Azure Policy は、ポリシーの作成、割り当て、管理に使用できる Azure のサービスです。 これらのポリシーは、リソースにさまざまなルールと効果を適用して、それらのリソースが会社の標準とサービス レベル アグリーメントに準拠した状態に保たれるようにします。 Azure Policy は、割り当てられたポリシーに準拠していないリソースを評価します。 たとえば、ポリシーを使用して、環境内の特定のサイズの仮想マシンのみを許可したり、リソースに特定のタグを適用したりできます。
Azure Policy を使用して、許可または禁止される構成を定義するポリシーを適用することで、Azure Firewall の構成を管理できます。 この方法は、ファイアウォール設定が組織のコンプライアンス要件とセキュリティのベスト プラクティスと一致していることを確認するのに役立ちます。
前提条件
Azure サブスクリプションをお持ちでない場合は、開始する前に 無料アカウント を作成してください。
Azure Firewall で利用できるポリシー
Azure Firewall では、以下のポリシーを利用できます。
| Policy | 説明 |
|---|---|
| Azure Firewall ポリシーで脅威インテリジェンスを有効にする | 脅威インテリジェンスが有効になっていない Azure Firewall 構成を非準拠としてマークします。 |
| Azure Firewall を複数の可用性ゾーンにデプロイする | 複数の可用性ゾーン構成のみを許可するように Azure Firewall のデプロイを制限します。 |
| Azure Firewall Standard を Premium にアップグレードする | 高度な Premium 機能を使用し、ネットワーク セキュリティを強化するために、Azure Firewall Standard を Premium にアップグレードすることをお勧めします。 |
| Azure Firewall Policy Analytics を有効にする必要がある | ファイアウォール規則を効果的に調整および最適化するために、ファイアウォールで Policy Analytics が有効になっていることを確認します。 |
| Azure Firewall で暗号化されたトラフィックしか許可しない | ファイアウォール ポリシーの規則とポートを監査して、暗号化されたトラフィックのみが環境に許可されるようにします。 |
| Azure Firewall で DNS プロキシを有効にする必要がある | Azure Firewall デプロイで DNS プロキシ機能が有効になっていることを確認します。 |
| Azure Firewall Premium ポリシーで IDPS を有効にする | 脅威や脆弱性から保護するために、Azure Firewall デプロイで IDPS 機能が有効になっていることを確認します。 |
| Azure Firewall ポリシーで TLS 検査を有効にする | HTTPS トラフィックの悪意のあるアクティビティを検出、アラート、軽減するには、TLS 検査を有効にする必要があります。 |
| ファイアウォール ポリシーに明示的なプロキシ構成を適用する |
explicitProxy.enableExplicitProxy フィールドをチェックして、すべての Azure Firewall ポリシーで明示的なプロキシ構成が有効になっていることを確認します。 完全なポリシー定義については、「 ファイアウォール ポリシーに明示的なプロキシ構成を適用する」を参照してください。 |
| Azure Firewall で明示的なプロキシを使用しているときに PAC ファイル構成を有効にする | ファイアウォール ポリシーを監査して、明示的なプロキシが有効になっている場合 (explicitProxy.enableExplicitProxy が true の場合)、PAC ファイル (explicitProxy.enablePacFile) も有効になっていることを確認します。 完全なポリシー定義については、「 Azure Firewall で明示的なプロキシを使用しているときに PAC ファイルの構成を有効にする」を参照してください。 |
| Azure Firewall クラシック規則からファイアウォール ポリシーへ移行する | ファイアウォールクラシックルールからファイアウォールポリシーへの移行をお勧めします。 |
| 特定のタグを持つ VNET では Azure Firewall をデプロイする必要がある | Azure Firewall デプロイ用に指定されたタグを持つすべての仮想ネットワークを確認し、存在しない場合は非準拠として構成にフラグを設定します。 |
次の手順では、すべてのファイアウォール ポリシーを適用して脅威インテリジェンス機能 ( アラートのみ または アラートと拒否) を有効にする Azure ポリシーを作成する方法を示します。 作成したリソース グループに Azure Policy スコープを設定します。
リソース グループを作成する
このリソース グループを Azure Policy のスコープとして設定します。 このリソース グループにファイアウォール ポリシーを作成します。
- Azure portal で、[リソースの 作成] を選択し、
resource groupを検索し、結果から [リソース グループ ] を選択します。 - [ 作成] を選択し、サブスクリプションを選択し、リソース グループの名前を入力して、リージョンを選択します。
- [確認と作成] を選択し、次に [作成] を選択します。
Azure ポリシーを作成する
次に、新しいリソース グループ内に Azure Policy を作成します。 このポリシーにより、すべてのファイアウォール ポリシーで脅威インテリジェンスが有効になります。
- Azure portal で
policyを検索し、結果から [ポリシー ] を選択します。 - 左側のメニューで、[作成] を展開し、[定義] を選択します。
- 検索ボックスに「
firewall」と入力し、[ Azure Firewall Policy で脅威インテリジェンスを有効にする必要があります] を選択します。 - [ポリシーの割り当て] を選択します。
- [スコープ] で、サブスクリプションと新しいリソース グループを選択し、[選択] を選択します。
- [次へ]を選択します。
- [ パラメーター ] ウィンドウで、[ 入力またはレビューが必要なパラメーターのみを表示 する] チェック ボックスをオフにし、[ 効果] で [拒否] を選択します。
- [ 確認と作成] を選択し、[ 作成] を選択します。
ファイアウォール ポリシーを作成する
次に、脅威インテリジェンスを無効にしてファイアウォール ポリシーを作成します。
- Azure portal で、[ リソースの作成] を選択し、
firewall policyを検索し、結果から [ファイアウォール ポリシー ] を選択します。 - [ 作成] を選択し、サブスクリプションと、前に作成したリソース グループを選択します。
- [ 名前 ] ボックスに、ポリシーの名前を入力します。
- [ 脅威インテリジェンス ] タブに移動します。
- [脅威インテリジェンス モード] で、[無効] を選択します。
- [Review + create]\(レビュー + 作成\) を選択します。
リソースがポリシーによって禁止されたことを示すエラーが表示され、Azure Policy で脅威インテリジェンスが無効になっているファイアウォール ポリシーが許可されていないことが確認されます。
その他の Azure Policy 定義
明示的なプロキシ構成のポリシーなど、Azure Firewall 向けに特別に設計されたその他の Azure Policy 定義については、 Azure Network Security GitHub リポジトリを参照してください。 このリポジトリには、環境にデプロイできるコミュニティが提供するポリシー定義が含まれています。