Azure仮想ネットワークに高度な保護機能を提供する「Azure Firewall Premium」とは:Microsoft Azure最新機能フォローアップ(150)
Azure仮想ネットワークにステートフルなファイアウォール機能を提供する「Azure Firewall」の「Premium」プランの一般提供が開始されました。従来の「Standard」プランの全機能に加え、複数の高度なセキュリティ機能で運用環境のネットワークを既知の攻撃手法や悪意ある通信トラフィックから保護することができます。
Azure Firewallにプレミアムな付加価値を提供
「Azure Firewall」は、Azure仮想ネットワーク(VNet)上のリソースを保護する、マネージドネットワークセキュリティサービスです。
- Azure Firewall(Microsoft Azure)
Azure Firewallは、Azure仮想ネットワークとインターネットとの境界に位置し、フィルタリング規則によるIPアドレスやFQDN(Fully Qualified Domain Name、完全修飾ドメイン名)、アプリケーションプロトコルの通信トラフィックを許可/禁止するステートフルなファイアウォールとして機能します。
その他にも、「Webカテゴリ」機能による許可/禁止、Microsoft脅威インテリジェンス(Microsoft Threat Intelligence)が提供する既知の悪意あるIPアドレスとFQDNとの通信の遮断、送信/受信NAT(Network Address Translation、ネットワークアドレス変換)のサポート、強制トンネリング、「Azure Monitor」のログの記録と監視、ロードバランサー不要の組み込みの可用性機能などを提供します。
また、Azure Firewallは、「Payment Card Industry(PCI)」「Service Organization Controls(SOC)」「国際標準化機構(ISO)」「ICSA Labs」に準拠しています。
Azure Firewallは「Standard」と「Premium」の2つのプランが用意されています。Premiumはこれまでプレビューとして提供されてきましたが、2021年7月19日(米国時間)に一般提供が開始されたことが発表されました。
- Announcing the Azure Firewall Premium general availability[英語](Microsoft Azure)
Azure Firewall Premiumは、Standardが提供する前述した基本機能に加え、以下のプレミアム機能を提供します。
●TLS検査(TLS Inspection)
トラフィックを復号して検査し、それを転送する前に再暗号化します。Azure Firewall Premiumは、原則としてアウトバウンドのエンドツーエンド(East-Westトラフィック)のTLS接続を強制終了します。Azure Firewall Premiumが提供する各種ルールを使用してTLS検査に基づいて許可することができます。インバウンドのTLS検査については、「Azure Application Gateway」を使用することでサポートされ、エンドツーエンドの暗号化を可能にします。
●ネットワーク侵入検出と防止システム(Intrusion Detection and Prevention System、IDPS)
ネットワークを監視して、マルウェアやエクスプロイトコードの悪意あるアクティビティーを検出し、ログに記録します。シグネチャベースで特定のパターンを探知することで、攻撃を迅速に検出します。
●URLフィルタリング
StandardのFQDNフィルタリング機能を拡張し、URL全体を考慮して識別します。HTTPとHTTPSの両方に対応しており、HTTPSにはTLS検査機能が利用されます。
●Webカテゴリ
StandardのWebカテゴリ機能を拡張します。StandardではFQDNのみが検証されますが(例:www.google.comは「検索サイト」に分類)、PremiumではURL全体が検証されます(例:www.google.com/newsは「ニュース」に分類)。HTTPとHTTPSの両方に対応しており、HTTPSにはTLS検査機能が利用されます。
Azure Firewall Premiumの機能は「ファイアウォールポリシー」で構成
Azure Firewall Premiumで追加される新機能は、全て「ファイアウォールポリシー」を使用して構成でき、「Azure Firewall Manager」で集中管理できます(画面1、画面2)。Azure Firewall Standardの機能については、引き続き「ファイアウォール規則(クラシック)」で構成可能です。
テスト環境をデプロイして新機能を体験
一般提供が開始されたAzure Firewall Premiumは、実運用環境に導入できますが、事前にテスト環境で構成方法や機能を評価することをお勧めします。
以下のドキュメントにある「Deploy to Azure」をクリックすると、Azureクイックスタートテンプレート「Testing environment for Azure Firewall Premium」を使用して、リソースグループとリモートアクセス用のユーザー名/パスワードを入力するだけで、10分程度でAzure Firewall Premiumのテスト環境を準備できます。
- Deploy and configure Azure Firewall Premium[英語](Microsoft Docs)
- Azure Firewall Premiumプレビューをデプロイして構成する(Microsoft Docs)
テスト環境には、構成済みのファイアウォールポリシーを含むAzure Firewall Premiumで保護されたAzureネットワーク、Azure仮想ネットワーク上のテスト用仮想マシン(WorkerVM)、テスト用仮想マシンに安全にリモートデスクトップ接続するための「Bastion Host(要塞ホスト)」などが展開され、Azure Firewall Premiumの各種機能をテストできます(画面3、画面4)。
画面4 Azure Firewall Premiumのファイアウォールポリシーによるトラフィックの許可/禁止をテストしているところ。ファイアウォールのアクティビティーはAzure MonitorのLog Analyticsワークスペースに送信するように構成できる
筆者紹介
山市 良(やまいち りょう)
岩手県花巻市在住。Microsoft MVP:Cloud and Datacenter Management(2020-2021)。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。Microsoft製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。近著は『Windows版Docker&Windowsコンテナーテクノロジ入門』(日経BP社)、『ITプロフェッショナル向けWindowsトラブル解決 コマンド&テクニック集』(日経BP社)。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
2023年3月に「仮想マシン(クラシック)」が終了、Azure Resource Managerにできるだけ早く移行を
Microsoftは、2023年3月1日にMicrosoft AzureのIaaSにおける「仮想マシン(クラシック)」の提供を終了します。まだ2年ありますが、もう2年しかないとも言えます。「仮想マシン(クラシック)」で複雑な環境を運用している場合は、テストや移行に時間を要するかもしれません。速やかに移行の検討を開始した方がよいでしょう。
さよならPHP、WindowsでのPHPのサポートが「2022年11月28日」に完全終了
「PHP」は、古くから人気のあるWebアプリのためのスクリプト言語です。当初はLinux上のApache Webサーバと組み合わせて利用されることが多かったものの、Windowsの「IIS」でも古くからサポートされていました。2020年11月26日に最新バージョン「PHP 8.0」がリリースされましたが、Microsoftはこのバージョンをサポートする予定はありません。
2021年にサポートが終了するMicrosoft製品まとめ
前回(第90回)は、Windows 10とMicrosoft Office製品について、2021年以降のサポートライフサイクルを再確認しました。今回は視点を変えて、2021年内にサポートが終了するMicrosoftの製品/技術についてまとめます。
今使っているWindows/Officeは大丈夫? 2021年以降を見据えて、各バージョンのライフサイクルを再確認
新型コロナウイルス感染症(COVID-19)拡大の影響を大きく受けた2020年も残すところあとわずか。その影響はどうやら2021年も続きそうです。企業はテレワーク導入の推進を求められたこともあって、企業クライアントPCの更新管理やシステム更改に大きな影響を受けたことでしょう。Windows 10とMicrosoft Office製品について、現時点でのサポートライフサイクルを再確認し、2021年以降の計画に生かしましょう。