Microsoft Azureでネットワークを保護するために使われるサービスの一つがAzure Firewallです。Azure Firewallはクラウド環境に特化したさまざまな特徴を持っており、Azureでネットワーク環境を構築する際に必須のサービスとなっています。
本記事では、ファイアウォールの概要、Azure Firewallの概要、オンプレミスのファイアウォールと比較したAzure Firewallの利点、Azure Firewallの料金・価格、使い方を解説します。
目次
ファイアウォールとは?
ファイアウォールは、ネットワークのセキュリティ対策の一つで、企業の内部ネットワークや家庭内のLANなどの内部ネットワークとインターネットなどの外部ネットワークとの間で通信を監視し、不正なアクセスや攻撃からネットワークを保護する「防火壁」の役割を果たします。ファイアウォールは、特定の条件に基づいて通信を「許可」または「拒否」することで、内部のデバイスを外部の脅威から守ります。
ファイアウォールには主に以下のような種類と機能があります。
- パケットフィルタリング型
特定のIPアドレスやポート番号、プロトコルなどの条件に基づいて通信を許可または拒否します。基本的なルールに従ったアクセス制御が行われるため、シンプルで高速ですが、複雑な脅威の検出には対応しきれない場合があります。
- ステートフルインスペクション型
通信の「状態」を追跡し、許可された通信のみに限って接続を維持する方式です。ステートフルとは、通信が接続・維持されている「状態」を追跡することを意味し、単純なパケット単位ではなく、セッション単位で通信の正当性を判断します。
- アプリケーションレベルゲートウェイ型(プロキシファイアウォール)
アプリケーション層での通信内容を検査し、より高度な制御を行います。例えば、ウェブやメールなど特定のアプリケーションに対してのみ通信を許可する、通信内容に潜む不正な操作を見つけるなどの機能を持ち、よりきめ細かいセキュリティ対策が可能です。
※アプリケーション層:ネットワーク通信において、アプリケーションが直接データをやり取りするための最上位の層。OSI参照モデルの7層構造においては「第7層」にあたる。HTTP/HTTPS、SMTP、FTP、DNS、SSHなどのプロトコルが使われる。
- サーキットレベルゲートウェイ型
トランスポート層で動作し、内部からのアクセスに対してのみリモート接続を許可する形で通信を管理します。外部からのアクセスは原則として許可されず、内部のクライアントとリモートサーバー間のトラフィックのみが対象となります。
※トランスポート層:ネットワーク通信においてデータの信頼性や正確性を確保するための層。OSI参照モデルの7層構造においては「第4層」にあたる。TCP、UDPなどのプロトコルが使われる。
- 次世代ファイアウォール(NGFW: Next-Generation Firewall)
従来のファイアウォール機能に加え、侵入防止システム(IPS)やアプリケーション識別、ユーザー識別などの高度な機能を組み合わせ、より強固なセキュリティ対策を提供します。脅威インテリジェンスやサンドボックス機能も含まれ、不正な攻撃をより多角的に防御することが可能です。
※脅威インテリジェンス:サイバー攻撃や不正アクセスに関するデータや情報を収集、分析し、攻撃者の手口や意図、対象に関する理解を深めて、セキュリティ対策に活用すること。
※サンドボックス:プログラムやファイルを他のシステムから独立した状態で安全に実行・検査するための隔離環境。
Azure Firewallとは?
Azure FirewallはMicrosoft Azureが提供するセキュリティサービスで、クラウド環境内のネットワークトラフィックを保護するための完全なステートフルファイアウォールです。Azure Firewallには以下のような特徴があります。
- セキュリティルールの柔軟性:IPアドレス、ポート、プロトコルに基づいてトラフィックを制御するための高度なルールを設定できます。アプリケーション層のフィルタリングも可能です。
- アプリケーション規則:URLベースのフィルタリングを行い、特定のアプリケーションやサービスへのアクセスを制御できます。これにより、悪意のあるサイトへのアクセスを防ぐことができます。
- ネットワーク規則:特定のIPアドレス範囲やポートに基づいてトラフィックを許可または拒否するネットワーク規則を作成できます。
- 高度な脅威防御:Azure Firewallは、脅威インテリジェンスを活用して、既知の悪意のあるIPアドレスやドメインからのトラフィックを自動的にブロックします。
- スケーラビリティと高可用性:Azure Firewallは自動的にスケールアップ・スケールダウンし、需要に応じてパフォーマンスを調整します。また、Azureのインフラストラクチャーによって高可用性が保証されます。
Azure Firewallの利点
一般的なオンプレミスのファイアウォールと比較して、Azure Firewallには下記の利点があります。
- インフラ管理が不要である。
- Azure PortalやAPIによる集中管理が可能で、専用のソフトウエアやツールが不要である。
- スケーラビリティがあり、自動でスケールアップ・スケールダウンできる。
- 可用性が高い。
- 基本的に従量課金制であるため、スモールスタートが可能である。
- ステートフルなトラフィックフィルタリングが可能である。
これらの利点により、Azure Firewallはクラウド環境に特化した高度なファイアウォールサービスで、スケーラビリティ、管理の容易さ、可用性が特徴であることがわかります。
Azure Firewallの価格・料金
Azure Firewallのデプロイメントには、固定の時間単位の料金がかかります。ファイアウォールを通過するデータの転送量(GB単位)に応じた料金も加算されます。
上記の具体的な価格はバージョンによって決定されます。バージョンはデプロイメント時の安い順にBasic、Standard、Premiumの3つがあります。(バージョンごとの差異としては、自動スケールが対応している通信のスループットや、高度な脅威保護機能のサポートの有無が挙げられます。詳しくは公式サイトをご確認ください。)本記事では2024年11月の東日本リージョンにおける料金を公式サイトより引用して記載しています。詳細については公式サイトにて最新の情報をご確認ください。
Basic | Standard | Premium | |
デプロイメント | デプロイ時間あたり$0.395 | デプロイ時間あたり$1.25 | デプロイ時間あたり$1.75 |
データ処理 | 処理GBあたり$0.065 | 処理GBあたり$0.016 | 処理GBあたり$0.016 |
Azure Firewallの使い方
Azure Firewallの基本的な使い方を以下に示します。
Azure Firewallの作成
Azure Portalにログインします。「Firewall」を検索し、Azure Firewall(ファイアウォール)を選択します。「+作成」をクリックします。必要な情報を入力し、「確認および作成」をクリックしてAzure Firewallを作成します。
このとき、Azure Firewall用に新規の仮想ネットワーク、管理パブリックIPアドレス、ファイアウォールポリシーを作成する必要があります。
ルールの作成
作成したAzure Firewallにアクセスします。ファイアウォールポリシーをクリックし、左側のメニューの「設定」をクリックします。追加したいルール(ネットワーク規則、アプリケーション規則など)を選択し、「+規則コレクションの追加」をクリックして規則コレクションを作成します。
※規則コレクションはルールのセットで、ルールの優先度は規則コレクションで設定します。
「+Add rule」をクリックして作成した規則コレクションにルールを追加します。 ※ルールでは送信元や宛先のIPアドレス(もしくはIPアドレスグループ)を設定でき、その通信を許可もしくは拒否できます。許可もしくは拒否する対象として、ネットワーク規則ではポート、アプリケーション規則ではプロトコルを選択できます。
Azure Firewallの管理
作成した規則コレクションやルールはファイアウォールのページから変更できます。必要に応じて設定の追加や削除を行ってください。
また、Azure Firewallを管理する際はAzure Monitorの下記の機能が利用できます。
- ログ監視:Azure Monitorを利用してファイアウォールのトラフィックログや診断ログを有効にできます。収集されたログはストレージアカウントもしくはLog Analyticsで確認できます。
- アラート設定:Azure Monitorで特定の条件に基づいてアラートを設定し、異常なトラフィックやセキュリティインシデントを通知できます。
まとめ
本記事では、最初に一般的なファイアウォールについて説明しました。そして、Microsoft Azureで利用できるステートフルなファイアウォールサービスがAzure Firewallであることと、その特徴を説明しました。続けて、オンプレミスのファイアウォールと比較したAzure Firewallの利点を紹介し、Azure Firewallの価格、Azure Firewallの簡単な使い方について説明しました。
ここまでお読みいただきありがとうございました。本記事が皆様の仕事や学習に役立ちますと幸いです。