この記事は、Azure Networking チーム主任プログラム マネージャーを務める Anitha Adusumilli と共同で執筆しました。
今回は、Azure Firewall の主要な機能と、最新の一般提供 (GA) とプレビューのリリースにおける重要な更新についてご紹介します。
- 間もなく一般提供となる複数のパブリック IP サポート
- Availability Zones の一般提供
- SQL FQDN フィルタリングのプレビュー
- Azure HDInsight (HDI) FQDN タグのプレビュー
- パートナー ソリューションを利用した一元管理
Azure Firewall はクラウド ネイティブの「サービスとしてのファイアウォール」で、DevOps のアプローチですべてのトラフィック フローを一元管理、記録できるようにします。アプリケーションとネットワークの各レベルでのフィルタリング ルールをサポートしており、Microsoft 脅威インテリジェンス フィードとの統合により、既知の悪意のある IP アドレスとドメインをフィルタリングできます。Azure Firewall は組み込みの自動スケーリング機能を備えており、可用性に優れています。
間もなく一般提供となる複数のパブリック IP サポート
ファイアウォールに最大 100 個のパブリック IP アドレスを関連付けられるようになります。これにより、以下のシナリオが可能になります。
- DNAT - 複数の標準ポート インスタンスをバックエンド サーバーに変換できます。たとえば、パブリック IP アドレスを 2 つ持っている場合、両方の IP アドレスの TCP ポート 3389 (RDP) を変換できます。
- SNAT - 追加のポートを送信 SNAT 接続用に利用でき、SNAT ポートの枯渇を防ぐことができます。
図 1 – Azure Firewall のパブリック IP の構成ページで複数のパブリック IP を設定している例
現在 Azure Firewall は、接続に使用する送信元パブリック IP アドレスをランダムに選択します。ネットワークにダウンストリーム フィルターを設定している場合は、ファイアウォールに関連付けられているすべてのパブリック IP アドレスを許可する必要があります。明示的な SNAT 構成は、ロードマップに記載されています。詳細については、「Azure PowerShell を使用して複数のパブリック IP アドレスを使用する Azure Firewall をデプロイする」をご覧ください。
複数のパブリック IP のサポートは、2019 年 7 月 12 日にすべてのパブリック リージョンで一般提供を開始します。現在のところ、REST API、テンプレート、PowerShell、Azure CLI から利用できます。Azure Portal では間もなくサポートされる予定です。
Availability Zones の一般提供
Azure Firewall は、デプロイ中に複数の可用性ゾーンにまたがるよう構成することで、可用性を高めることができます。Availability Zones を利用すると、稼働率は 99.99% まで向上します。詳細についてはs、Azure Firewall のサービス レベル アグリーメント (SLA) をご確認ください。99.99% の稼働率を保証する SLA は、2 つ以上の可用性ゾーンを選択している場合に適用されます。
また、距離の近さを理由に Azure Firewall を特定のゾーンに関連付けて、標準の 99.99% の SLA を適用することもできます。
可用性ゾーンにデプロイしたファイアウォールには追加コストは不要です。ただし、可用性ゾーンに関連する送受信データの転送については追加コストがかかります。詳しくは、帯域幅の料金詳細をご覧ください。
図 2 – 99.99% の SLA が適用される Azure Firewall の作成
SQL FQDN フィルタリングのプレビュー
Azure Firewall のアプリケーション ルールに SQL FQDN (英語) を構成できるようになりました。.これにより、VNet からのアクセスを、指定された SQL Server インスタンスのみに制限できます。この機能はすべての Azure リージョンでプレビューとして利用できます。
これを使用すると、仮想ネットワーク (VNet) から Azure SQL Database、Azure SQL Data Warehouse、Azure SQL Database Managed Instance、または VNet 内にデプロイしている SQL Server IaaS インスタンスへのトラフィックをフィルタリングできます。
プレビュー期間中はプロキシ モードでのみ利用でき、ポート 1433 のみサポートされます。SQL Server IaaS へのトラフィックに既定以外のポートを使っている場合、Firewall のアプリケーション ルールでそのポートを指定できます。Azure の既定のクライアント接続であるリダイレクト モードで SQL 関連サービスを利用している場合は、Azure Firewall ネットワーク ルールの一部として SQL サービス タグを使用してアクセスをフィルタリングできます。
SQL FQDN フィルタリングは、現在 REST API、テンプレート、Azure CLI から利用できます。Azure Portal では間もなくサポートされる予定です。
図 3 – SQL FQDN での Azure Firewall アプリケーション ルールの作成
Azure HDInsight (HDI) FQDN タグのプレビュー
先日、Azure HDInsight (HDI) 用 FQDN タグが利用できるようになりました。このタグはすべての Azure パブリック リージョンでパブリック プレビューとして提供されています。
VNet にデプロイする HDI などの Azure サービスの送信インフラストラクチャは、他の Azure サービス (Azure Storage など) に依存しています。データが抜き取られるリスクを防ぐためには、Azure Firewall を使用して、HDI クラスターの送信アクセスを制限し、データのみにアクセスを許可することをお勧めします。 また、HDI インフラストラクチャ トラフィックへのアクセスも許可する必要があります。
Azure Firewall の FQDN タグを使用すると、HDI などのサービスのインフラストラクチャの依存関係 (たとえば、HDI で使用される Azure Storage アカウントの FQDN) を事前に構成できます。Azure Firewall でネットワーク レベルのサービス タグを使用して HDI の送信インフラストラクチャの依存関係を許可するのではなく、FQDN タグを使用することにより、きめ細かい制御で HDI の送信トラフィックを制限できるようになります。
図 4 – HDI FQDN タグで Azure Firewall アプリケーション ルールを作成している例
パートナー ソリューションを利用した一元管理
サード パーティ製セキュリティ ポリシー管理ツールで Azure Firewall のパブリック REST API を使用すると、Azure Firewall、ネットワーク セキュリティ グループ (NSG)、ネットワーク仮想アプライアンス (NVA) の一元的な管理エクスペリエンスを利用できます。
- Azure Marketplace で一般提供 (英語) が開始された Barracuda Cloud Security Guardian (英語) では、Barracuda の Cloud Generation WAF/Firewall、またはマイクロソフトの Azure Firewall を自動的にデプロイ、構成できます。
- Azure Firewall と NSG に対応した AlgoSec CloudFlow (英語) の一元管理機能のパブリック プレビューが開始されました。詳細はこちらのビデオ (英語) をご覧ください。
- パブリック プレビューとなった Tufin Orca (英語) は、Kubernetes と Azure Firewall 全体の統合的なセキュリティ ポリシーの検出、開発、適用を自動化します。詳細はこちらのビデオ (英語) をご覧ください。
次のステップ
ここまでの説明の詳細については、以下のブログ、ドキュメント、ビデオをご覧ください。
Azure Firewall の一元管理パートナー