Azure Managed Service Column <Azure運用コラム>

Azure Firewallとは?NSG、WAF、IPS/IDS との違いについても解説

Category: 入門編

2022.08.12

Azure Firewall の機能や SLA、他セキュリティアプライアンス製品との違いについて解説します

Azure Firewall は Azure 環境で動作するクラウドベースのファイアウォールです。Azure に構成されたネットワークを保護し、一元的な設定、運用、管理機能を備えています。

従来のファイアウォール製品は、ハードウェア型として主にオフィスとインターネットの境界線に設置されていました。しかし近年ではクラウドサービスの利用が増加しクラウド環境に構築されたシステムを保護するセキュリティの重要性が高まっています。

Azure には Azure Firewall と類似した機能をもつ NSG ( Network Security Group )というサービスも存在します。本記事では Azure Firewall が搭載する機能、NSG や他セキュリティアプライアンスとの違いを解説します。

1.Azure Firewall の機能

Azure Firewall は Azure 環境で動作するクラウドベースのファイアウォールです。最高レベルのセキュリティを提供し柔軟性、拡張性に優れたステートフルなファイアウォールサービスです。まずは主な機能について解説します。

1.1 可用性ゾーン( Availability Zones )

Azure Firewall はクラウド環境の特性を活かしデプロイ時に可用性を高めるために複数の可用性ゾーンにまたがるように構成することができます。
可用性ゾーンを使用すると可用性が高まり 99.99 % のアップタイムが実現可能です。そのため稼働率 99.99 % の SLA が提供されます。

複数の可用性ゾーンにデプロイされるファイアウォールについては追加のコストは発生しません。ただし可用性ゾーンに関連する送受信のデータ転送については追加のコストが発生します。

1.2 柔軟なルール設計

従来のステートフルファイアーウォール製品同様レイヤー 3 、レイヤー 4 のステートフルなルールを構築することができます。IP アドレス、サービスポート番号、プロトコル、FQDN などでルールを構築することができます。また送信 SNAT 、受信 DNAT などゲートウェイ装置として必要な NAT 機能も実装しています。

1.3 通信ログ記録

すべての通信イベントは Azure Monitor に統合されます。そのためログデータを一元的に記録することができます。また、ログデータの記録だけではなくメトリックを監視したり、Azure portal 内で高度な視覚的レポートを作成したり、ログのアーカイブ、イベントハブへのストリーム配信など様々な活用が可能です。

1.4 パブリック IP アドレス管理

複数のパブリック IP アドレスを最大 250 までファイアウォールに関連付けることができます。

1.5 脅威インテリジェンス

マイクロソフトの脅威インテリジェンスを利用し脅威インテリジェンスベースのフィルター処理を有効にして既知の悪意のある IP アドレスやドメイン間のトラフィックの警告と拒否を行うことができます。

1.6 強制トンネルモード

Azure Firewall は、運用を目的としたパブリック IP アドレスが必要になります。このパブリック IP アドレスはセキュリティで保護されていますが一般的にはパブリック IP アドレスをインターネットに直接公開することはセキュリティ上のリスクが伴います。

強制トンネルモードは、デプロイ時に管理用 NIC を作成し、この NIC を管理オペレーション用として使用します。そのことで管理用のトラフィックと一般利用、サービス利用のトラフィックを分離して構成することができます。

ここまで紹介した機能以外で Azure Firewall の特徴を紹介します。

2. Azure Firewall の SLA

高可用性と自動スケーリング能力を備えておりネットワークリソースに対してステートフルでネイティブなファイアウォール機能を提供します。マイクロソフトでは 99.95% 以上の割合で利用可能であることを保証しています。

SLA とは、Service Level Agreement の略でありサービス提供レベルに関する水準です。マイクロソフトは SLA を達成できなかった場合、利用者に対し月間サービス料金の一部を返金します。

2.1 Azure Firewall の既知の問題

Azure Firewall には、いくつかの既知の問題が存在します。導入前には必ず確認することをお勧めします。

3. Azure Firewall と NSG、WAF、IPS/IDS との違い

さまざまなセキュリティ機能を実装できる Azure Firewall と他セキュリティアプライアンスと比較によってそれぞれの特徴について解説します。

セキュリティアプライアンス別の保護レイヤー
<セキュリティアプライアンス別の保護レイヤー>

3.1 Azure Firewall と NSG の違い

NSG( Network Security Group )とは Azure ネットワーク内の Azure リソースが送受信するネットワークトラフィックに対するフィルター処理機能を提供するサービスです。NSG は各規則で送信元と送信先、ポート、およびプロトコルを指定することができます。

NSG の違いとして最も重要な点がインターネットとの境界線で動作するセキュリティ機能が Azure Firewall 、仮想ネットワーク内およびサブネットで動作するセキュリティ機能が NSG という点です。

Azure Firewall でもネットワーク内の制御することも可能ですが一般的には外部は Azure Firewall 、内部は NSG という位置づけです。 2 つを組み合わせて利用する事でより強固な多層防御セキュリティが実現できます。

機能比較表

機能 NSG Azure Firewall
動作箇所 サブネットと VM の NIC ネットワークの境界
対象レイヤー L3/L4 L3/L4 + L7
サービスタグによるフィルタリング
FQDN によるフィルタリング ×
NAT機能 ×
脅威インテリジェンスベースのフィルター処理 ×
価格 無料 有料

3.2 Azure Firewall と WAF の違い

WAF ( Web Application Firewall )は、 Web アプリケーションの脆弱性や、改ざんから保護するファイアウォールです。Azure Firewall は対象レイヤーが L3 、L4 のレイヤーをメインとしたステートフルファイアウォールであるのに対し WAF はさらに Web サービスに特化しているファイアウォールという点です。

Web サイトや Web アプリケーションは特にサイバー攻撃の標的になりやすく、OWASP ( The Open Web Application Security Project )という Web アプリケーションセキュリティを取り巻く脅威、課題の解決を目的とした国際的なコミュニティが存在します。 WAF はこの OWASP が提唱する Web サイトのリスクに対する防御が可能なファイアウォールです。

3.3 Azure Firewall と IPS/IDS の違い

IPS は「 Intrusion Prevention System 」の略で、Intrusion (侵入)を Prevention (防御)する働きから、侵入防御システムと呼ばれています。IDS は「 Intrusion Detection System 」の略で、Intrusion (侵入)を Detection (検知)する働きから、侵入検知システムと呼ばれています。

IDS が不正アクセスの検知・通知にとどまるのに対し IPS は不正アクセスを防御する役割を持っています。

Azure Firewall と異なる点は、通信パケットの振る舞いを見ている点です。例えば特定の通信が連続して行われていた場合それを DoS 攻撃、 Flood 攻撃と判断し、パケットを遮断します。これは Azure Firewall のように送信元、宛先、サービスでは判断せずパケット通信の動きにより、シグネチャと比較して判断するのが特徴です。

4. Azure Firewallの提供プランと料金について

Standard と Premium の 2 つのプランで提供されています。料金発生のタイミングは Azure Firewall がデプロイされた時、データの送受信によりデータ処理量された時により課金が発生します。Standard と Premium の価格面の違いとして、デプロイされた時の価格が異なりますがデータ処理の価格は同様です。

4.1 Azure Firewall Standard

Standard はステートフルなファイアウォール機能、管理機能、L3 から L7 のフィルタリング機能、脅威インテリジェンスを利用することができます。

4.2 Azure Firewall Premium

Premium は Standard プランに加え、特定のパターンを見つけることで攻撃を迅速に検知することができるグネチャベースの IPS などの高度な機能が備わっています。

5. まとめ

Azure Firewall の機能、NSG 、WAF 、IPS / IDS との違いについて解説しました。それぞれのセキュリティアプライアンスはどれか一つで充足するものではありません。それぞれの防御範囲が異なるため、環境や保護対象のシステムによってうまく組み合わせて使う多層防御のシステムが効果的です。自社の利用状況に合わせた環境を構築しましょう。また導入に当たっては専門家へ相談されることも推奨いたします。

Azure のセキュリティ対策を相談したい

Azureセキュリティ対策サービス

Azure セキュリティ対策サービス

Microsoft Azure のセキュリティ対策をご支援します。

Free

資料ダウンロード

課題解決に役立つ詳しいサービス資料はこちら

資料ダウンロード
  • Azure導入支援・構築・運用サービス総合カタログ

    Microsoft Azure サービスの導入検討・PoC、設計、構築、運用までを一貫してご支援いたします。
    Azure導入・運用時のよくあるお悩み、お悩みを解決するためのアールワークスのご支援内容・方法、ご支援例などをご確認いただけます。

Microsoft Azureを利用したシステムの設計・構築を代行します。お客様のご要件を実現する構成をご提案・実装いたします。

Azure導入個別相談会(無料)

Tag: Azure Firewall Azureネットワーク

Contactお問い合わせ

お見積もり・ご相談など、お気軽にお問い合わせください。

single.php