Azure Firewall Manager ポリシーの概要
ファイアウォール ポリシーは、Azure Firewall を設定するための推奨方法です。 セキュリティ保護付き仮想ハブ内およびハブ仮想ネットワーク内の複数の Azure Firewall インスタンスにわたって使用できるグローバル リソースです。 ポリシーは、複数のリージョンおよび複数のサブスクリプションにわたって作用します。
ポリシーの作成と関連付け
ポリシーは、Azure portal、REST API、テンプレート、Azure PowerShell、CLI など、さまざまな方法で作成、管理できます。
ポータルまたは Azure PowerShell を使用し、Azure Firewall から既存のクラシック ルールを移行して、ポリシーを作成することもできます。 詳細については、Azure Firewall 構成を Azure Firewall ポリシーに移行する方法に関するページを参照してください。
ポリシーは、1 つ以上の仮想ハブまたは VNet に関連付けることができます。 ファイアウォールは、リージョンにかかわらず、ご利用のアカウントに関連付けられた任意のサブスクリプションに置くことができます。
クラシック ルールとポリシー
Azure Firewall はクラシック ルールとポリシーの両方をサポートしますが、推奨される構成はポリシーです。 ポリシーとクラシック ルールを比較した表を次に示します。
| サブジェクト | ポリシー | クラシック ルール |
|---|---|---|
| Contains | NAT、ネットワーク、アプリケーションルール、カスタム DNS および DNS プロキシ設定、IP グループ、脅威インテリジェンス設定 (許可リストを含む)、IDPS、TLS 検査、Web カテゴリ、URL フィルタリング | NAT、ネットワーク、アプリケーションの規則、カスタム DNS と DNS プロキシ設定、IP グループ、脅威インテリジェンスの設定 (許可リストを含む) |
| 保護 | 仮想ハブと仮想ネットワーク | 仮想ネットワークのみ |
| ポータルでの操作 | Firewall Manager を使用した一元管理 | スタンドアロンのファイアウォール エクスペリエンス |
| 複数のファイアウォールのサポート | ファイアウォール ポリシーは、複数のファイアウォールにまたがって使用できる個別のリソース | ルールのエクスポートとインポートを手動で行うか、サードパーティの管理ソリューションを使用 |
| 価格 | ファイアウォールの関連付けに基づいて課金されます。 「価格」を参照してください。 | Free |
| サポートされるデプロイ メカニズム | ポータル、REST API、テンプレート、Azure PowerShell、CLI | ポータル、REST API、テンプレート、PowerShell、CLI |
Basic、Standard、Premium ポリシー
Azure Firewall では、Basic、Standard、Premium ポリシーがサポートされています。 次の表は、これらのポリシーの違いをまとめたものです。
| ポリシーの種類 | 機能サポート | ファイアウォール SKU のサポート |
|---|---|---|
| Basic ポリシー | NAT 規則、ネットワーク規則、アプリケーション 規則 IP グループ 脅威インテリジェンス (アラート) |
基本 |
| 標準ポリシー | NAT 規則、ネットワーク規則、アプリケーション 規則 カスタム DNS、DNS プロキシ IP グループ Web カテゴリ [脅威インテリジェンス] |
Standard または Premium |
| プレミアム ポリシー | すべての Standard 機能のサポートに加えて、次の機能がサポートされます。 TLS インスペクション Web カテゴリ URL フィルタリング IDPS |
Premium |
階層構造のポリシー
ポリシーはゼロから作成するか、既存のポリシーから継承することができます。 DevOps は継承を利用することで、規定されている組織の基本ポリシーの上にローカル ファイアウォール ポリシーを作成することができます。
空ではない親ポリシーを使って作成されたポリシーは、親ポリシーからすべてのルール コレクションを継承します。 親ポリシーと子ポリシーは、同じリージョンに存在する必要があります。 ファイアウォール ポリシーは、保存されている場所に関係なく、リージョン間のファイアウォールに関連付けることができます。
親ポリシーから継承されたネットワーク規則コレクションは、新しいポリシーの一部として定義されているネットワーク規則コレクションより常に優先されます。 この同じロジックがアプリケーション ルール コレクションにも適用されます。 ただし、ネットワーク ルール コレクションは、継承に関係なく、常にアプリケーション ルール コレクションより先に処理されます。
親ポリシーからは、脅威インテリジェンス モードも継承されます。 この動作は、脅威インテリジェンス モードを別の値に設定することでオーバーライドすることはできますが、オフにすることはできません。 より厳密な値でオーバーライドすることのみできます。 たとえば、親ポリシーが [警告のみ] に設定されている場合、このローカル ポリシーを [警告して拒否] に構成することができます。
脅威インテリジェンス モードと同様に、脅威インテリジェンスの許可リストは親ポリシーから継承されます。 子ポリシーによって、許可リストに IP アドレスを追加できます。
NAT ルール コレクションは、特定のファイアウォールに固有のものであるため継承されません。
継承では、親ポリシーに対するすべての変更が、対応する子のファイアウォール ポリシーに自動的に適用されます。
組み込みの高可用性
高可用性が組み込まれているため、構成する必要はありません。 任意のリージョンに Azure Firewall ポリシー オブジェクトを作成し、同じ Azure AD テナント内の複数の Azure Firewall インスタンスにグローバルにリンクできます。 ポリシーを作成するリージョンがダウンし、ペアになっているリージョンがある場合、ARM (Azure Resource Manager) オブジェクト メタデータは自動的にセカンダリ リージョンにフェールオーバーされます。 フェールオーバー中、またはペアのない単一リージョンが失敗状態のままである場合は、Azure Firewall ポリシー オブジェクトを変更できません。 ただし、ファイアウォール ポリシーにリンクされている Azure Firewall インスタンスは引き続き動作します。 詳しくは、「Azure でのリージョン間レプリケーション: 事業継続とディザスター リカバリー」を参照してください。
価格
ポリシーは、ファイアウォールの関連付けに基づいて課金されます。 ファイアウォールの関連付けが 0 個または 1 個のポリシーは無料です。 ファイアウォールの関連付けが複数存在するポリシーは、固定レートで課金されます。 詳細については、「Azure Firewall Manager の価格」を参照してください。
次のステップ
- Azure ファイアーウォールのデプロイ方法を確認する - チュートリアル: Azure portal を使用して Azure Firewall Manager でクラウド ネットワークをセキュリティで保護する
- Azure ネットワーク セキュリティの詳細