Azure Firewall Manager のアーキテクチャのオプションWhat are the Azure Firewall Manager architecture options?

Azure Firewall Manager は、次の 2 種類のネットワーク アーキテクチャに対するセキュリティ管理機能を備えています。Azure Firewall Manager can provide security management for two network architecture types:

  • セキュリティ保護付き仮想ハブsecured virtual hub

    Azure Virtual WAN ハブは、ハブとスポークのアーキテクチャを簡単に作成できる Microsoft の管理対象リソースです。An Azure Virtual WAN Hub is a Microsoft-managed resource that lets you easily create hub and spoke architectures. セキュリティ ポリシーとルーティング ポリシーがそのようなハブに関連付けられている場合は、" セキュリティ保護付き仮想ハブ " と呼ばれます。When security and routing policies are associated with such a hub, it's referred to as a secured virtual hub.

  • ハブ仮想ネットワークhub virtual network

    自分で作成して管理できる標準の Azure 仮想ネットワークです。This is a standard Azure virtual network that you create and manage yourself. そのようなハブにセキュリティ ポリシーが関連付けられている場合は、"ハブ仮想ネットワーク" と呼ばれます。When security policies are associated with such a hub, it is referred to as a hub virtual network. 現時点では、Azure Firewall ポリシーのみがサポートされています。At this time, only Azure Firewall Policy is supported. ワークロード サーバーが含まれるスポーク仮想ネットワークとサービスをピアリングすることができます。You can peer spoke virtual networks that contain your workload servers and services. どのスポークにもピアリングされていないスタンドアロンの仮想ネットワークでファイアウォールを管理することもできます。You can also manage firewalls in standalone virtual networks that are not peered to any spoke.

比較Comparison

次の表では、これら 2 つのアーキテクチャ オプションを比較します。組織のセキュリティ要件に適しているものを判断するのに役立ちます。The following table compares these two architecture options and can help you decide which one is right for your organization's security requirements:

ハブ仮想ネットワークHub virtual network セキュリティ保護付き仮想ハブSecured virtual hub
基になるリソースUnderlying resource 仮想ネットワークVirtual network Virtual WAN ハブVirtual WAN Hub
ハブとスポークHub & Spoke 仮想ネットワーク ピアリングを使用Uses Virtual network peering ハブ仮想ネットワーク接続を使用して自動化Automated using hub virtual network connection
オンプレミス接続On-prem connectivity 最大 10 Gbps とサイト間接続 30 個の VPN Gateway、ExpressRouteVPN Gateway up to 10 Gbps and 30 S2S connections; ExpressRoute よりスケーラブルな最大 20 Gbps とサイト間接続 1000 個の VPN Gateway、ExpressRouteMore scalable VPN Gateway up 20 Gbps and 1000 S2S connections; Express Route
SDWAN を使用したブランチ接続の自動化Automated branch connectivity using SDWAN サポートされていませんNot supported サポートされていますSupported
リージョンごとのハブHubs per region リージョンごとに複数の仮想ネットワークMultiple Virtual Networks per region リージョンごとに 1 つの仮想ハブ。Single Virtual Hub per region. 複数の Virtual WAN で複数のハブが可能Multiple hubs possible with multiple Virtual WANs
Azure Firewall – 複数のパブリック IP アドレスAzure Firewall – multiple public IP addresses お客様側で準備Customer provided 自動生成Auto generated
Azure Firewall Availability ZonesAzure Firewall Availability Zones サポートされていますSupported まだ使用できませんNot yet available
サードパーティのサービスとしてのセキュリティ パートナーによる高度なインターネット セキュリティAdvanced Internet security with third-party Security as a Service partners お客様が自分で選択したパートナー サービスへの VPN 接続を確立して管理Customer established and managed VPN connectivity to partner service of choice セキュリティ パートナー プロバイダーのフローとパートナー管理のエクスペリエンスによって自動化Automated via security partner provider flow and partner management experience
ハブにトラフィックをルーティングするための集中ルート管理Centralized route management to route traffic to the hub お客様が管理するユーザー定義ルートCustomer-managed User Defined Route BGP を使用してサポートSupported using BGP
複数のセキュリティ プロバイダーのサポートMultiple security provider support サードパーティのファイアウォールへの強制トンネリングを手動で構成してサポートSupported with manually configured forced tunneling to third-party firewalls 2 つのセキュリティ プロバイダーの自動サポート:プライベート トラフィックのフィルタリング用の Azure Firewall とインターネット フィルタリング用のサードパーティAutomated support for two security providers: Azure Firewall for private traffic filtering and third party for Internet filtering
Application Gateway上の Web アプリケーション ファイアウォールWeb Application Firewall on Application Gateway Virtual Network でサポートSupported in Virtual Network 現在はスポーク ネットワークでサポートCurrently supported in spoke network
ネットワーク仮想アプライアンスNetwork Virtual Appliance Virtual Network でサポートSupported in Virtual Network 現在はスポーク ネットワークでサポートCurrently supported in spoke network
Azure DDoS Protection Standard のサポートAzure DDoS Protection Standard support はいYes いいえNo

次のステップNext steps