Azure Firewall Manager のアーキテクチャのオプション
Azure Firewall Manager は、次の 2 種類のネットワーク アーキテクチャに対するセキュリティ管理機能を備えています。
セキュリティ保護付き仮想ハブ
Azure Virtual WAN ハブは、ハブとスポークのアーキテクチャを簡単に作成できる Microsoft の管理対象リソースです。 セキュリティおよびルーティングのポリシーがそのようなハブに関連付けられている場合は、"セキュリティ保護付き仮想ハブ" と呼ばれます。
ハブ仮想ネットワーク
自分で作成して管理できる標準の Azure 仮想ネットワークです。 そのようなハブにセキュリティ ポリシーが関連付けられている場合は、"ハブ仮想ネットワーク" と呼ばれます。 現時点では、Azure Firewall ポリシーのみがサポートされています。 ワークロード サーバーが含まれるスポーク仮想ネットワークとサービスをピアリングすることができます。 どのスポークにもピアリングされていないスタンドアロンの仮想ネットワークでファイアウォールを管理することもできます。
比較
次の表では、これら 2 つのアーキテクチャ オプションを比較します。組織のセキュリティ要件に適しているものを判断するのに役立ちます。
| ハブ仮想ネットワーク | セキュリティ保護付き仮想ハブ | |
|---|---|---|
| 基になるリソース | 仮想ネットワーク | Virtual WAN ハブ |
| ハブとスポーク | 仮想ネットワーク ピアリングを使用 | ハブ仮想ネットワーク接続を使用して自動化 |
| オンプレミス接続 | 最大 10 Gbps とサイト間接続 30 個の VPN Gateway、ExpressRoute | よりスケーラブルな最大 20 Gbps とサイト間接続 1000 個の VPN Gateway、ExpressRoute |
| SDWAN を使用したブランチ接続の自動化 | サポートされていません | サポートされています |
| リージョンごとのハブ | リージョンごとに複数の仮想ネットワーク | リージョンごとに複数の仮想ハブ |
| Azure Firewall – 複数のパブリック IP アドレス | お客様側で準備 | 自動生成 |
| Azure Firewall Availability Zones | サポートされています | サポートされています |
| サードパーティのサービスとしてのセキュリティ パートナーによる高度なインターネット セキュリティ | お客様が自分で選択したパートナー サービスへの VPN 接続を確立して管理 | セキュリティ パートナー プロバイダーのフローとパートナー管理のエクスペリエンスによって自動化 |
| ハブにトラフィックをルーティングするための集中ルート管理 | お客様が管理するユーザー定義ルート | BGP を使用してサポート |
| 複数のセキュリティ プロバイダーのサポート | サードパーティのファイアウォールへの強制トンネリングを手動で構成してサポート | 2 つのセキュリティ プロバイダーの自動サポート: プライベート トラフィックのフィルタリング用の Azure Firewall とインターネット フィルタリング用のサードパーティ |
| Application Gateway上の Web アプリケーション ファイアウォール | Virtual Network でサポート | 現在はスポーク ネットワークでサポート |
| ネットワーク仮想アプライアンス | Virtual Network でサポート | 現在はスポーク ネットワークでサポート |
| Azure DDoS Protection サポート | はい | 無効 |