先日のブログ記事でMicrosoftは、Azure Firewall Managerが仮想ネットワークをサポートしたことを発表した。この新機能によって、セキュリティ付き仮想ハブとハブ仮想ネットワークという2つのネットワークアーキテクチャに基づいた、クラウドベースのセキュリティ境界におけるセキュリティポリシ管理とルート管理の集中化が実現する。Auzre Firewallポリシの生成と関連付けをオーケストレーションすることも可能になる。
今回の発表は、2019年11月に同社が、ZacalerやibossといったセキュリティパートナによるAzure Filewall Managerのサポートと、将来的なCheck Pointのサポートについて言及した、プレビュー版の発表に対するフォローアップとなるものだ。
多数のリージョンやサブスクリプションにわたるインフラストラクチャを管理する多くの企業にとって、集中管理型のファイアウォールは焦眉の要請である。MicrosoftのシニアプロダクトマネージャであるGopikrishna Kannnan氏が、Azure Firewall Managerの提供する集中型ファイアウォール管理の具体的な方法について説明する。
トラフィックのガバナンスと防御を目的としたハブ・アンド・スポークアーキテクチャ内において、さまざまなAzureリージョンとサブスクリプションに展開されている複数のAzure Filewallインスンタンスを対象とした、ネットワークとトラフィックをフィルタリングするためのアプリケーションレベルのルールを、企業のITチームが集中的に定義することが簡単にできるようになります。企業全体に展開されたローカルファイアウォールのセキュリティポリシの基盤となることで、DevOpsのアジリティを強化する効果もあります。
Azure Filewall Managerは、次の2タイプのネットワークアーキテクチャをサポートする。
- セキュリティ付き仮想ハブ(secured virtual hub) — Microsoftの管理するリソースであるAzure Virtual WAN Hubを活用することにより、ハブ・アンド・スポークアーキテクチャを実現する。このハブにはセキュリティおよびルーティングポリシの設定が可能で、セキュリティを備えた仮想ハブを生成することができる。
- ハブ仮想ネットワーク(hub virtual network) — ユーザ自身で生成および管理が可能な、標準的なAzure Virtual Networkであり、セキュリティポリシが指定されることによってハブ仮想ネットワークとなる。複数のスポーク仮想ネットワークをピアリングしたり、標準的な仮想ネットワーク内でファイアウォールを管理したりすることが可能である。
使用するアーキテクチャを選択する場合、Kannan氏は次のように勧める。
ネットワークアーキテクチャが仮想ネットワークのみをベースとしている場合、リージョン毎に複数のハブが必要な場合、あるいはハブ・アンド・スポークを全く使用しない場合は、ハブ仮想ネットワークを選択した方がよいでしょう。
一方で、企業が世界規模のプレゼンスを持っているのであれば、セキュリティ付き仮想ハブが適している。Kannnan氏がその理由を説明する。
世界中に分散したセキュアなハブのルーティングやセキュリティポリシを管理する必要があるならば、セキュリティ付き仮想ハブがニーズにより応えてくれるでしょう。セキュリティ付き仮想ハブには大規模なVPN接続、SDWANのサポート、サードパーティ製のセキュリティ・アズ・サービスの統合があります。オンプレミスとクラウドリソースの両方で、Azureをインターネットエッジとして使用することができます。
仮想ネットワークの管理に加えて、Azure Filewall Managerは、Azure Firewallポリシ生成の管理もサポートしている。Azure Firewallは、NAT(Network Address Translation)、アプリケーションルールコレクション、脅威インテリジェンス(threat intelligence)の設定を提供するサービスである。
作成したファイアウォールポリシは、仮想WANハブ内のファイアウォールに関連付けることが可能で、セキュリティ付き仮想ハブとハブ仮想ネットワークのいずれも対象となる。ポリシの作成は無料だが、ひとつ以上のファイアウォールに関連付けられることによって使用料金が発生する。
新しいファイアウォールポリシ(左欄、Policy)と従来のファイアウォールルール(右欄、Rules)の違いについては下表を参照してほしい。
Image source: https://azure.microsoft.com/en-us/blog/azure-firewall-manager-now-supports-virtual-networks/