検索
連載

Azure仮想ネットワークに高度な保護機能を提供する「Azure Firewall Premium」とはMicrosoft Azure最新機能フォローアップ(150)

Azure仮想ネットワークにステートフルなファイアウォール機能を提供する「Azure Firewall」の「Premium」プランの一般提供が開始されました。従来の「Standard」プランの全機能に加え、複数の高度なセキュリティ機能で運用環境のネットワークを既知の攻撃手法や悪意ある通信トラフィックから保護することができます。

PC用表示 関連情報
Share
Tweet
LINE
Hatena
「Microsoft Azure最新機能フォローアップ」のインデックス

Microsoft Azure最新機能フォローアップ

Azure Firewallにプレミアムな付加価値を提供

 「Azure Firewall」は、Azure仮想ネットワーク(VNet)上のリソースを保護する、マネージドネットワークセキュリティサービスです。

 Azure Firewallは、Azure仮想ネットワークとインターネットとの境界に位置し、フィルタリング規則によるIPアドレスやFQDN(Fully Qualified Domain Name、完全修飾ドメイン名)、アプリケーションプロトコルの通信トラフィックを許可/禁止するステートフルなファイアウォールとして機能します。

 その他にも、「Webカテゴリ」機能による許可/禁止、Microsoft脅威インテリジェンス(Microsoft Threat Intelligence)が提供する既知の悪意あるIPアドレスとFQDNとの通信の遮断、送信/受信NAT(Network Address Translation、ネットワークアドレス変換)のサポート、強制トンネリング、「Azure Monitor」のログの記録と監視、ロードバランサー不要の組み込みの可用性機能などを提供します。

 また、Azure Firewallは、「Payment Card Industry(PCI)」「Service Organization Controls(SOC)」「国際標準化機構(ISO)」「ICSA Labs」に準拠しています。

 Azure Firewallは「Standard」と「Premium」の2つのプランが用意されています。Premiumはこれまでプレビューとして提供されてきましたが、2021年7月19日(米国時間)に一般提供が開始されたことが発表されました。

 Azure Firewall Premiumは、Standardが提供する前述した基本機能に加え、以下のプレミアム機能を提供します。

●TLS検査(TLS Inspection)

 トラフィックを復号して検査し、それを転送する前に再暗号化します。Azure Firewall Premiumは、原則としてアウトバウンドのエンドツーエンド(East-Westトラフィック)のTLS接続を強制終了します。Azure Firewall Premiumが提供する各種ルールを使用してTLS検査に基づいて許可することができます。インバウンドのTLS検査については、「Azure Application Gateway」を使用することでサポートされ、エンドツーエンドの暗号化を可能にします。

●ネットワーク侵入検出と防止システム(Intrusion Detection and Prevention System、IDPS)

 ネットワークを監視して、マルウェアやエクスプロイトコードの悪意あるアクティビティーを検出し、ログに記録します。シグネチャベースで特定のパターンを探知することで、攻撃を迅速に検出します。

●URLフィルタリング

 StandardのFQDNフィルタリング機能を拡張し、URL全体を考慮して識別します。HTTPとHTTPSの両方に対応しており、HTTPSにはTLS検査機能が利用されます。

●Webカテゴリ

 StandardのWebカテゴリ機能を拡張します。StandardではFQDNのみが検証されますが(例:www.google.comは「検索サイト」に分類)、PremiumではURL全体が検証されます(例:www.google.com/newsは「ニュース」に分類)。HTTPとHTTPSの両方に対応しており、HTTPSにはTLS検査機能が利用されます。

Azure Firewall Premiumの機能は「ファイアウォールポリシー」で構成

 Azure Firewall Premiumで追加される新機能は、全て「ファイアウォールポリシー」を使用して構成でき、「Azure Firewall Manager」で集中管理できます(画面1画面2)。Azure Firewall Standardの機能については、引き続き「ファイアウォール規則(クラシック)」で構成可能です。

画面1
画面1 Azure Firewall Managerを使用して、ファイアウォールポリシーによるAzure仮想ネットワークの保護を集中管理できる
画面2
画面2 Webカテゴリを利用したアプリケーションの許可ルール。“スポーツ”に分類されるWebサイトへのアクセスを許可する例

テスト環境をデプロイして新機能を体験

 一般提供が開始されたAzure Firewall Premiumは、実運用環境に導入できますが、事前にテスト環境で構成方法や機能を評価することをお勧めします。

 以下のドキュメントにある「Deploy to Azure」をクリックすると、Azureクイックスタートテンプレート「Testing environment for Azure Firewall Premium」を使用して、リソースグループとリモートアクセス用のユーザー名/パスワードを入力するだけで、10分程度でAzure Firewall Premiumのテスト環境を準備できます。

 テスト環境には、構成済みのファイアウォールポリシーを含むAzure Firewall Premiumで保護されたAzureネットワーク、Azure仮想ネットワーク上のテスト用仮想マシン(WorkerVM)、テスト用仮想マシンに安全にリモートデスクトップ接続するための「Bastion Host(要塞ホスト)」などが展開され、Azure Firewall Premiumの各種機能をテストできます(画面3画面4)。

画面3
画面3 「Deploy to Azure」をクリックすると、Azure Firewall Premiumのテスト環境を素早く準備できる
画面4
画面4 Azure Firewall Premiumのファイアウォールポリシーによるトラフィックの許可/禁止をテストしているところ。ファイアウォールのアクティビティーはAzure MonitorのLog Analyticsワークスペースに送信するように構成できる

筆者紹介

山市 良(やまいち りょう)

岩手県花巻市在住。Microsoft MVP:Cloud and Datacenter Management(2020-2021)。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。Microsoft製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。近著は『Windows版Docker&Windowsコンテナーテクノロジ入門』(日経BP社)、『ITプロフェッショナル向けWindowsトラブル解決 コマンド&テクニック集』(日経BP社)。


Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る