データセンターのファイアウォールとは

適用対象: Azure Stack HCI、バージョン 23H2 および 22H2。Windows Server 2022、Windows Server 2019、Windows Server 2016

データセンターのファイアウォールは、ネットワーク層における、5 タプル (プロトコル、発信元と送信先のポート番号、送信元と送信先の IP アドレス) から成る、ステートフルなマルチテナント ソフトウェア定義ネットワーク (SDN) ファイアウォールです。 データセンターのファイアウォールでは、仮想ネットワークと従来の VLAN ネットワークを含むネットワーク層全体で、東西および北南のトラフィック フローを保護します。

データセンターのファイアウォールのしくみ

Datacenter Firewall を有効にして構成するには、サブネットまたはネットワーク インターフェイスに適用されるネットワーク セキュリティ グループ (NSG) を作成します。 ファイアウォール ポリシーは、各テナント仮想マシン (VM) の vSwitch ポートで適用されます。 ポリシーはテナント ポータルを通じてプッシュされ、ネットワーク コントローラーによってすべての該当するホストに配布されます。

テナント管理者は、ファイアウォール ポリシーをインストールして構成することにより、インターネットおよびイントラネット ネットワークから送信される不要なトラフィックから自分のネットワークを保護できます。

サービス プロバイダー管理者またはテナント管理者は、ネットワーク コントローラーおよび Northbound API を使用してデータセンターのファイアウォールのポリシーを管理できます。 Windows Admin Center を使用して、データセンターのファイアウォールのポリシーを構成および管理することもできます。

クラウド サービス プロバイダーにとっての利点

Datacenter Firewall には、クラウド サービス プロバイダーに次の利点があります。

• 拡張性、管理可能性、診断可能性が高いソフトウェアベースのファイアウォール ソリューションをテナントに提供できます

• テナントのファイアウォールのポリシーに違反せずに、テナントの VM を別のコンピューティング ホストに自由に移動できます

  • vSwitch ポートのホスト エージェント ファイアウォールとしてデプロイできます

  • ポリシーは、テナント VM の vSwitch のホスト エージェント ファイアウォールに割り当てられます

  • ファイアウォール規則は、VM を実行している実際のホストとは無関係に、各 vSwitch ポートで構成されます

• テナントのゲスト オペレーティング システムとは無関係に、テナント VM が保護されます

テナントにとっての利点

テナントにとって、データセンターのファイアウォールには次のような利点があります。

• ファイアウォール規則を定義することによって、インターネットに接続されたワークロードとネットワーク上の内部ワークロードを保護できます

• ファイアウォール規則を定義して、同じレイヤー 2 (L2) サブネット上の VM と異なる L2 サブネット上の VM 間のトラフィックを保護する機能

• ファイアウォール規則を定義することによって、テナントのオンプレミス ネットワークと、サービス プロバイダーの仮想ネットワーク間のネットワーク トラフィックを保護および分離できます

• 従来の VLAN ネットワークとオーバーレイベースの仮想ネットワークにファイアウォール ポリシーを適用できます

次のステップ

関連情報については、以下もご覧ください。

• Windows Admin Centerを使用してネットワーク セキュリティ グループを構成する
• PowerShell を使用してネットワーク セキュリティ グループを構成する
• Azure Stack HCI および Windows Server 内の SDN
• Learn モジュール: Azure Stack HCI でデータセンターのファイアウォールとソフトウェア ロード バランサーを実装する