Microsoft Azure Firewallは、Azure仮想ネットワークリソースを保護する、マネージドのクラウドベースのネットワークセキュリティサービスである。同社は最近、クラウドベースのネットワークセキュリティサービスのプレミアムバージョンのプレビューリリースを発表した。
Azure Firewallは、2018年のIgnite開催中に一般向け提供が開始された。その後、脅威インテリジェンスとサービスタグのフィルター、カスタムDNS、IPグループなど、いくつかの更新があった。現在では、プレミアム付きのプランが追加された。プレミアムプランのリリースには、Azureのドキュメントによると次の機能が含まれる。
- TLSインスペクション - アウトバウンドトラフィックを復号化し、データを処理し、データを暗号化して、宛先に送信する。
- IDPS - ネットワーク侵入検知および防止システム(IDPS)。これにより、ユーザは悪意のあるネットワークアクティビティを監視し、このアクティビティに関する情報をログに記録し、レポートし、オプションでブロックを試みることができる。
- URLフィルタリング - URL全体を対象とするためにAzure FirewallのFQDNフィルタリング機能を拡張している。たとえば、www.contoso.comではなくwww.contoso.com/a/cである。
- Webカテゴリ - 管理者は、ギャンブルWebサイト、ソーシャルメディアWebサイトなどのWebサイトカテゴリへのユーザアクセスを許可あるいは拒否できる。
Azure NetworkingのプリンシパルプログラムマネージャーであるEliran Azulai氏は、InfoQに次のように語った。
ネットワークセキュリティに関して重要なのは、クラウドネイティブサービスを使用してネットワークインフラストラクチャとアプリケーション配信を保護することです。攻撃対象領域を最小限に抑えるために、顧客には、ネットワークのセグメンテーション、脅威からの保護、暗号化が必要です。
ネットワークセグメンテーションは、ラテラルムーブメントとデータ漏えいを防ぐ助けになります。顧客は、仮想ネットワークとAzure Firewallを使用して、ネットワークセグメンテーションを効果的に実行できます。脅威からの保護に関して、オンにする必要がある最も基本的な保護は、すべてのパブリックIPへのDDoSに対する保護です。独自のインテリジェントな脅威からの保護をAzure Firewallに追加して、攻撃に先んじています。顧客は、IDPSを使用して、悪意のあるトラフィックを識別、警告、ブロックすることもできます。最後に、顧客は、TLSなどの業界をリードする暗号化を使用して、クラウドおよびハイブリッドネットワーク全体の通信チャネルを暗号化できます。
出典: https://docs.microsoft.com/en-us/azure/firewall/premium-features
プレミアムリリースには、Firewall Premium設定向けの新しいファイアウォールポリシー層も含まれている。以前は、スタンダードプランにもポリシーがあり、Premiumプランのポリシーはこれを継承できる。さらに、プレミアムリリースの前に作成された従来のルールで構成されたAzure Firewallは、Azure Firewallのリソースページから[Firewall Policyに移行]オプションを使用して、Firewall Policyに簡単に移行できる。この移行プロセスでは、ダウンタイムは発生しない。
出典: https://azure.microsoft.com/en-us/blog/azure-firewall-premium-now-in-preview-2/
Azure FirewallだけがMicrosoft Azureの顧客が利用できるものではない。また、Barracuda、Palo Alto、Fortinet、Checkpointなど、Azure Marketplaceを介して他のFirewallソリューションをプロビジョニングすることもできる。
TietoEVRYのパブリッククラウドのギルドリーダーであるMarius Sandbu氏は、ブログ投稿でAzure Firewall Premiumをサードパーティ製品のCheckPoint、Palo Alto、Ciscoと比較した。
- Azure Firewallは、アクティブ/アクティブとして実行され、トラフィックフローに応じて自動的にスケーリングするマネージドサービスです。一方で、サードパーティのNVAでは複雑なIaaSデプロイが必要であり、スループットは仮想マシンのサイズに依存します。
- Azure Firewallは、Azure Resource Managerを介してフルマネージドです。あなたの環境がクラウドベースのオペレーティングモデルを採用し、環境を自動化した場合、Azure Firewallは、同じコード構造/フレームワークを使用して環境を変更・更新します。これは、サードパーティと比較してデプロイが単純であることも意味します。
- さまざまなファイアウォールベンダーのロジックの多くは、ルールエンジンと組み込みの脅威インテリジェンスです。しかし、Microsoftは、Intelligent Security APIを使用して、同等の脅威データベースの一部を提供できます。
- 組織がAzure MonitorやSentinel for SIEM/SOCなどの他のサポートサービスを使用している場合は、Azure Firewallの方が理にかなっています。既存のナレッジに基づいてダッシュボードと監視ポイントを構築し続けることができるためです。
さらに、Azulai氏はInfoQに次のように語った。
Azure Firewall Premiumは、機密性が高く規制された環境のために必要な機能を備えた次世代ファイアウォールです。世界がますますデジタル化に移行するにつれて、Microsoftなどの信頼できる企業が提供するAzure Firewall Premiumなどの製品を使用して、顧客が仮想ネットワークインフラストラクチャを保護し、信頼できるようにすることが不可欠です。
Azure Firewallの詳細は、ドキュメントのランディングページで閲覧できる。そして最後に、プレミアムプランの価格は、プレビュー期間中の現在は、50%に割引される。