Azure Firewallとは? 機能とNSGなどの違いを解説

Azure Firewallとは? 機能とNSGなどの違いを解説

Azure Firewallはクラウドベースのファイアウォールです。柔軟かつ設定の負荷が少ないセキュリティを提供します。Azureの仮想ネットワークを保護し、Azureのサブスクリプションと仮想ネットワークで一元的な接続ポリシーの設定、運用、記録の機能を備えています。

ファイアウォールには、ハードウェア型、ソフトウェア型、クラウド型があります。クラウドの利用が活発化してセキュリティの重要性が高まると、PaaSを展開する企業はもちろんベンダー各社では、独立したクラウド型のファイアウォールのサービスを展開するようになりました。

ファイアウォールはタイプにしたがって、ハードウェア型は機器、ソフトウェア型が内部ネットワークを監視します。クラウド型が監視するのは、仮想ネットワークを含めた通信です。さらに、クラウド型のファイアウォールのメリットは、トラフィックにしたがって柔軟に規模を最適化できること、設定が簡単で運用管理の煩わしさを軽減できることです。

Azure Firewallは高可用性を実現し、Azure Monitorと統合した利便性によって仮想ネットワークを保護します。ここでは、Azure Firewallの機能をまとめるとともに、NSGなどとの違いを整理します。

Azure Firewallとは? 機能とNSGなどの違いを解説

 Azure Firewallの機能

まず、Azure Firewallの機能を4つの観点からまとめます。

高可用性、アベイラビリティゾーンのSLA

Azureで可用性を高める方法には、可用性セットと可用性ゾーンがあります。可用性セットの場合、同一のクラスターで電源やスイッチなどを考慮して分散配置します。一方で、可用性ゾーンの場合は、ゾーン間の電源、空調、ネットワークが分離されていることが特長です。

したがって、可用性セットの場合は、クラスターやデータセンター規模の障害が発生した場合、データのバックアップやシステムの持続運用に影響を与える可能性があります。しかし、可用性ゾーンで分散配置をした場合、ゾーンによってデータが保護されるため安心です。

可用性を高めるためには、複数のアベイラビリティゾーンを横断した構成でデプロイします。このようにゾーンを活用すると、可用性が99.99%に向上します。29.99以上のアベイラビリティゾーンを選択している場合には、99.99%の稼働時間のSLAが提供されます。サービス標準の99.95%SLAによって、Azure Firewallを特定のゾーンに関連付けることが可能になります。

Azure Firewallでは、システムが拡張しても追加のロードバランサーは不要です。ネットワークのトラフィック変動に応じて無制限にファイアウォールを拡張することが可能で、トラフィックのピークを見込んで予算を立てる必要がありません。

多様なルールでフィルタリングを実現、セキュリティ強化ともに管理負荷を軽減

Azure Firewallは、不正なアクセスを防ぐ多様なフィルタリング機能を備えています。また、タグを記述することで煩わしい設定の負荷を軽減します。

簡易提案書「ゼロから分かるMicrosoft Azure」
SAP on Azure Cloud Workshop

HTTP/Sによる送信トラフィックまたはAzure SQLトラフィック(プレビュー)を、ワイルドカードを含む絶対ドメイン名(FQDN:Fully Qualified Domain Name)の指定されたリストに制限できます。TLS(Transport Layer Security)1.0/1.1のサポート終了にも対応しています。

また、FQDNタグを使うことによって、Azureの主要なサービスのネットワークトラフィックをファイアウォールで簡単に許可することができます。Windows UpdateをAzure Firewallで許可する場合、アプリケーションルールを作成してWindows Updateタグを含めるだけでファイアウォールを通過させる設定が可能です。

送信元と宛先のIPアドレス、ポート、プロトコルごとに許可または拒否のフィルタリングのルールを作成して、一元管理ができます。多様な接続において正当なパケットを区別します。設定したルールは複数のサブスクリプションと仮想ネットワーク全体に適用され、ログを記録することが可能です。

送受信におけるIPアドレスの変換、最大250のIPアドレスの関連付け

Azureの仮想ネットワークにおけるすべての送信トラフィックのIPアドレスは、Azure FirewallのパブリックIPに変換されます。したがって、仮想ネットワークからリモートインターネットに接続する際に識別して許可することが可能です。Azure Firewallは、宛先IPがIANA RFC 1918によるプライベートIPの場合、ネットワークアドレス変換(SNAT:SourceNetwork Address Translation)に送信元アドレスを変換しません。

企業のプライベートネットワークにパブリックIPアドレスを使用している場合、Azure Firewallは、サブネット内のファイアウォールのプライベートIPアドレスのいずれかにトラフィックを変換します。パブリックIPアドレスのSNATを行わないようにAzure Firewallを構成することが可能です。

一方で、ファイアウォールのパブリックIPアドレスに受信するトラフィックはDNAT(Destination NAT)で変換され、仮想ネットワーク上のプライベートIPアドレスにフィルタリングされます。

Azure Firewallでは、最大250の複数のパブリックIPアドレスをファイアウォールに関連付けられます。このことにより、SNATとDNATでは次のようなことが可能になります。

SNAT

追加のポートを送信SNAT接続に使用することにより、SNATポートに余裕ができます。Azure Firewallは、パブリックIPアドレスをランダムに選択して接続します。端末に対してダウンストリームのフィルタリングがある場合は、ファイアウォールに関連付けられているすべてのパブリックIPアドレスを許可しなければなりません。構成を簡略化するためには、パブリックIPアドレスのプレフィックスを検討する必要があります。

DNAT

複数の標準ポートのインスタンスをバックエンドサーバーに変換することが可能です。2つのパブリックIPアドレスを利用している場合、両方のIPアドレスのTCPポート3389(RDP)を変換できます。

強制トンネリング、認証、統合されたログ管理

Azure Firewallでは、仮想ネットワークのデフォルトのゲートウェイをAzure以外の場所に向けて構成することが可能です。転送すべき隣接ルータのネクストホップに、すべてのインターネット向けトラフィックをルーティングします。これが「強制トンネリング」です。

強制トンネリングによって、Azureの仮想マシンをダイレクトにインターネットへアクセスさせることを回避して、オンプレミスのネットワーク仮想アプライアンス(NVA)やファイアウォールなどを経由させることが可能になります。

Azureの初期設定では、仮想ネットワーク上の仮想マシンは直接インターネットに接続する設定になっています。しかし、この設定は重大なセキュリティのリスクになりかねません。この危険性を回避するための方法が強制トンネリングです。

また、Azure Firewallの認証は、以下に準拠しています。

  • Payment Card Industry(PCI)
  • Service Organization Controls(SOC)
  • International Organization for Standardization(ISO)
  • ICSA Labs

さらにAzure Firewall はAzure Monitorと統合されているため、Azure Monitorへのログの送信とストレージへのアーカイブ、Event Hubにイベントをストリーミングすることが可能です。

強制トンネリング、認証、Azure Monitorとの統合によるログの管理によって、セキュアな環境を提供します。

Azure Firewallとその他の機能の違い

Azureにはセキュリティを強化する多様なサービスがあります。「このサービスはAzure Firewallと、どのように違うのだろう?」という疑問が生じることがあるでしょう。以下に、簡単に解説します。

Azure FirewallとNSGの違い

Azure FirewallとNSG(Network Security Group)の違いを端的に解説すると「インターネットと仮想マシン」で動作するセキュリティ機能がAzure Firewallで、「仮想ネットワーク内の仮想マシン(およびサブネット)」で動作するセキュリティ機能がNSGです。Azure Firewallで仮想ネットワーク内の通信をコントロールすることも可能ですが、一般的には外部と内部という位置づけになります。

Azure FirewallはNSGを補うことによって、多層なセキュリティを実現します。その意味では、どちらかというわけではなく、それぞれの役割を定めたうえで組み合わせて活用することが理想的です。

Azure FirewallとWAFの違い

WAF(Web Application Firewall)は、Webアプリケーションを脆弱性や悪用から保護するファイアウォールです。一方でAzure FirewallはRDP(Remote Desktop Protocol)、SSH(Secure Shell)、FTPなどの受信、あらゆるポートとプロトコルの送信、HTTP/S送信におけるアプリケーションの保護を行うものです。

まとめ

あらゆる機能を適切に活用して、クラウドのセキュリティを強化することが大切です。Azure Firewallに関する知識はもちろん、Azureのセキュリティ機能の全体像をつかんでおくことがポイントといえるでしょう。

Microsoft Azure製品カタログ
Azure Firewallとは? 機能とNSGなどの違いを解説
Microsoft Azure製品カタログ 避けて通れぬマルチクラウド 活用を限られた人材でいかに 実現するか

RANKING人気資料ランキング

RECENT POST 最新記事

ブログ無料購読

RANKING人気記事ランキング

関連記事