易になり、IP アドレスの管理にかかる時間を短縮することができます。詳細については、Azure Firewall の IP グループに関するドキュメントをご覧ください。

図 3 - Azure Firewall アプリケーションの規則で IP グループを利用する。

お客様が構成した SNAT プライベート IP アドレス範囲

Azure ファイアウォールは、パブリック IP アドレス向けのすべての送信トラフィックに対して、自動 Source Network Address Translation (SNAT) を提供します。宛先 IP アドレスが IANA RFC 1918 に準拠しているプライベート IP アドレス範囲である場合、Azure Firewall は SNAT を行いません。お客様の組織のプライベート ネットワークでパブリック IP アドレス範囲を使用している場合、またはオンプレミスのファイアウォール経由で Azure Firewall インターネット トラフィックを強制的にトンネルする場合は、追加のカスタム IP アドレス範囲を SNAT しないように Azure Firewall を構成できます。詳細については、Azure Firewall SNAT プライベート IP アドレス範囲をご覧ください。

図 4 - カスタム プライベート IP アドレス範囲を使用している Azure Firewall。

厳格なポート制限の緩和の一般提供開始

初期のプレビュー リリース以降、Azure Firewall には、64,000 より上の送信元または送信先ポートを含めることができないというネットワークとアプリケーションの規則の制限がありました。この既定の動作では、RPC ベースのシナリオがブロックされていました (具体的には Active Directory 同期)。この新しい更新プログラムでは、お客様はネットワークとアプリケーションの規則で 1 から 65535 の範囲の任意のポートを使用できます。

次のステップ

上記で説明した内容の詳細情報については、次のブログ、ドキュメント、ビデオをご覧ください。

• Azure Firewall のドキュメント。
• Azure Firewall 2019 年 7 月のブログ: Azure Firewall の新機能。
• Azure Firewall Manager のドキュメント。
• Azure Firewall Manager のブログ: Azure Firewall Manager での仮想ネットワークのサポート。

Azure Firewall 中央管理パートナー:

• AlgoSec CloudFlow。
• Azure Market で Barracuda Cloud Security Gardian の一般提供開始。
• Tufin SecureCloud。