Azure Firewall の新しい機能 (2020 年第 2 四半期)

2020年6月30日 に投稿済み

Program Manager

お客様の組織がセキュリティを強化し、より多くのカスタマイズを行い、規則をより簡単に管理できるようになる、Azure Firewall の新しい機能をいくつか発表いたします。これらの新機能は、お客様からの上位のフィードバックに基づいて追加されました。

  • カスタム DNS のサポートがプレビューになりました。
  • DNS プロキシのサポートがプレビューになりました。
  • ネットワーク規則での FQDN フィルタリングがプレビューになりました。
  • IP グループの一般提供が開始されました。
  • AKS FQDN タグの一般提供が開始されました。
  • Azure Firewall が HIPAA 準拠になりました。 

さらに、2020 年 6 月上旬に、Azure Firewall の強制トンネリングと SQL FQDN フィルタリングの一般提供が開始されたことを発表いたしました

Azure Firewall は、クラウドネイティブのサービスとしてのファイアウォール (FWaaS) オファリングで、DevOps アプローチを使用してお客様のすべてのトラフィック フローを一元的に管理し、ログに記録することができます。このサービスでは、アプリケーションおよびネットワークの両レベルのフィルタリング規則がサポートされています。また、Microsoft 脅威インテリジェンスのフィードと統合されていて、既知の悪意のある IP アドレスおよびドメインをフィルタリングすることができます。Azure Firewall は、組み込みの自動スケーリングによって高可用性を実現します。

カスタム DNS のサポート (プレビュー中)

Azure Firewall は、2018 年 9 月に開始されて以来、Azure DNS を使用するようにハードコード化されているため、サービスによってアウトバウンド依存関係が確実に解決されます。カスタム DNS では、お客様とサービスの名前解決が分離されます。これにより、独自の DNS サーバーを使用するように Azure Firewall を構成する一方で、ファイアウォールのアウトバウンド依存関係は確実に Azure DNS で解決されるようにすることができます。Azure Firewall とファイアウォール ポリシーの DNS 設定で、単一の DNS サーバーまたは複数のサーバーを構成することができます。

Azure Firewall では Azure プライベート DNS を使用した名前解決もできますが、プライベート DNS ゾーンがファイアウォール仮想ネットワークにリンクされている場合に限ります。

DNS プロキシ (プレビュー中)

DNS プロキシが有効になっていると、アウトバウンド DNS クエリは Azure Firewall によって処理されて、カスタム DNS サーバーまたは Azure DNS に対して新しい DNS 解決クエリが開始されます。これは、ネットワーク規則で信頼性のある FQDN フィルタリングを適用するうえで重要です。Azure Firewall とファイアウォール ポリシーの DNS 設定で DNS プロキシを構成することができます。 

DNS プロキシの構成には 3 つの手順が必要です。

  1. Azure Firewall の DNS 設定で DNS プロキシを有効にします。
  2. 必要に応じてカスタム DNS サーバーを構成するか、指定された既定値を使用します。
  3. 最後に、仮想ネットワークの DNS サーバー設定で、Azure Firewall のプライベート IP アドレスをカスタム DNS サーバーとして構成する必要があります。これにより、DNS トラフィックが確実に Azure Firewall に送信されます。

  ファイアウォール1
図 1.Azure Firewall のカスタム DNS および DNS プロキシの設定。

ネットワーク規則での FQDN フィルタリング (プレビュー中)

Azure Firewall とファイアウォール ポリシーでの DNS 解決に基づいて、ネットワーク規則で完全修飾ドメイン名 (FQDN) を使用できるようになりました。規則コレクションで指定された FQDN は、ファイアウォールの DNS 設定に基づいて IP アドレスに変換されます。この機能により、どの TCP/UDP プロトコル (NTP、SSH、RDP などを含む) でも FQDN を使用してアウトバウンド トラフィックをフィルタリングできます。この機能は DNS 解決に基づいているため、保護された仮想マシンとファイアウォールの名前解決が確実に整合するよう、DNS プロキシを有効にすることが強く推奨されます。

HTTP/S および MSSQL のアプリケーション規則での FQDN フィルタリングは、アプリケーション レベルの透過プロキシに基づいています。そのため、同じ IP アドレスに解決される 2 つの FQDN を区別できます。これはネットワーク規則での FQDN フィルタリングには当てはまらないため、可能な場合は常にアプリケーション規則を使用することが推奨されます。

 ファイアウォール2
図 2. ネットワーク規則での FQDN フィルタリング。

IP グループ (一般提供開始)

IP グループは新しい最上位レベルの Azure リソースで、Azure Firewall の規則で IP アドレスをグループ化して管理できます。IP グループに名前を付け、IP アドレスを入力するかファイルをアップロードすることでグループを作成できます。IP グループを使用すると、単一のファイアウォールまたは複数のファイアウォール全体で IP アドレスを使用することにより、管理作業が容易になり、IP アドレスの管理にかかる時間を短縮することができます。IP グループは一般提供が開始されて、スタンドアロンの Azure Firewall 構成内または Azure ファイアウォール ポリシーの一部としてサポートされています。詳細については、Azure Firewall の IP グループに関するドキュメントをご覧ください。

ファイアウォール4

図 3.新しい IP グループの作成。

AKS FQDN タグ (一般提供開始)

Azure Kubernetes Service (AKS) FQDN タグを Azure Firewall のアプリケーション規則で使用して、AKS の保護のためのファイアウォール構成をシンプルにできるようになりました。Azure Kubernetes Service (AKS) では、マネージド Kubernetes クラスターが Azure で提供され、管理の大部分を Azure にオフロードすることで、Kubernetes の管理の複雑さと運用上のオーバーヘッドが軽減されます。

管理と運用上の目的から、AKS クラスター内のノードは特定のポートと FQDN にアクセスする必要があります。Azure Firewall を使用して Azure Kubernetes クラスターの保護を追加する方法の詳細なガイダンスについては、「Azure Firewall 使用して Azure Kubernetes Service (AKS) のデプロイを保護する」をご覧ください。 

ファイアウォール44
図 4. AKS FQDN タグを使用したアプリケーション規則の構成。

次のステップ

ここで説明したすべての内容の詳細については、以下の追加のリソースご覧ください。