公開日:2022年11月24日最終更新日: 2023年2月10日
ファイアウォールを使用すると、企業内や外部ネットワークからのアクセス制御を可能とします。本記事では、Azureが提供しているファイアウォールの機能を紹介します。
目次 <Contents>
セキュリティサービス「Azure Firewall」とは
Azure Firewallは、Azureの仮想ネットワークリソースを使用した、クラウドベースのネットワークセキュリティサービスです。
インターネットとの間のトラフィックは既定で拒否されており、ファイアウォール規則で許可されている場合のみトラフィックが許可されます。
Azure Firewallの種類とサービス内容
Azure Firewallは「Standard」と「Premium」など複数のSKUが提供されており、システム構築ではネットワークやセキュリティ要件、予算にあったSKUを使用することが可能です。
Azure Firewall Standard
Azure Firewall Standardはフィルタリング機能や自動スケーリングなど、高可用性のサービスを備えたファイアウォールです。このサービスを使用すると特定のIPアドレスやドメインをフィルタリングし、システムを保護することができます。
主な機能の紹介は次章で解説します。
Azure Firewall Premium
Azure Firewall Premiumは、Standardに比べて使用できる機能が多く、IDPSやTLS インスペクションを利用でき、気密性が求められる場合に使用されます。
このサービスではStandardの機能はすべて含まれており、加えて下記4つの機能が使用できます。
- TLSインスペクション:TLS接続を検査し、悪意あるトラフィックから保護できます。
- IDPS:ネットワークを監視し、悪意あるトラフィックをブロック(フィルター処理)します。
- URLフィルタリング:URLを使用し、HTTP/HTTPSの両方のトラフィックをブロック(フィルター処理)できます。
- WEBカテゴリ:悪意あるWEBサイトやSNSなどのWEBサイトカテゴリへのアクセスをStandardよりも細かく制御できます。
Azure Firewall Basic
Azure Firewall Basicは、Standardに比べて使用できる機能が制限されていますが、Standardより安価で使用できます。このサービスはStandardと似ていますが、最大スループットが250Mbpsに推奨されるなどの制限があります。
※2022年10月21日時点ではプレビュー段階であり、一般提供としてリリースはされておりません。
Azure Firewall Manager
Azure Firewall Managerは、複数のサブスクリプションのファイアウォールを一元管理することができます。このサービスを使用すると、共通のネットワークやルールをテナント内のファイアウォールに適用が可能です。
複数システムの運用をする場合には運用負荷の軽減が見込まれます。
Azure Firewallに備わっている機能
Azure Firewallはネットワーク保護をするための各種機能が備わっています。本章では、いくつか機能を抜粋して解説します。
Azure Firewallで作成できる規則
Azure FirewallではアプリケーションのFQDNやネットワークトラフィックをフィルタリング規則を作成し、制限することが可能です。フィルタリング規則の作成には、FQDN(ワイルドカード使用可能)やIPアドレス、プロトコル、ポートを使用することができます。
デプロイオプションについて
Azure Firewallには、フィルタリング規則作成や管理を容易にする機能が用意されています。
いくつかの機能を抜粋して、解説します。
| FQDNタグ | アプリケーション規則にFQDNタグを追加して、対象FQDNへの送信アクセスを許可することができます。 |
|---|---|
| サービスタグ | ネットワーク規則にサービスタグを追加して、対象サービスへのアクセスを許可することができます。 |
| IPグループ | IPアドレスをグループ化することができます。 このIPグループはネットワーク規則で使用することが可能です。 |
| DNSプロキシ | DNSプロキシとして構成することができます。 DNSプロキシとして構成すると、クライアントDNS要求がファイアウォールを通過することになります。 |
Azure FirewallのSNAT送信設定について
Azure Firewallでは、SNAT送信設定をすることにより、IPアドレスの固定化ができます。また、構成によっては特定の宛先のみSNATしない設定も可能です。
使用パターンについて
Azure Firewallの導入にあたっては、複数の使用パターンが存在します。本章では、主な導入パターンを紹介します。
不正アクセスからのネットワーク保護
機密データや社内情報流出は不正アクセスが起因となる場合が多々あります。そのような不正アクセスを防ぐため、Azure Firewallでは、パケットのステートフル検査を使用し、要求に対して不当/正当を判断してアクセス制限を行えます。
Azure Firewallでトラフィック監視
各企業ではトラフィックに関して、定期的な調査、報告が必要な場合があります。
Azure Firewallでは、アプリケーションルール、ネットワークルール、脅威インテリジェンス、DNSプロキシのアクティビティ診断ログを管理しています。このログを使用するとトラフィックに関しての詳細なレポート作成が可能です。
Azure Firewallと他のセキュリティリソースの違い
Azureでは、Azure Firewall以外にもネットワーク保護が可能なサービスが存在します。本章では、他サービスとの違いについて解説します。
Azure FirewallとNSGの違い
Azure Firewallは、外部(インターネット)と仮想リソースのネットワークを制御するのに対して、NSG(Network Security Group)は内部(仮想ネットワーク)と仮想リソース間のネットワークを制御します。
Azure FirewallとNSGを両方使用することにより、多層でより強固なセキュリティを実現します。
Azure FirewallとWAFの違い
Azure Firewallは、プロトコルやポートの送信におけるアプリケーションを保護するのに対して、WAF(Web Application Firewall)は脆弱性などから保護するファイアウォールです。
Azure Firewallの料金
Azure Firewallは、「時間あたりの料金」と「データ処理の料金」での料金となります。
時間あたりの料金
| Azure Firewall Standard | 158.09円/h |
|---|---|
| Azure Firewall Premium | 222.469円/h |
データ処理の料金
| Azure Firewall Standard | 2.034円/GB |
|---|---|
| Azure Firewall Premium | 2.034円/GB |
となっており、データ処理の料金については、StandardとPremiumで差はありません。
※2022年10月21日時点の料金
まとめ
本記事では、Azure Firewallの種類や機能、使用パターンについて解説しました。
昨今の事情から見ると、システム構築においてはセキュリティ強化は必須といえます。
Azure Firewallは容易に設定でき、NSGと組み合わせると強固なセキュリティを構築できます。Azureでの各システム構築の際は、Azure Firewallの使用を検討してみてはいかがでしょうか。
お客様が運営するクラウドの監視・保守・運用業務を、ジードが代行いたします。
お客様のご要望に沿って、適切なクラウド選定から設計・構築までを行います。
Azure上で、AI + 機械学習、分析、ブロックチェーン、IoTを開発します。