Microsoftは最近、Azure Firewallのクラウドネイティブのfirewall-as-a-serviceサービスとして、脅威インテリジェンスベースのフィルタリングとサービスタグフィルタリングの2つの新機能を発表した。
Azure Firewallは、昨年9月のIgniteイベント中に、以前はプレビューだったものが、一般向けに利用可能になった。このファイアウォールサービスにより、Microsoftは、サブスクリプションと仮想ネットワークを横断で、アプリケーションとネットワークの接続ポリシーを集中的に作成、適用、および記録する方法を顧客に提供する。ファイアウォールサービスは、アプリケーション(ワイルドカードドメイン名*.github.comなど)とネットワークレベルのフィルタリングルールの両方をサポートしている。
Azure Firewallユーザは、今日、既知の悪意のあるIPアドレスやドメインから、あるいはそれらへのトラフィックをほぼリアルタイムで警告したり拒否したりするようにサービスを構成できる。さらに、ファイアウォールサービスは、これらのアドレスとドメインを含むMicrosoftの脅威インテリジェンスのフィードを受信する。Azure NetworkingのプリンシパルプログラムマネージャであるYair Torが、この発表に関するブログ記事で説明している。
Microsoftインテリジェントセキュリティグラフは、Microsoft Threat Intelligenceを強化し、Azure Security CenterやAzure Sentinelなどの複数のMicrosoft製品およびサービスにセキュリティを提供します。
デフォルトでは、MicrosoftはAzureファイアウォールのデプロイに対してアラートモードでの脅威インテリジェンスベースのフィルタリングを有効にし、ユーザはアラートと拒否の動作を調整することができる。
出典: https://azure.microsoft.com/en-us/blog/announcing-new-capabilities-in-azure-firewall/
Azure Firewallを使用すると、Microsoftの管理ソリューションであるAzure Monitorと統合することによるメリットも享受できる。さらに、顧客はAzure MonitorのダッシュボードでMicrosoft脅威インテリジェンスの情報を閲覧し、仮想マシンのセキュリティが低下したりポートスキャンがブロックされたりしていることを確認できる。
出典: https://azure.microsoft.com/en-us/blog/announcing-new-capabilities-in-azure-firewall/
脅威インテリジェンスベースのフィルタリングに加えて、Microsoftはサービスタグのサポートも追加した。サービスタグを使用すると、顧客はネットワークルールの宛先フィールドでこれらのタグを使用するだけで、簡単にネットワークルールを作成できる。さらに、Microsoftは今後も追加のサービスタグのサポートを追加していく。
Azure Firewallに代わるものとしてBarracudaがある。これは、集中管理と、Microsoft Azureデプロイへ、およびデプロイから、デプロイ内での高度に安全な暗号化トラフィックを提供する。さらに、顧客はSophos、Checkpoint、WatchGuardなどの他のサードパーティ製ファイアウォールサービスも、豊富な機能セットでさまざまな価格で入手できる。Azure Firewallの新機能に関するRedditの投稿で、参加者はその価格についてコメントした。
現在のところ、これはエントリーレベルの機能ですが、プレミアムなサービスコストです。それをBarracudaのようなサービスと比較すると、なぜCSPがAzure Firewallのようには売れないのかがわかります。