ナビゲーションをスキップする

Azure Firewall Manager を使用したネットワーク セキュリティ管理の簡素化と一元化

2022年6月15日 に投稿済み

Program Manager II, Azure Networking

Microsoft Azure Firewall Manager における Azure Web Application Firewall (WAF) ポリシーおよび Azure DDoS Protection プランの管理の一般提供が開始されました。

ゼロ トラスト アプローチによるクラウド デプロイのセキュリティ確保の必要性が高まる中、ネットワーク セキュリティのポリシーとリソースを一元的に管理できることが、セキュリティ対策として重要になっています。

本日、Azure Web Application Firewall (WAF) を一元管理し、ネットワーク内およびサブスクリプション間で、アプリケーション デリバリー プラットフォーム、Azure Front DoorAzure Application Gateway に Layer 7 のアプリケーション セキュリティを提供することができるようになりました。また、Layer 3 および Layer 4 の攻撃からお使いの仮想ネットワークを保護するための DDoS Protection Standard を設定することもできます。

Azure Firewall Manager は、ネットワーク セキュリティ ポリシーとルートを集中管理するサービスで、管理者や組織は、ネットワークやクラウド プラットフォームを大規模に、そしてすべて 1 か所で管理し、保護することができます。 

Azure Web Application Firewall は、クラウドネイティブな Web アプリケーション ファイアウォール (WAF) サービスで、SQL インジェクションなどの一般的なハッキング手法やクロスサイト スクリプティングなどのセキュリティ脆弱性から、Web アプリケーションを強力に保護します。

Azure DDoS Protection Standard には、分散型サービス妨害 (DDoS) 攻撃から保護するための、強化された DDoS 軽減機能が備わっています。これにより、仮想ネットワーク内のすべてのパブリック IP アドレスが保護されるように自動的に調整されます。保護は新規または既存の仮想ネットワークで簡単に有効にでき、アプリケーションやリソースの変更は必要ありません。 

WAF ポリシーと DDoS 保護の両方をネットワークで活用することで、必要不可欠なすべてのワークロードやアプリケーションが多層的に保護されます。

WAF ポリシーと DDoS 保護プランの管理は、Azure Firewall Manager の Azure Firewall 管理への追加機能です。

WAF ポリシーを使用したアプリケーション デリバリー プラットフォームの一元的な保護 

Azure Firewall Manager では、WAF ポリシーを関連付けることによって、Azure Front Door または Application Gateway のデプロイを大規模に管理および保護できるようになりました。これにより、Azure Firewall のデプロイや DDoS Protection プランとともに、すべての重要なデプロイを一元的に表示することができます。

WAF ポリシーを Azure Front Door に関連付ける

WAF 構成から WAF ポリシーへのアップグレード

また、このプラットフォームでは、Application Gateway の WAF 設定から WAF ポリシーへのアップグレードがサポートされており、管理者はサービスを選択し、[WAF 構成からのアップグレード] を選択することでこれを行うことができます。これにより、WAF ポリシーに移行するためのシームレスなプロセスが実現し、WAF ポリシー設定、マネージド ルールセット、除外、無効になっているルールグループがサポートされます。

なお、これまで Application Gateway で作成してされていた WAF の設定は、すべて WAF ポリシーで行うことができます。

WAF 構成から WAF ポリシーへのアップグレード

仮想ネットワークの DDoS Protection プランを管理する

Azure Firewall Manager にリストされた仮想ネットワーク上で、サブスクリプションとリージョンをまたいで DDoS Protection Plan Standard を有効にすることができます。これにより、どの仮想ネットワークに Azure Firewall または DDoS 保護 (またはその両方) があるかを 1 か所で確認できます。

図 3: Azure Firewall Manager で仮想ネットワークの DDoS Protection Standard を有効にする

Azure Firewall Manager での WAF ポリシーおよび DDoS Protection プランの表示と作成

Azure Firewall Manager エクスペリエンスから、Azure Firewall ポリシーと横に並べて、WAF ポリシーと DDoS Protection Plan を表示および作成することができます。

また、既存の WAF ポリシーをインポートして新しい WAF ポリシーを作成できるため、同様の設定を維持したい場合に、ゼロから始める必要はありません。

図 4: Azure Firewall Manager での Azure Web Application Firewall のポリシーの管理のビュー

図 5: Azure Firewall Manager での DDoS Protection プランの表示

全体的なネットワーク セキュリティ態勢を監視する

Azure Firewall Manager では、お客様のネットワーク全体のセキュリティ態勢を監視できます。ここでは、どの仮想ネットワークと仮想ハブがAzure Firewall、サードパーティのセキュリティ プロバイダー、または DDoS Protection Standard によって保護されているかを簡単に確認できます。この概要は、お客様の Azure 環境内、サブスクリプション間、またはテナント全体のセキュリティ ギャップを特定し、優先順位をつけるのに役立ちます。

図 6: Azure Firewall Manager の [監視] ページ

近日中に、Application Gateway と Azure Front Door の監視も表示できるようになり、ネットワーク セキュリティの全体像が把握できるようになります。

さらに学ぶ

Azure Firewall Manager のこれらの機能の詳細については、Web Application Firewall ポリシーの管理のチュートリアル、WAF on Application Gateway のドキュメント、および WAF on Azure Front Door のドキュメントをご覧ください。DDoS の情報については、Azure Firewall Manager を使用した Azure DDoS Protection プランの設定チュートリアルおよび Azure DDoS Protection ドキュメントをご覧ください。

Azure Firewall Manager の詳細については、Azure Firewall Manager のホームページをご覧ください。