Azure Stack HCI 上で Datacenter Firewall を実装する
Azure Stack HCI の SDN 分散ファイアウォール機能の初期調査の結果、ネットワーク インフラストラクチャのセキュリティを向上させるために使用できそうだと思えてきました。 その結果を検証するために、あなたは概念実証環境に実装することにしました。
Datacenter Firewall ポリシーを実装するための基本的な手順は、次のような一連の手順で構成されています。
アクセス制御リスト (ACL) オブジェクトを作成します。
ACL 内で、東西と南北のネットワーク トラフィックを許可または拒否する 1 つ以上のインバウンド規則とアウトバウンド規則を、次のいずれかの条件に基づいて定義します。これは、規則を適用するトラフィックのプロパティを説明したものです。
- レイヤー 4 プロトコルを表す [プロトコル]。[TCP]、[UDP]、[すべて] のいずれかに設定します。 [すべて] には、TCP と UDP に加えてインターネット制御メッセージ プロトコル (ICMP) が含まれます。
- 受信または送信ネットワーク パケットの送信元の IP アドレス プレフィックスを表す [送信元アドレスのプレフィックス]。 アスタリスク (
*) は、すべての IP アドレスを表すワイルドカードです。 - 受信または送信ネットワーク パケットの送信元となる 1 つ以上のポート番号を表す [ソース ポート範囲]。 アスタリスク (
*) は、すべてのポート番号を表すワイルドカードです。 - 受信または送信ネットワーク パケットの宛先の IP アドレス プレフィックスを表す [Destination Address Prefix](宛先アドレスのプレフィックス)。 アスタリスク (
*) は、すべての IP アドレスを表すワイルドカードです。 - 受信または送信するネットワーク パケットが対象とする 1 つ以上のポート番号を表す宛先ポート範囲。 アスタリスク (
*) は、すべてのポート番号を表すワイルドカードです。
各規則には、さらに次の設定を指定する必要があります。
- [アクション]。一致が見つかった場合の結果または規則を表します。[許可] または [拒否] のいずれかに設定します。
- [優先順位]。同じ ACL 内の他の規則に対する規則の優先順位を表します。 同じ ACL 内の各規則には固有の優先順位が必要であり、100 から 65000 の間の任意の値に設定できます。 数値が小さいほど、優先順位が高くなります。
必要に応じて、個々のファイアウォール規則のログを有効にします。
ACL オブジェクトに定義された規則を有効にするには、ターゲット スコープに適用する必要があります。次のオブジェクトのいずれかを指定できます。
- 仮想ネットワーク サブネット
- 論理ネットワーク サブネット
- 仮想または論理ネットワーク サブネットに接続された VM のネットワーク インターフェイス
Note
これらの手順は、PowerShell、Windows Admin Center、または VMM を使って実行できます。
Note
ACL を仮想または論理ネットワーク サブネットに適用すると管理は簡単になりますが、制約をより細かくしたい場合があります。 その場合は、個々の VM ネットワーク インターフェイスに ACL を割り当てることができます。 ネットワーク トラフィックの送信元と宛先の間に複数の ACL が存在する場合、結果として生じる制約はその方向によって異なります。 受信トラフィックの場合、ネットワーク インターフェイス ACL に割り当てられたものよりも先にサブネット ACL が適用されます。一方、送信トラフィックの場合はその順序が逆になります。
Datacenter Firewall の機能を評価する
Datacenter Firewall の機能を評価するために、すべての受信ネットワーク トラフィックを許可する規則
- AllowAllInbound を含む ACL を作成します。 ACL を適用するスコープをターゲットとしたすべてのイングレス トラフィックを許可します。
Note
カスタム ACL 規則が適用されていない場合、ネットワーク インターフェイスは、すべての送信トラフィックを許可し、一方ですべての受信トラフィックをブロックするという既定の動作になります。
次の表は、すべての受信トラフィックを許可する規則を作成する設定を示しています。
| 送信元アドレスのプレフィックス | 宛先アドレスのプレフィックス | Protocol | 送信元ポート | 宛先ポート | Type | アクション | Priority |
|---|---|---|---|---|---|---|---|
| * | * | ALL | * | * | 受信 | Allow | 1000 |
![Windows Admin Center の [アクセス制御リスト] エントリ ペイン。allow-all 規則が作成されています。](media/3-azure-stack-hci-windows-admin-center-new-acl-rule-allow-all.png)
カスタム許可規則を作成すると、ブロックするトラフィックの種類を特定できます。 たとえば、サブネット間の Windows リモート管理 (WinRM) による接続を制限することができます。 このような制限を設けることで、1 つの VM を侵害した後に横方向に移動する手法を利用した悪用の潜在的な影響を制限することができます。 ここでは、同じサブネット内での WinRM 接続を許可するものと仮定しましょう。 次の表では、接続元のサブネットの IP アドレス範囲が 192.168.0.0/24 であるという前提で新しい規則を設定しています。
| 送信元アドレスのプレフィックス | 宛先アドレスのプレフィックス | Protocol | 送信元ポート | 宛先ポート | Type | アクション | Priority |
|---|---|---|---|---|---|---|---|
| 192.168.0.0/24 | * | TCP | * | 5985、5986 | 受信 | ブロック | 500 |
| * | * | ALL | * | * | 受信 | Allow | 1000 |
![Windows Admin Center の [アクセス制御リスト] エントリ ペイン。deny-winrm 規則が作成されています。](media/3-azure-stack-hci-windows-admin-center-new-acl-rule-deny-winrm.png)
この時点で、ACL を対象の仮想ネットワーク サブネットに割り当てる準備ができました。この例では、IP アドレスのプレフィックスが 192.168.100.0/24 です。
![Windows Admin Center の [仮想ネットワーク] ペイン。仮想サブネットのアクセス制御リストの割り当てが作成されています。](media/3-azure-stack-hci-windows-admin-center-assign-acl-subnet.png)
評価が完了したら、ターゲット スコープから ACL の割り当てを削除することを検討してください。 これで、既定のフィルター処理動作に戻ります。
ヘルプが必要ですか? Microsoft のトラブルシューティング ガイドをご覧になるか、問題を報告して具体的なフィードバックをお送りください。