Azure Firewall は、Azure Virtual Network リソースを保護するクラウドベースのマネージド ネットワーク セキュリティ サービスです。 組み込みの高可用性と無制限のクラウド スケーラビリティを備えたサービスとしての完全ステートフル ファイアウォールとして、クラウド インフラストラクチャとアプリケーションの保護を最大限に高めるために、Azure Firewall を適切に構成してセキュリティで保護することが重要です。
この記事では、Azure Firewall のデプロイを最適にセキュリティで保護する方法に関するガイダンスを提供します。
ネットワークのセキュリティ
Azure Firewall のネットワーク セキュリティは、仮想ネットワーク インフラストラクチャ内での適切なデプロイと、セキュリティで保護されたトラフィック検査機能の確保に重点を置いています。 Azure Firewall は、ネットワーク セキュリティの適用の中心点として機能するため、ネットワーク境界全体を保護するために適切な構成が不可欠になります。
専用サブネットに Azure Firewall をデプロイする: 仮想ネットワーク内の "AzureFirewallSubnet" と呼ばれる独自の専用サブネットに Azure Firewall を常にデプロイします。 Azure Firewall にはプラットフォーム保護が組み込まれているため、このサブネットには最小サイズ /26 が必要であり、ネットワーク セキュリティ グループを適用しないでください。 詳細については、「 チュートリアル: Azure Firewall Manager を使用してハブ仮想ネットワークをセキュリティで保護する」を参照してください。
脅威インテリジェンスベースのフィルター処理を有効にする: 脅威インテリジェンスベースのフィルター処理を構成して、既知の悪意のある IP アドレス、FQDN、URL からのトラフィックを警告および拒否します。 この機能は、NAT、ネットワーク、またはアプリケーションの規則の前にルールを処理し、Microsoft の脅威インテリジェンス フィードに基づいて保護を提供します。 アラート モードで開始し、テスト後にアラートモードと拒否モードに進みます。 詳細については、「Azure Firewall の脅威インテリジェンスベースのフィルター処理」を参照してください。
高度な脅威検出に IDPS を実装する: Azure Firewall Premium の侵入検出および防止システム (IDPS) を使用して、悪意のあるパターンと署名のネットワーク アクティビティを監視します。 IDPS は、50 以上のカテゴリにわたって 67,000 を超えるルールで署名ベースの検出を提供し、アラートモードまたはアラートアンド拒否モードで動作できます。 詳細については、「Azure Firewall Premium の機能」を参照してください。
DNS プロキシ機能の構成: Azure Firewall の DNS プロキシ機能を有効にして、クライアントとファイアウォールの間で一貫した名前解決を確保します。 これにより、クライアントとファイアウォールによって FQDN が異なる IP アドレスに解決され、接続エラーが発生する可能性がある問題が回避されます。 詳細については、「 Azure Firewall DNS プロキシの詳細」を参照してください。
ハイブリッド環境で強制トンネリングを使用する: インターネットにバインドされたトラフィックをオンプレミスのセキュリティ アプライアンス経由でルーティングする必要がある場合に、強制トンネリングを構成します。 ファイアウォール管理接続を維持しながら、管理 NIC でこの構成をサポートできるようにします。 詳細については、「 Azure Firewall の強制トンネリング」を参照してください。
暗号化されたトラフィックに対して TLS 検査を有効にする: TLS 検査機能を有効にして、TLS トラフィックを検査するように Azure Firewall Premium を構成します。 これにより、セキュリティを維持しながら、暗号化されたトラフィックを調べるために専用の TLS 接続が作成されます。 この機能のために、Azure Key Vault を通じて証明書を提供する必要があります。 詳細については、「Azure Firewall Premium の機能」を参照してください。
Web カテゴリのフィルター処理を実装する: Web カテゴリを使用して、ギャンブル、ソーシャル メディア、成人向けコンテンツなどの特定の Web サイト カテゴリへのアクセスを許可または拒否します。 Azure Firewall Premium では、ドメイン名だけでなく、完全な URL を調べることで、より詳細な制御が提供されます。 詳細については、「 Azure Firewall Web カテゴリ」を参照してください。
複数のパブリック IP アドレスを構成する: SNAT ポートの枯渇を防ぐために複数のパブリック IP アドレスを追加します。これにより、追加のパブリック IP ごとに 2,496 個の SNAT ポートが提供されます。 トラフィックの多いシナリオでは、高度な SNAT 機能に Azure NAT Gateway を使用することを検討してください。 詳細については、「 Azure Firewall のパフォーマンスに関するベスト プラクティス」を参照してください。
データ保護
Azure Firewall のデータ保護では、転送中のトラフィックをセキュリティで保護し、証明書を適切に管理します。 Azure Firewall はネットワーク トラフィックを処理するため、データのセキュリティを維持するために、適切な暗号化と証明書の管理を確保することが重要です。
保存データにプラットフォーム管理の暗号化を使用する: Azure Firewall は、Microsoft が管理するプラットフォーム キーを使用して、保存中の顧客コンテンツを自動的に暗号化します。 これには、Key Vault の顧客証明書から生成された派生証明書が含まれます。これにより、追加の構成なしで構成データが保護されたままになります。
適切な証明書管理を使用して TLS 検査を実装する: TLS 検査機能を使用する場合は、Azure Key Vault に格納されている証明書を使用するように Azure Firewall を構成します。 ファイアウォールは顧客証明書から派生証明書を生成し、トラフィック検査機能を有効にしながらセキュリティ チェーンを維持します。 詳細については、「Azure Firewall Premium 証明書の」を参照してください。
セキュリティで保護された転送プロトコルを適用する: Web アプリケーションとサービスに HTTPS を適用するようにファイアウォール ポリシーを構成し、TLS v1.2 以降が使用されていることを確認します。 SSL 3.0 や TLS v1.0 などのレガシ プロトコルを無効にして、強力な暗号化標準を維持します。
URL フィルタリングを使用して細かい制御を行う: URL フィルター処理を有効にして FQDN フィルター機能を拡張し、ドメイン名だけでなく URL 全体を考慮します。 これにより、Web トラフィックをより正確に制御でき、正当なドメインを介して悪意のあるコンテンツにアクセスするリスクが軽減されます。 詳細については、「Azure Firewall Premium の機能」を参照してください。
特権アクセス
Azure Firewall の特権アクセス セキュリティでは、管理アクセスの制御と、ファイアウォール管理操作に対する適切なガバナンスの実装に重点を置いています。
ガバナンスとコンプライアンスに Azure Policy を使用する: Azure Policy 定義を実装して、脅威インテリジェンスの有効化、可用性ゾーン間でのデプロイ、暗号化されたトラフィックのみが許可されるようにするなどのセキュリティ要件を適用します。 コンプライアンスを維持するには、"Azure Firewall Policy で脅威インテリジェンスを有効にする必要があります" などの組み込みポリシーを使用します。 詳細については、「 Azure Policy を使用して Azure Firewall デプロイをセキュリティで保護する」を参照してください。
RBAC を使用して最小限の特権アクセスを実装する: ロールベースのアクセス制御を適用して、ファイアウォールの構成とポリシーを変更できるユーザーを制限します。 特定の Azure Firewall ロールとカスタム ロールを使用して、ユーザーが自分の責任に必要な最小限のアクセス許可のみを持っていることを確認します。
ルールの最適化のためにポリシー分析を有効にする: Azure Firewall Policy Analytics を使用して、未使用のルールを特定し、ルールのパフォーマンスを最適化し、クリーンなセキュリティ ポリシーを維持します。 これにより、攻撃対象領域を減らし、ファイアウォールのパフォーマンスを向上させることができます。 詳細については、「 Azure Policy を使用して Azure Firewall デプロイをセキュリティで保護する」を参照してください。
ログ記録と脅威の検出
包括的なログ記録と監視は、Azure Firewall のセキュリティに不可欠であり、脅威の検出、セキュリティ調査、コンプライアンス レポートを有効にします。 適切なログ構成により、ネットワーク トラフィック パターンとセキュリティ イベントが可視化されます。
Azure Firewall 診断ログを有効にする: 診断設定を構成して Azure Firewall のログとメトリックをキャプチャし、Log Analytics ワークスペース、ストレージ アカウント、イベント ハブなどの任意のデータ シンクに送信します。 これにより、許可および拒否されたトラフィック、脅威インテリジェンス ヒット、ファイアウォールのパフォーマンスに関する詳細情報が提供されます。 詳細については、「 Azure Firewall のログとメトリックの監視」を参照してください。
高度な脅威検出のために Microsoft Sentinel と統合する: Azure Firewall ログを Microsoft Sentinel に接続して、高度なセキュリティ分析、他のセキュリティ イベントとの相関関係、自動応答機能を有効にします。 Azure Firewall コネクタを使用してマルウェアを検出し、脅威パターンを分析します。 詳細については、「 Azure Firewall と Microsoft Sentinel を使用してマルウェアを検出する」を参照してください。
脅威インテリジェンス アラートの監視: 脅威インテリジェンス アラートの監視を構成して、既知の悪意のあるソースからのトラフィックをすばやく特定して対応します。 優先度の高い脅威インテリジェンスの一致に対する自動応答を設定して、攻撃者が永続化を確立する前にブロックします。
パフォーマンスの監視とアラートの構成: Azure Monitor を使用して、スループット、待機時間、SNAT ポート使用率、ルール ヒット数などのファイアウォール パフォーマンス メトリックを追跡します。 ファイアウォールのパフォーマンスを最適化し、サービスの中断を防ぐために、重大なしきい値のアラートを設定します。 詳細については、「 Azure Firewall のパフォーマンスに関するベスト プラクティス」を参照してください。
IDPS 署名規則のカスタマイズを実装する: 優先度の高い脅威に対してモードをアラートからアラートと拒否に変更して IDPS 署名規則をカスタマイズするか、誤検知を生成する署名を無効にします。 スマート検索機能を使用して、CVE-ID またはその他の属性で特定の署名を検索します。
ログ保持ポリシーの構成: コンプライアンス要件と調査のニーズに基づいて、適切なログ保持ポリシーを設定します。 セキュリティ調査をサポートし、規制上の義務を満たすのに十分な期間、ログが保持されていることを確認します。
資産管理
Azure Firewall の資産管理には、構成の監視と適用に Azure Policy を使用し、ファイアウォールデプロイ全体で一貫したセキュリティ体制を確保する必要があります。
構成の適用に Azure Policy を実装する: Azure Policy を使用して、環境全体で Azure Firewall 構成を監視および適用します。 強化されたセキュリティ機能のために、脅威インテリジェンスの有効化、可用性ゾーンのデプロイ、Premium SKU の使用を必要とするポリシーをデプロイします。 詳細については、「 Azure Policy を使用して Azure Firewall デプロイをセキュリティで保護する」を参照してください。
Microsoft Defender for Cloud 統合を使用する: Azure Firewall リソースの Microsoft Defender for Cloud 監視を有効にして、セキュリティに関する推奨事項とコンプライアンス評価を受け取ります。 これにより、一元的なセキュリティ管理が提供され、構成の誤差やセキュリティのギャップを特定するのに役立ちます。
Azure Firewall Premium へのアップグレード: IDPS、TLS 検査、URL フィルタリング、Web カテゴリなどの高度なセキュリティ機能にアクセスするには、Standard から Premium SKU へのアップグレードを検討してください。 Premium は、厳しく規制された環境に適した強化された脅威保護を提供します。 詳細については、「 ニーズに合わせて適切な Azure Firewall SKU を選択する」を参照してください。
パフォーマンスのためにルール構成を最適化する: 規則コレクション グループとルール コレクションを使用してファイアウォール規則を整理し、使用頻度に基づいて優先順位を付けます。 IP グループを使用して、個々の IP 規則の数を減らし、Azure Firewall の制限内に留まるようにします。 詳細については、「 Azure Firewall のパフォーマンスに関するベスト プラクティス」を参照してください。
ポリシー ベースのデプロイ標準を構成する: Azure Policy の "拒否" および "存在しない場合はデプロイ" の効果を使用して、デプロイ標準を確立して適用します。 これにより、すべての新しい Azure Firewall デプロイが組織のセキュリティ要件を自動的に満たすことができます。
セキュリティ ベースラインのコンプライアンスを監視する: Microsoft Defender for Cloud の規制コンプライアンス ダッシュボードを使用して、Microsoft クラウド セキュリティ ベンチマークに対して Azure Firewall の構成を定期的に確認します。 これにより、一貫したセキュリティ体制を維持し、改善のための領域を特定できます。