どのようなときに Azure Firewall Premium を使うか
組織は、IDPS や TLS 検査などの Azure Firewall Premium 機能を使用して、マルウェアやウイルスがネットワーク上で横方向と水平方向の両方に広がるのを防ぐことができます。 IDPS と TLS 検査のパフォーマンス需要の高まりに対応するために、Azure Firewall Premium には、より強力な仮想マシン SKU が使われています。 Standard SKU と同様に、Premium SKU は最大 30 Gbps までシームレスにスケールアップすることができます。また、可用性ゾーンとの統合により、99.99 パーセントのサービス レベル アグリーメント (SLA) をサポートします。 Premium SKU は、Payment Card Industry Data Security Standard (PCI DSS) 環境のニーズに準拠しています。
Azure Firewall Premium がお客様の組織に適しているかどうかを判断するために、次のようなシナリオを考えてみましょう。
送信 TLS 暗号化ネットワーク トラフィックを検査する
Azure Firewall Premium TLS 検査を使うと、送信トラフィックを復号化し、データを処理した後、データを暗号化して宛先に送信することができます。
Azure Firewall Premium では、アウトバウンドと東西の TLS 接続は終了されます。 インバウンドの TLS 検査は Azure Application Gateway でサポートされ、エンドツーエンドの暗号化を行うことができます。 Azure Firewall では必要な付加価値のセキュリティ機能が実行され、元の宛先に送信されるトラフィックが再暗号化されます。
署名ベースの悪意のあるトラフィック検出を使ってネットワークを保護する
ネットワーク侵入検出および防止システム (IDPS) を使用すると、ネットワークで悪意のあるアクティビティを監視できます。 また、このアクティビティに関する情報をログに記録し、報告し、必要に応じてブロックを試みることもできます。
Azure Firewall Premium にはシグネチャベースの IDPS が用意されており、ネットワーク トラフィック内のバイト シーケンスやマルウェアによって使用される既知の悪意のある命令シーケンスなど、特定のパターンを探すことによって攻撃を迅速に検出できます。 IDPS シグネチャは、アプリケーション レベルのトラフィックとネットワーク レベルのトラフィック (レイヤー 4 - 7) の両方に適用できます。 これらはフル マネージドであり、継続的に更新されます。 IDPS は、受信、スポーク間 (東西)、送信トラフィックに適用できます。
Azure Firewall シグネチャ/ルールセットには次のものが含まれます。
- 実際のマルウェア、コマンド アンド コントロール、エクスプロイト キット、さらには従来の防止方法では見逃されていた、実害の出ている悪意のあるアクティビティについて、フィンガープリントを重視。
- 50 以上のカテゴリで 55,000 を超えるルール。
- カテゴリには、マルウェアのコマンド アンド コントロール、DoS 攻撃、ボットネット、情報イベント、エクスプロイト、脆弱性、SCADA ネットワークプロトコル、エクスプロイト キット アクティビティなどが含まれます。
- 20 ~ 40 以上の新しいルールが毎日リリースされます。
- 最先端のマルウェア サンドボックスとグローバル センサー ネットワーク フィードバック ループを使用した、低い擬陽性率。
IDPS を使用すると、暗号化されていないトラフィックに対するすべてのポートとプロトコルの攻撃を検出できます。 ただし、HTTPS トラフィックを検査する必要がある場合、Azure Firewall ではその TLS 検査機能を使用してトラフィックを復号化し、悪意のあるアクティビティをより的確に検出できます。
IDPS バイパス一覧を使用すると、バイパス一覧に指定された IP アドレス、範囲、サブネットへのトラフィックをフィルター処理しないようにすることができます。
IDPS モードが [アラート] に設定されている場合は、シグネチャ規則を使用することもできます。 しかし、ブロックする特定のシグネチャは、それらに関連するトラフィックを含めて 1 つ以上あります。 この場合、TLS 検査モードを [拒否] に設定することで新しい署名規則を追加できます。
URL 全体を考慮するように Azure Firewall の FQDN フィルター処理機能を拡張する
Azure Firewall Premium を使うと、URL 全体を対象としてフィルター処理できます。 たとえば、www.contoso.com の代わりに www.contoso.com/a/c となります。
URL フィルタリングは、HTTP と HTTPS の両方のトラフィックに適用できます。 Azure Firewall Premium では、HTTPS トラフィックを検査する際にその TLS 検査機能を使用してトラフィックを復号化し、ターゲット URL を抽出してアクセスが許可されているものかどうかを検証できます。 TLS 検査には、アプリケーション規則レベルでのオプトインが必要です。 有効にすると、URL を使用して HTTPS でのフィルター処理ができるようになります。
カテゴリに基づいてアクセスを許可または拒否する
Web カテゴリ機能を使用すると、管理者が、ギャンブル Web サイトやソーシャル メディア Web サイトなどの Web サイト カテゴリへのユーザー アクセスを、許可または拒否できます。 Web カテゴリは Azure Firewall Standard にも含まれていますが、Azure Firewall Premium ではさらに細かく調整されています。 FQDN に基づくカテゴリと照合する Standard SKU の Web カテゴリ機能とは異なり、Premium SKU では、HTTP と HTTPS の両方のトラフィックについて URL 全体に従ってカテゴリを照合します。
たとえば、Azure Firewall が www.google.com/news の HTTPS 要求をインターセプトした場合、次のような分類が想定されます。
- Firewall Standard - FQDN 部分のみが検査されるため、www.google.com は検索エンジンに分類されます。
- Firewall Premium - URL 全体が検査されるため、www.google.com/news はニュースに分類されます。
カテゴリは、信頼性、高帯域幅、ビジネス用途、生産性の損失、一般的なサーフィン、および未分類の重要度に基づいて整理されています。