この記事では、Azure Application Gateway の背後で Cloud NGFW for Azure by Palo Alto Networks をデプロイする際に推奨されるアーキテクチャについて説明します。 Cloud NGFW for Azure は、Azure の統合サービスとして提供される次世代のファイアウォールです。 Cloud NGFW for Azure は、Azure Marketplace で見つけることができ、Azure Virtual Network インスタンスと Azure Virtual WAN インスタンスで使用できます。
Cloud NGFW for Azure では、App-ID や高度な URL フィルタリングなど、Palo Alto Networks からコア ファイアウォール機能にアクセスできます。 クラウドで提供されるセキュリティ サービスと脅威防止署名を通じて、脅威の防止と検出を提供します。 この記事のデプロイ モデルでは、Cloud NGFW for Azure のネットワーク セキュリティ機能を使用して、Application Gateway のリバース プロキシ機能と Web アプリケーション ファイアウォール (WAF) 機能を使用します。
Cloud NGFW for Azure の詳細については、「Azure Native ISV サービス、Cloud NGFW by Palo Alto Networks とは」を参照してください。
建築
Cloud NGFW for Azure を使用すると、ハブ仮想ネットワークや仮想 WAN ハブを走査する受信トラフィック、送信トラフィック、横方向トラフィックをセキュリティで保護できます。
イングレス接続をセキュリティで保護できるように、Cloud NGFW for Azure リソースは、宛先ネットワーク アドレス変換 (DNAT) 構成をサポートしています。 Cloud NGFW for Azure では、1 つ以上の構成済みパブリック IP アドレスでクライアント接続を受け入れているだけではなく、アドレス変換とトラフィック検査も実行しています。 また、ユーザーが構成したセキュリティ ポリシーも適用しています。
Web アプリケーションでは、Application Gateway をリバース プロキシとロード バランサーの両方として使用するとメリットを得られます。 この組み合わせは、Azure とオンプレミスのイングレス接続で Web ベースのワークロードと Web 以外のワークロードの両方をセキュリティで保護する必要がある場合に最適なセキュリティが提供されます。 Application Gateway の 1 つのパブリック IP を使用して、多数の Web アプリケーション バック エンドへの HTTP 接続と HTTPS 接続をプロキシ経由にすることができます。 検査やポリシー適用の場合、HTTP 以外の接続は、Cloud NGFW for Azure パブリック IP アドレスを通じて行う必要があります。
また、Application Gateway では、Web アプリケーション レイヤーでの攻撃を示すパターンを探すための WAF 機能が提供されています。 Application Gateway の機能に関する詳細については、サービス ドキュメントを参照してください。
Cloud NGFW for Azure は、2 つのデプロイ アーキテクチャをサポートしています。
- ハブ アンド スポーク仮想ネットワーク
- 仮想WAN
次のセクションでは、このアーキテクチャを Azure で実装するための詳細と必要な構成について説明します。
ハブ仮想ネットワーク
このデプロイを実行すると、ハブ仮想ネットワークに 2 つのサブネットが割り当てられます。 Cloud NGFW for Azure リソースは、ハブ仮想ネットワークにプロビジョニングされます。
Application Gateway は、パブリック IP アドレスでフロント エンド リスニングを使用して、専用仮想ネットワーク内にデプロイされます。 バックエンド プールは、Web アプリケーションにサービスを提供しているワークロードを対象としています。この例では、IP アドレスが 192.168.1.0/24 のスポーク仮想ネットワーク内にある仮想マシンです。
スポーク仮想ネットワークと同様に、Application Gateway 仮想ネットワークは、トラフィックが宛先スポーク仮想ネットワークにルーティングできるように、ハブ仮想ネットワークにピアリングされている必要があります。
Cloud NGFW for Azure リソース経由で受信 Web トラフィックを強制するには、ユーザー定義のルートを作成して、Application Gateway サブネットに関連付ける必要があります。 このケースでの次ホップは、Cloud NGFW for Azure のプライベート IP アドレスです。 このアドレスを見つけるには、Azure portal のサービス メニューから [概要 ] を選択します。
![Azure portal の [Cloud NGFW for Azure] ビューを示すスクリーンショット。](media/palo-alto-app-gateway/palo-alto-resource.png)
ユーザー定義のルートの例を次に示します。
- アドレス プレフィックス: 192.168.1.0/24
- 次ホップの種類: 仮想アプライアンス
- 次ホップの IP アドレス: 172.16.1.132
インフラストラクチャをデプロイして構成した後、Application Gateway 仮想ネットワークからの接続を許可するセキュリティ ポリシーを Cloud NGFW for Azure に適用する必要があります。 Application Gateway を使用すると、クライアントの TCP 接続がプロキシ経由になり、バックエンド ターゲットに指定されている宛先への新しい接続が作成されます。 この接続のソース IP は、Application Gateway サブネットからのプライベート IP アドレスです。 Application Gateway 仮想ネットワーク プレフィックスが受信フローとして扱われることを確認します。 クライアントの元のソース IP は、レイヤー 3 には保持されません。
Web 以外のトラフィックでは、Cloud NGFW for Azure のパブリック IP アドレスと DNAT ルールを引き続き使用できます。
仮想WAN
Palo Alto Networks のサービスとしてのソフトウェア (SaaS) ソリューションを使用して仮想 WAN ハブをセキュリティで保護することは、デプロイ全体で一貫したセキュリティ ポリシーが仮想 WAN で適用されていることを保証する最も効率的で簡単な方法です。
Cloud NGFW for Azure リソースを次ホップとしてパブリックまたはプライベート トラフィックに使用するように、ルーティング インテントとルーティング ポリシーを構成する必要があります。 接続済みのスポーク仮想ネットワーク、VPN ゲートウェイ、または Azure ExpressRoute ゲートウェイを使用すると、Cloud NGFW for Azure リソース経由でトラフィックを送信するためのルーティング情報を取得できます。
既定では、ハブへの仮想ネットワーク接続の [既定ルートの伝達] オプションが [有効] に設定されています。 この設定では、0.0.0.0/0 ルートがインストールされて、その仮想ネットワークから送信された一致しないすべてのトラフィックが仮想 WAN ハブを通過するように強制されます。 このトポロジでは、この設定を行うと非対称ルーティングが発生します。Application Gateway によってプロキシ処理された戻りトラフィックが、インターネットではなく仮想ハブに戻るからです。 Application Gateway 仮想ネットワークを仮想 WAN ハブに接続する場合は、この属性を [無効] に設定して、Application Gateway から送信されたトラフィックがローカルで中断するようにします。
既定ルートの伝達を無効にするのが望ましくない場合もあります。 他のアプリケーションやワークロードが Application Gateway 仮想ネットワークでホストされており、Cloud NGFW for Azure による検査が必要な場合がその一例です。 この場合、ユーザーは既定ルートの伝達を有効にできますが、0.0.0.0/0 ルートを Application Gateway サブネットに追加すると、ハブから受信した既定ルートがオーバーライドされてしまいます。 アプリケーション仮想ネットワークへの明示的なルートも必要です。
Cloud NGFW for Azure の次ホップ IP アドレスは、スポーク仮想ネットワーク内にあるワークロードの有効なルートを表示すると見つかります。
セキュリティ ポリシーに関する考慮事項
Azure ルールスタック
Azure ルールスタックを使用すると、セキュリティ ルールを構成し、Azure portal に、または API 経由で、セキュリティ プロファイルを適用できます。 上記のアーキテクチャを実装する場合は、Palo Alto Networks App-ID、Advanced Threat Prevention、高度な URL フィルター処理、DNS セキュリティ、Cloud-Delivered Security Services を使用してセキュリティ ルールを構成します。
詳細については、ルールスタックを使用した Cloud NGFW ネイティブ ポリシーの管理に関するページを参照してください。
注
セキュリティ ポリシーを強制するために X-Forwarded-For (XFF) HTTP ヘッダー フィールドを使用することは、Azure ルールスタックでは現在サポートされていません。
パノラマ
Panorama を使用して Azure リソースの Cloud NGFW を管理する場合は、テンプレート スタック、ゾーン、脆弱性プロファイルなどの既存および新しいポリシーコンストラクトを使用できます。 Cloud NGFW for Azure セキュリティ ポリシーは、プライベートとパブリックの 2 つのゾーンの間で構成できます。 受信トラフィックはパブリックからプライベートに、送信トラフィックはプライベートからパブリックに、東西トラフィックはプライベートからプライベートに送信されます。
Application Gateway のイングレス トラフィックは、検査とセキュリティ ポリシーの強制のために、プライベート ゾーンを介して Cloud NGFW に転送されます。
Application Gateway からのトラフィックが受信として扱われるようにするには、ゾーンベースのポリシーに特別な考慮事項を適用する必要があります。 このポリシーには、セキュリティ ルール、脅威の防止プロファイル、インライン クラウド分析があります。 このトラフィックは、プライベート対プライベートとして扱われ、Application Gateway によってプロキシ処理されるため、また Application Gateway サブネットからプライベート IP アドレスを通じて送信されます。