Azure Firewall では、仮想ネットワーク全体で一元化されたネットワーク セキュリティ ポリシーの適用とログ記録が提供されます。 次の推奨事項は、主要な保護機能がアクティブで適切に構成されていることを確認するのに役立ちます。
すべての Azure ネットワーク セキュリティのゼロ トラストに関する推奨事項の概要については、 Azure ネットワーク セキュリティのゼロ トラストに関する推奨事項を参照してください。
レコメンデーション
VNet 統合ワークロードからの送信トラフィックは、Azure Firewall 経由でルーティングされます
Azure Firewall は、送信トラフィックの一元的な検査、ログ記録、および適用を提供するクラウドネイティブ のネットワーク セキュリティ サービスです。 セキュリティで保護されたネットワーク アーキテクチャでは、外部サービスに到達する前に、VM、AKS クラスター、App Service、Functions などの VNet 統合ワークロードからの送信トラフィックを Azure Firewall 経由で明示的にルーティングする必要があります。 このルーティングにより、脅威インテリジェンス フィルタリング、侵入検出と防止、TLS 検査、エグレス ポリシーの適用など、送信セキュリティ検査がすべての送信フローに確実に適用されます。 このルーティングがないと、送信トラフィックはファイアウォールを完全にバイパスし、環境はデータ流出とコマンド アンド コントロール通信にさらされます。 このチェックでは、有効なネットワーク ルートが、すべてのサブスクリプションで対象となるワークロードに対してファイアウォールのプライベート IP アドレスに送信トラフィックを送信することを確認します。
SNAT ポートの枯渇を危険にさらすトラフィックの多いワークロードの場合は、 Azure Firewall と共に Azure NAT ゲートウェイをデプロイすることを検討してください。 NAT ゲートウェイでは、パブリック IP アドレスあたり最大 64,512 個の SNAT ポートが提供されます。Azure Firewall のインスタンスあたりのパブリック IP あたりの SNAT ポート数は 2,496 個です。 AzureFirewallSubnet に関連付けられている場合、NAT ゲートウェイは送信変換を処理しますが、Azure Firewall は二重 NAT なしでトラフィックを検査し続けます。
修復アクション
- Azure Firewall ルーティングを構成する
- ルート テーブルとルートを管理する
- Azure Firewall を使用して App Service の送信トラフィックを制御する
- Azure Firewall のセキュリティ規則
Azure Firewall で脅威インテリジェンスが拒否モードで有効になっている
Azure Firewall 脅威インテリジェンスベースのフィルター処理アラートは、既知の悪意のある IP アドレス、完全修飾ドメイン名 (FQDN)、および Microsoft Threat Intelligence フィードから取得された URL との間のトラフィックを拒否します。 有効にすると、Azure Firewall は、ネットワーク アドレス変換 (NAT)、ネットワーク、またはアプリケーションルールを適用する前に、脅威インテリジェンス ルールに対してトラフィックを評価します。 このチェックでは、Azure Firewall ポリシーの "アラートと拒否" モードで脅威インテリジェンスが有効になっていることを確認します。 この機能を有効にしないと、環境は既知の悪意のある IP、ドメイン、URL に公開されたままになり、侵害やデータ流出のリスクが生じます。
注
"アラートと拒否" モードには、Azure Firewall Standard または Premium が必要です。 Azure Firewall Basic では、アラート モードのみがサポートされます。 機能の完全な比較については、「 適切な Azure Firewall SKU を選択する」を参照してください。
修復アクション
Azure Firewall で IDPS 検査が拒否モードで有効になっている
Azure Firewall Premium には、ネットワーク トラフィック内のバイト シーケンスやマルウェアによって使用される既知の悪意のある命令シーケンスなどの特定のパターンを識別することによって攻撃を検出する、シグネチャベースの侵入検出および防止システム (IDPS) が用意されています。 IDPS 署名は、レイヤー 3 から 7 のアプリケーション とネットワーク レベルのトラフィックの両方に適用され、フル マネージドで継続的に更新され、受信、スポーク間、および送信トラフィック (オンプレミス ネットワークとの間のトラフィックを含む) に適用できます。 このチェックでは、Azure Firewall ポリシーの "アラートと拒否" モードで IDPS が有効になっていることを確認します。 IDPS が無効または "アラート" のみのモードの場合、ネットワーク トラフィックの悪意のあるパターンはアクティブにブロックされません。
修復アクション
Azure Firewall で送信 TLS トラフィックの検査が有効になっている
Azure Firewall Premium では、Azure Key Vault に格納されている顧客指定の証明機関 (CA) 証明書を使用して、送信および東西の暗号化されたトラフィックの暗号化を解除、検査、および再暗号化するためのトランスポート層セキュリティ (TLS) 検査が提供されます。 TLS 検査を使用すると、侵入検出および防止システム (IDPS) や URL フィルタリングなどの高度なセキュリティ機能を使用して、暗号化されたトラフィックを分析し、暗号化されたチャネルを使用して検出を回避する脅威を特定できます。 TLS 検査が有効になっていないと、ファイアウォールは暗号化されたペイロードを検査できないため、従来のセキュリティ制御をバイパスするために TLS を利用する脅威の可視性が大幅に制限されます。
修復アクション
- Azure Firewall Premium で TLS 検査を有効にする
- Azure Firewall Premium TLS 検査用のエンタープライズ CA を使用して証明書をデプロイする
- TLS 検査用の中間 CA 証明書を作成して構成する
- TLS 検査のために Azure Key Vault に証明書を格納する
- Azure Firewall ポリシーで TLS 検査を使用してアプリケーション規則を構成する
- SKU 別の Azure Firewall 機能
Azure Firewall で診断ログが有効になっている
Azure Firewall は、保護されたワークロードのすべての受信および送信ネットワーク トラフィックを処理するため、セキュリティ監視の重要な制御ポイントとなります。 診断ログが有効になっていない場合、セキュリティ チームはトラフィック パターン、拒否された接続試行、脅威インテリジェンスの一致、侵入検出および防止システム (IDPS) 署名検出の可視性を失います。 ログを記録しないと、アクセス権を取得した脅威アクターは検出なしで横方向に移動でき、インシデント レスポンダーは攻撃タイムラインを構築できません。 Azure Firewall には、アプリケーション ルール ログ、ネットワーク ルール ログ、ネットワーク アドレス変換 (NAT) ルール ログ、脅威インテリジェンス ログ、IDPS 署名ログ、および Log Analytics、ストレージ アカウント、セキュリティ監視とフォレンジック分析用のイベント ハブなどの宛先にルーティングする必要がある DNS プロキシ ログなど、複数のログ カテゴリが用意されています。
修復アクション
- Log Analytics ワークスペースの作成
- Azure Monitor の診断設定を作成する
- Azure Firewall の構造化ログ
- Azure Firewall ワークブック
- Azure Firewall を監視する