Share via

Virtual WAN で Palo Alto Networks Cloud NGFW を構成する

  • [アーティクル]

Palo Alto Networks Cloud Next Generation Firewall (NGFW) は、ネットワーク トラフィックを検査するための Bump-in-the-wire ソリューションとして Virtual WAN ハブにデプロイできる、クラウドネイティブのサービスとしてのソフトウェア (SaaS) のセキュリティ オファリングです。 次のドキュメントでは、Virtual WAN での Palo Alto Networks Cloud NGFW の使用に関連する主要な機能、重要なユース ケース、および方法について説明します。

背景

Palo Alto Networks Cloud NGFW と Virtual WAN を統合すると、お客様には次の利点があります。

  • Virtual WAN の Bump-in-the-wire ソリューションとして挿入できる、高度にスケーラブルな SaaS セキュリティ オファリングを使用して重要なワークロードを保護します。
  • サービスとしてのソフトウェア モデルでのフル マネージドのインフラストラクチャとソフトウェア ライフサイクル
  • 使用量ベースの従量課金制による課金。
  • Azure portal または Azure API を使用してエンドツーエンドのファイアウォール管理を提供するために、Azure と緊密に統合されたクラウドネイティブ エクスペリエンス。 ルールとポリシーの管理は、必要に応じて Palo Alto Network 管理ソリューション Panorama を使用して構成することもできます。
  • 問題のトラブルシューティングを行うための、Azure と Palo Alto Networks の間の専用の合理化されたサポート チャネル
  • Palo Alto Networks Cloud NGFW を使用して、オンプレミス、Virtual Network、インターネット送信のトラフィックを検査するように Virtual WAN を構成するワンクリック ルーティング

Cloud NGFW を使用したハブの Virtual WAN サンプル トポロジのスクリーンショット。

ユース ケース

次のセクションでは、Virtual WAN での Palo Alto Networks Cloud NGFW の一般的なセキュリティ ユース ケースについて説明します。

プライベート (オンプレミスおよび仮想ネットワーク) トラフィック

East-West トラフィックの検査

Virtual WAN では、Virtual Network から Virtual Network、またはオンプレミス (サイト間 VPN、ExpressRoute、ポイント対サイト VPN) からオンプレミスへのトラフィックを、検査のためにハブにデプロイされた Cloud NGFW にルーティングします。

Cloud NGFW を使用した East-West トラフィック フローを示すスクリーンショット。

North-South トラフィックの検査

さらに Virtual WAN では、Virtual Network とオンプレミス (サイト間 VPN、ExpressRoute、ポイント対サイト VPN) の間のトラフィックを、検査のためにハブにデプロイされた Cloud NGFW にルーティングします。

Cloud NGFW を使用した North-South トラフィック フローを示すスクリーンショット。

インターネット エッジ

Note

0.0.0.0/0 の既定のルートはハブ間で伝達されません。 オンプレミスと Virtual Network では、ローカルの Cloud NGFW リソースのみを使用してインターネットにアクセスできます。 さらに、宛先 NAT のユース ケースでは、Cloud NGFW は受信トラフィックをローカルの Virtual Network とオンプレミスにのみ転送できます。

インターネット エグレス

Virtual WAN は、検査およびインターネット ブレークアウトを行うために、インターネットへのトラフィックを Virtual Network またはオンプレミスから Cloud NGFW にルーティングするよう構成できます。 既定のルート (0.0.0.0/0) を学習し、インターネット エグレスのために Palo Alto Cloud NGFW を使用する Virtual Network またはオンプレミスを選択できます。 このユース ケースで、Azure はインターネット送信パケットのソース IP を、Cloud NGFW に関連付けられているパブリック IP に自動的に NAT 処理します。

インターネット送信機能と使用可能な設定の詳細については、Palo Alto Networks のドキュメントを参照してください。

Cloud NGFW を使用したインターネット送信トラフィック フローを示すスクリーンショット。

インターネット イングレス (DNAT)

Palo Alto Networks を 宛先 NAT (DNAT) 用に構成することもできます。 宛先 NAT を使用すると、ユーザーは、Cloud NGFW に関連付けられているパブリック IP を使用して、オンプレミスまたは Azure Virtual Networkでホストされているアプリケーションにアクセスして通信できます。

インターネット受信 (DNAT) 機能と使用可能な設定の詳細については、Palo Alto Networks のドキュメントを参照してください。

Cloud NGFW を使用したインターネット受信トラフィック フローを示すスクリーンショット。

開始する前に

この記事の手順では、Virtual WAN が既に作成されていることが前提となります。

新しい仮想 WAN を作成するには、次の記事の手順に従います。

既知の制限事項

リソース プロバイダーの登録

Palo Alto Networks Cloud NGFW を使うには、2022-08-29-preview 以降の API バージョンを使って、PaloAltoNetworks.Cloudngfw リソース プロバイダーをサブスクリプションに登録する必要があります。

リソース プロバイダーを Azure サブスクリプションに登録する方法の詳細については、 Azure リソース プロバイダーと種類に関するドキュメントを参照してください。

仮想ハブをデプロイする

次の手順では、Palo Alto Networks Cloud NGFW で使用できる仮想ハブをデプロイする方法について説明します。

  1. お使いの Virtual WAN リソースに移動します。
  2. 左側のメニューで、[接続] の下にある [ハブ] を選択します。
  3. [新しいハブ] をクリックします。
  4. [Basic] で、仮想ハブのリージョンを指定します。 リージョンが「Palo Alto Cloud NGFW が使用可能なリージョン」に記載されていることを確認してください。 さらに、ハブの名前、アドレス空間、仮想ハブの容量、ハブのルーティング設定を指定します。 ハブの作成ページを示すスクリーンショット。[リージョン] セレクター ボックスが強調表示されています。
  5. 仮想ハブに展開するゲートウェイ (サイト間 VPN、ポイント対サイト VPN、ExpressRoute) を選択して構成します。 必要に応じて、後でゲートウェイをデプロイできます。
  6. [Review + create](レビュー + 作成) をクリックします。
  7. [作成] をクリックします。
  8. 新しく作成したハブに移動し、[ルーティング状態][プロビジョニング済み] になるまで待ちます。 この手順には最大 30 分かかることがあります。

Palo Alto Networks Cloud NGFW をデプロイする

Note

Cloud NGFW をデプロイする前に、ハブのルーティング状態が "プロビジョニング済み" になるまで待つ必要があります。

  1. 仮想ハブに移動し、[Third-party providers] (サード パーティ プロバイダー) の下にある [SaaS ソリューション] をクリックします。
  2. [SaaS の作成] をクリックし、[Palo Alto Networks Cloud NGFW] を選択します。
  3. Create をクリックしてください。 SaaS の作成ページを示すスクリーンショット。
  4. ファイアウォールの名前を指定します。 ファイアウォールのリージョンが仮想ハブのリージョンと同じであることを確認します。 Palo Alto Networks Cloud NGFW で使用できる構成オプションの詳細については、Palo Alto Networks の Cloud NGFW の ドキュメントを参照してください。

ルーティングを構成する

Note

Cloud NGFW が正常にプロビジョニングされるまで、ルーティング インテントを構成することはできません。

  1. 仮想ハブに移動し、[ルーティング] の下にある [Routing intent and policies] (ルーティング インテントとポリシー) をクリックします
  2. Palo Alto Networks Cloud NGFW を使用して、送信インターネット トラフィック (Virtual Network またはオンプレミスとインターネットとの間のトラフィック) を検査する場合は、[インターネット トラフィック][SaaS ソリューション] を選択します。 [ネクスト ホップ リソース] で、Cloud NGFW リソースを選択します。 インターネット ルーティング ポリシーの作成を示すスクリーンショット。
  3. Palo Alto Networks Cloud NGFW を使用して、プライベート トラフィック (Virtual WAN 内のすべての Virtual Network およびオンプレミスの間のトラフィック) を検査する場合は、[プライベート トラフィック][SaaS ソリューション] を選択します。 [ネクスト ホップ リソース] で、Cloud NGFW リソースを選択します。 プライベート ルーティング ポリシーの作成を示すスクリーンショット。

Palo Alto Networks Cloud NGFW を管理する

次のセクションでは、Palo Alto Networks Cloud NGFW (ルール、IP アドレス、セキュリティ構成など) を管理する方法について説明します。

  1. 仮想ハブに移動し、[SaaS ソリューション] をクリックします。
  2. [SaaS の管理] の下の [こちらをクリック] をクリックします。 SaaS ソリューションを管理する方法を示すスクリーンショット。
  3. Palo Alto Networks Cloud NGFW で使用できる構成オプションの詳細については、Palo Alto Networks の Cloud NGFW の ドキュメントを参照してください。

Palo Alto Networks Cloud NGFW を削除する

Note

Cloud NGFW と Virtual WAN SaaS ソリューションの両方が削除されるまで、仮想ハブを削除することはできません。

次に Cloud NGFW オファリングを削除する手順について説明します。

  1. 仮想ハブに移動し、[SaaS ソリューション] をクリックします。
  2. [SaaS の管理] の下の [こちらをクリック] をクリックします。 SaaS ソリューションを管理する方法を示すスクリーンショット。
  3. ページの左上隅にある [削除] をクリックします。 Cloud NGFW の削除オプションを示すスクリーンショット。
  4. 削除操作が成功したら、仮想ハブの [SaaS ソリューション] ページに戻ります。
  5. Cloud NGFW に対応する行をクリックし、ページの左上隅にある [SaaS の削除] をクリックします。 このオプションは、手順 3 の実行が完了するまで使用できません。 SaaS ソリューションを削除する方法を示すスクリーンショット。

トラブルシューティング

次のセクションでは、Virtual WAN で Palo Alto Networks Cloud NGFW を使用する場合に発生する一般的な問題について説明します。

Cloud NGFW の作成のトラブルシューティング

  • Virtual Hub が「Palo Alto Networks のドキュメント」に記載されている次のいずれかのリージョンにデプロイされていることを確認します。
  • 仮想ハブのルーティング状態が "プロビジョニング済み" であることを確認します。ルーティングをプロビジョニングする前に Cloud NGFW を作成しようとすると失敗します。
  • PaloAltoNetworks.Cloudngfw リソース プロバイダーへの登録が成功していることを確認します。

削除のトラブルシューティング

  • SaaS ソリューションは、リンクされた Cloud NGFW リソースが削除されるまで削除できません。 そのため、SaaS ソリューション リソースを削除する前に、Cloud NGFW リソースを削除します。
  • 現時点でルーティング インテントのネクスト ホップ リソースである SaaS ソリューション リソースは、削除できません。 ルーティング インテントは、SaaS ソリューション リソースを削除する前に削除する必要があります。
  • 同様に、SaaS ソリューションを持つ仮想ハブ リソースを削除することはできません。 仮想ハブを削除する前に、SaaS ソリューションを削除する必要があります。

ルーティング インテントとルーティング ポリシーのトラブルシューティング

  • ルーティング インテントの構成を試行する前に、Cloud NGFW のデプロイが正常に完了していることを確認します。
  • すべてのオンプレミスと Azure 仮想ネットワークが RFC1918 (10.0.0.0/8、192.168.0.0/16、172.16.0.0/12 内のサブネット) にあることを確認します。 RFC1918 に含まれていないネットワークがある場合は、それらのプレフィックスが [プライベート トラフィック プレフィックス] テキスト ボックスに表示されていることを確認します。
  • ルーティング インテントのトラブルシューティングの詳細については、ルーティング インテントに関するドキュメントを参照してください。 このドキュメントでは、ルーティング インテントの構成に関連する前提条件と一般的なエラー、およびトラブルシューティングのヒントについて説明します。

Palo Alto Networks Cloud NGFW 構成のトラブルシューティング

次のステップ