Azure Well-Architected フレームワークのレビュー - Azure Firewall
この記事では、Azure Firewallのアーキテクチャに関する推奨事項について説明します。 このガイダンスは、アーキテクチャエクセレンスの 5 つの柱に基づいています。
- [信頼性]
- セキュリティ
- コストの最適化
- オペレーショナル エクセレンス
- パフォーマンス効率
Azure Firewallに関する実用的な知識があり、その機能に精通していることを前提としています。 詳細については、「Azure Firewallの概要」を参照してください。
前提条件
- Azure Well-Architected Framework の柱を理解することは、高品質で安定した効率的なクラウド アーキテクチャを生み出すのに役立ちます。 Well-Architected Framework レビュー評価を使用してワークロードを確認します。
- 参照アーキテクチャを使用して、この記事で提供されているガイダンスに基づいて考慮事項を確認します。 まず、 PaaS データストアへのプライベート接続を使用してネットワーク強化された Web アプリケーション を開始し、 セキュリティで保護されたハイブリッド ネットワークを実装します。
[信頼性]
Azure Firewallがワークロードを確実にサポートする方法については、次の記事を参照してください。
設計チェック リスト
Azure Firewallの設計の選択を行う際は、信頼性の設計原則を確認してください。
- Azure Firewallをハブ仮想ネットワークにデプロイするか、Azure Virtual WAN ハブの一部としてデプロイします。
- Availability Zones回復性を活用します。
- ポリシー構造Azure Firewall作成します。
- 既知の問題の一覧を確認します。
- Azure Firewall正常性状態を監視します。
注意
従来のハブ & スポーク モデルとマネージドセキュリティで保護されたハブVirtual WANネットワーク サービスの可用性には違いがあります。 たとえば、Virtual WAN ハブでは、パブリック IP プレフィックスからAzure Firewallパブリック IP を取得できず、DDoS Protection を有効にすることはできません。 1 つまたは他のモデルを選択するには、Well-Architected Framework の 5 つの柱すべてに対する要件を考慮する必要があります。
Recommendations
次の推奨事項の表を参照して、信頼性のためにAzure Firewall構成を最適化します。
| 推奨 | 特長 |
|---|---|
| 従来のハブ & スポークまたは Azure Virtual WAN ネットワーク トポロジで Azure Firewall Manager を使用して、Azure Firewallのインスタンスをデプロイおよび管理します。 | トラフィック ガバナンスと保護のためのネイティブ セキュリティ サービスを使用して、ハブ アンド スポークと推移的なアーキテクチャを簡単に作成できます。 ネットワーク トポロジの詳細については、Azure クラウド導入フレームワーク のドキュメントを参照してください。 |
| Azure Firewall ポリシーを作成して、グローバル ネットワーク環境全体のセキュリティ体制を管理します。 Azure Firewallのすべてのインスタンスにポリシーを割り当てます。 | Azure Firewallポリシーは、中央の基本ポリシーをオーバーレイするために階層構造に配置できます。 特定のリージョンの要件を満たす詳細なポリシーを許可します。 ロールベースのアクセス制御 (RBAC) を使用して、増分ファイアウォール ポリシーをローカル セキュリティ チームに委任します。 一部の設定は、DNAT ルールや DNS 構成など、インスタンスごとに固有であり、複数の特殊なポリシーが必要になる場合があります。 |
| 既存の展開Azure Firewallクラシック ルールを Azure Firewall Manager ポリシーに移行します。 | 既存のデプロイの場合は、Azure Firewallルールを Azure Firewall Manager ポリシーに移行します。 Azure Firewall Manager を使用して、ファイアウォールとポリシーを一元的に管理します。 詳細については、「Azure Firewall Premium に移行する」を参照してください。 |
| Azure Firewall既知の問題の一覧を確認します。 | Azure Firewall製品グループは、この場所で既知の問題の更新された一覧を保持します。 この一覧には、設計上の動作、構築中の修正、プラットフォームの制限事項、および考えられる回避策または軽減策に関連する重要な情報が含まれています。 |
| Azure Firewall ポリシーがAzure Firewallの制限と推奨事項に準拠していることを確認します。 | ポリシー構造には、ルールとルール コレクション グループの数、合計ポリシー サイズ、ソース/ターゲットの宛先など、制限があります。 ポリシーを作成し、 文書化されたしきい値を超えないようにしてください。 |
| 複数の可用性ゾーンにAzure Firewallをデプロイして、より高いサービス レベル アグリーメント (SLA) を実現します。 | Azure Firewallは、1 つの可用性ゾーンにデプロイされている場合と、複数のゾーンにデプロイされている場合に、異なる SLA を提供します。 詳細については、「Azure Firewall の SLA」を参照してください。 すべての Azure SLA の詳細については、「 Azure サービスの SLA の概要」を参照してください。 |
| マルチリージョン環境では、リージョンごとに Azure Firewall インスタンスをデプロイします。 | 従来のハブ & スポーク アーキテクチャの場合、マルチリージョンの詳細 については、この記事で説明します。 セキュリティで保護された仮想ハブ (Azure Virtual WAN) の場合、ハブ間通信とブランチ間通信をセキュリティで保護するようにルーティングインテントとポリシーを構成する必要があります。 障害やフォールト トレラントに対する耐性を備えたワークロードの場合は、Azure Firewallと Azure のインスタンスがリージョン リソースとしてVirtual Networkすることを忘れないでください。 |
| Azure Firewall メトリックとResource Health状態を監視します。 | スループット、ファイアウォール正常性状態、SNAT ポート使用率、AZFW 待機時間プローブ メトリックなど、Azure Firewall正常性状態の主要メトリック インジケーターを注意深く監視します。 さらに、Azure Firewallは Azure Resource Healthと統合されるようになりました。 Azure Firewall Resource Health チェックを使用すると、Azure Firewallの正常性状態を表示し、Azure Firewall リソースに影響する可能性があるサービスの問題に対処できるようになりました。 |
Azure Advisor を使用して、ビジネスに不可欠なアプリケーションの継続稼働を保証し、さらに向上させることができます。 Azure Advisor の推奨事項を確認します。
Security
セキュリティは、あらゆるアーキテクチャの最も重要な側面の 1 つです。 Azure Firewallは、Azure で実行されているクラウド ワークロードに脅威保護を提供するインテリジェントなファイアウォール セキュリティ サービスです。
設計チェック リスト
Azure Firewallの設計上の選択を行う際は、セキュリティの設計原則を確認してください。
- 強制トンネリングが必要かどうかを判断します。
- 最小特権アクセス条件に基づいてポリシーのルールを作成します。
- 脅威インテリジェンスを活用する。
- DNS プロキシAzure Firewall有効にします。
- Azure Firewall経由でネットワーク トラフィックを転送します。
- サード パーティのサービスとしてのセキュリティ (SECaaS) プロバイダーを使用するかどうかを決定します。
- DDoS を使用してAzure Firewallパブリック IP アドレスを保護します。
Recommendations
次の推奨事項の表を参照して、セキュリティのためにAzure Firewall構成を最適化します。
| 推奨 | 特長 |
|---|---|
| インターネットに直接接続するのではなく、すべてのインターネットにバインドされたトラフィックを指定されたネクスト ホップにルーティングする必要がある場合は、強制トンネリング モードでAzure Firewallを構成します (Azure Virtual WANには適用されません)。 | Azure Firewall には、インターネットへの直接接続が必要です。 AzureFirewallSubnet が Border Gateway プロトコルを介してオンプレミス ネットワークへの既定のルートを学習する場合は、強制トンネリング モードでAzure Firewallを構成する必要があります。 強制トンネリング機能を使用すると、Azure Firewall管理サブネットに別の /26 アドレス空間が必要になります。 AzureFirewallManagementSubnet という名前を付ける必要があります。 強制トンネリング モードで再構成できない既存のAzure Firewall インスタンスの場合は、0.0.0.0/0 ルートを使用して UDR を作成します。 NextHopType 値をインターネットとして設定します。 インターネット接続を維持するために 、AzureFirewallSubnet に関連付けます。 |
| 強制トンネリング モードでAzure Firewallを構成するときに完全プライベート データ プレーンをデプロイするには、パブリック IP アドレスを None に設定します (Azure Virtual WAN には適用されません)。 | 新しいAzure Firewall インスタンスをデプロイするときに、強制トンネリング モードを有効にした場合は、パブリック IP アドレスを None に設定して、完全プライベート データ プレーンをデプロイできます。 ただし、管理プレーンには、管理目的でのみパブリック IP が必要です。 仮想ネットワークとオンプレミス ネットワークからの内部トラフィックでは、そのパブリック IP は使用されません。 強制トンネリングの詳細については、「強制トンネリングAzure Firewall」を参照してください。 |
| 最小特権アクセス条件に基づいてファイアウォール ポリシーの規則を作成します。 | Azure Firewallポリシーは、中央の基本ポリシーを重ね合わせるために階層構造に配置できます。 特定のリージョンの要件を満たす詳細なポリシーを許可します。 各ポリシーには、特定の優先順位、アクション、処理順序を持つ DNAT、ネットワーク、アプリケーションのルールの異なるセットを含めることができます。 最小限の特権アクセスゼロ トラスト原則に基づいてルールを作成します。 ルールの処理方法 については、この記事で説明します。 |
| アラートと拒否モードでAzure Firewallで脅威インテリジェンスを有効にします。 | ファイアウォールで脅威インテリジェンスベースのフィルター処理を有効にして、不明な IP アドレスやドメインとの間のトラフィックを警告したり拒否したりすることができます。 この IP アドレスとドメインのソースは、Microsoft の脅威インテリジェンス フィードです。 インテリジェント セキュリティ グラフは Microsoft の脅威インテリジェンスを強化し、Microsoft Defender for Cloud を含む複数のサービスで使用されます。 |
| アラートまたはアラートと拒否モードで IDPS を有効にします。 | IDPS は、最も強力なAzure Firewall (Premium) セキュリティ機能の 1 つであり、有効にする必要があります。 セキュリティとアプリケーションの要件に基づき、パフォーマンスへの影響を考慮して (後述の「コスト」セクションを参照)、 アラート モードまたは アラートモードと拒否 モードを選択できます。 |
| Azure Firewall (DNS) プロキシ構成を有効にします。 | この機能を有効にすると、VNet 内のクライアントは DNS サーバーとしてAzure Firewallされます。 直接アクセスおよび公開されない内部 DNS インフラストラクチャが保護されます。 Azure Firewallは、DNS クエリの転送に使用されるカスタム DNS を使用するように構成する必要もあります。 |
| Azure Firewall経由でトラフィックを強制するようにユーザー定義ルート (UDR) を構成します。 | 従来のハブ & スポーク アーキテクチャでは、UDR を構成して、、SpoketoInternet、および SpoketoHybrid 接続のSpoketoSpokeAzure Firewallをトラフィックに強制します。 代わりに、Azure Virtual WANで、ハブに統合されたAzure Firewall インスタンスを介してプライベートまたはインターネット トラフィックをリダイレクトするようにルーティングインテントとポリシーを構成します。 |
| Virtual Machinesに直接関連付けられているパブリック IP アドレスの使用を制限する | トラフィックがファイアウォールをバイパスしないようにするには、パブリック IP アドレスと VM ネットワーク インターフェイスの関連付けを制限する必要があります。 Azure クラウド導入フレームワーク (CAF) モデルでは、特定のAzure Policyが CORP 管理グループに割り当てられます。 |
| UDR を適用できず、Web トラフィックリダイレクトのみが必要な場合は、明示的なプロキシとしてAzure Firewallを使用することを検討してください | 送信パスで明示的なプロキシ機能を有効にすると、送信 Web アプリケーション (Web ブラウザーなど) でプロキシ設定を構成し、Azure Firewallプロキシとして構成できます。 その結果、Web トラフィックはファイアウォールのプライベート IP アドレスに到達するため、UDR を使用せずにファイアウォールから直接送信されます。 また、この機能により、既存のネットワーク ルートを変更することなく、複数のファイアウォールを使用できるようになります。 |
| これらのソリューションを使用して送信接続を保護する場合は、Firewall Manager 内でサポートされているサード パーティのサービスとしてのソフトウェア (SaaS) セキュリティ プロバイダーを構成します。 | ユーザーのインターネット アクセスを保護するために、使い慣れた、最も優れた サードパーティの SECaaS オファリング を使用できます。 このシナリオでは、IPSec トンネルを使用してプロバイダーのインフラストラクチャに接続するため、ハブで S2S VPN Gatewayを使用する Azure Virtual WANが必要です。 SECaaS プロバイダーは、追加のライセンス料金を請求し、IPSec 接続のスループットを制限する場合があります。 ZScaler Cloud Connector などの代替ソリューションが存在し、より適している可能性があります。 |
| ネットワーク 規則で完全修飾ドメイン名 (FQDN) フィルター処理を使用します。 | AZURE FIREWALL ポリシーとファイアウォール ポリシーでは、DNS 解決に基づいて FQDN を使用できます。 この機能を使用すると、任意の TCP/UDP プロトコル (NTP、SSH、RDP など) を使用して送信トラフィックをフィルター処理できます。 ネットワーク規則で FQDN を使用するには、Azure Firewall DNS プロキシ構成を有効にする必要があります。 そのしくみについては、「ネットワーク ルールでの FQDN フィルター処理のAzure Firewall」を参照してください。 |
| ネットワーク 規則で サービス タグ を使用して、特定の Microsoft サービスへの選択的アクセスを有効にします。 | サービス タグは IP アドレス プレフィックスのグループを表し、セキュリティ規則の作成の複雑さを最小限に抑えるのに役立ちます。 ネットワーク ルールでサービス タグを使用すると、さまざまな IP アドレスを開かずに、Azure、Dynamics、およびOffice 365の特定のサービスへの送信アクセスを有効にすることができます。 Azure では、これらのタグと各サービスで使用される基になる IP アドレスの間のマッピングが自動的に維持されます。 Azure Firewallで使用できるサービス タグの一覧は、Az Firewall サービス タグです。 |
| アプリケーション ルールで FQDN タグ を使用して、特定の Microsoft サービスへの選択的アクセスを有効にします。 | FQDN タグは、既知の Microsoft サービスに関連付けられている完全修飾ドメイン名 (FQDN) のグループを表します。 アプリケーション 規則で FQDN タグを使用すると、一部の特定の Azure サービス、Office 365、Windows 365、Intune に必要な送信ネットワーク トラフィックをファイアウォール経由で許可できます。 |
| Azure Firewall Manager を使用して、DDoS 保護プランを作成し、ハブ仮想ネットワークに関連付けます (Azure Virtual WAN には適用されません)。 | DDoS 保護計画では、DDoS 攻撃からファイアウォールを保護するための強化された軽減機能が提供されます。 Azure Firewall Manager は、ファイアウォール インフラストラクチャと DDoS 保護プランを作成するための統合ツールです。 詳細については、「Azure Firewall Manager を使用した Azure DDoS Protection プランの構成」を参照してください。 |
| エンタープライズ PKI を使用して、TLS 検査用の証明書を生成します。 | Azure Firewall Premium では、TLS 検査機能を使用する場合は、運用環境に内部エンタープライズ証明機関 (CA) を利用することをお勧めします。 自己署名証明書は 、テスト/PoC のみを目的として使用する 必要があります。 |
| Azure FirewallとApplication Gateway Zero-Trust 構成ガイドを確認する | セキュリティ要件で Web アプリケーションの Zero-Trust アプローチ (検査と暗号化) の実装が必要な場合は、この ガイドに従うことをお勧めします。 このドキュメントでは、従来のハブ & スポークとVirtual WANの両方のシナリオで、Azure FirewallとApplication Gatewayを統合する方法について説明します。 |
Azure Advisor を使用して、ビジネスに不可欠なアプリケーションの継続稼働を保証し、さらに向上させることができます。 Azure Advisor の推奨事項を確認します。
ポリシーの定義
ネットワーク インターフェイスにはパブリック IP を含めてはなりません。 このポリシーは、パブリック IP で構成されているネットワーク インターフェイスを拒否します。 パブリック IP アドレスを使用すると、インターネット リソースから Azure リソースへの受信通信を許可したり、Azure リソースからインターネットへの送信通信を許可したりすることができます。
すべてのインターネット トラフィックは、デプロイされたAzure Firewall経由でルーティングする必要があります。 一部のサブネットが次世代のファイアウォールで保護されていないことを Azure Security Center で確認しました。 Azure Firewall またはサポートされている次世代のファイアウォールを使用してアクセスを制限することにより、潜在的な脅威からサブネットを保護してください。
Azure ファイアウォール ポリシーでは、アプリケーション規則内で TLS 検査を有効にする必要があります。 HTTPS で悪意のあるアクティビティの検出、アラート通知、軽減を行うために、すべてのアプリケーション ルールで TLS 検査を有効にすることをお勧めします。 Azure Firewallを使用した TLS 検査の詳細については、 を参照してくださいhttps://aka.ms/fw-tlsinspect。
Azure Firewall Premium では、TLS 検査を有効にするために有効な中間証明書を構成する必要があります。 有効な中間証明書を構成し、Azure Firewall Premium TLS 検査を有効にして、HTTPS の悪意のあるアクティビティを検出し、警告し、軽減します。 Azure Firewallを使用した TLS 検査の詳細については、 を参照してくださいhttps://aka.ms/fw-tlsinspect。
ファイアウォール ポリシー Premium では、侵入検出および防止システム (IDPS) のバイパス リストが空である必要があります。 侵入検出および防止システム (IDPS) バイパス一覧を使用すると、バイパス一覧に指定された IP アドレス、範囲、サブネットへのトラフィックをフィルター処理しないようにすることができます。 ただし、既知の脅威をより適切に識別するには、すべてのトラフィック フローで IDPS を有効にすることをお勧めします。 Azure Firewall Premium を使用した侵入検出および防止システム (IDPS) 署名の詳細については、 を参照してくださいhttps://aka.ms/fw-idps-signature。
ファイアウォール ポリシー Premium では、すべての IDPS 署名規則を有効にして、すべての受信および送信トラフィック フローを監視する必要があります。 トラフィック フロー内の既知の脅威をより適切に識別するには、すべての侵入検出および防止システム (IDPS) 署名規則を有効にすることをお勧めします。 Azure Firewall Premium を使用した侵入検出および防止システム (IDPS) 署名の詳細については、 を参照してくださいhttps://aka.ms/fw-idps。
ファイアウォール ポリシー Premium では、侵入検出および防止システム (IDPS) を有効にする必要があります。 侵入検出および防止システム (IDPS) を有効にすると、ネットワークを監視して悪意のあるアクティビティがないか確認し、このアクティビティに関する情報をログに記録し、それを報告して、必要に応じてそのブロックを試みることができます。 Azure Firewall Premium を使用した侵入検出および防止システム (IDPS) の詳細については、 を参照してくださいhttps://aka.ms/fw-idps。
サブスクリプションでは、追加の保護レイヤーを提供するようにAzure Firewall Premium を構成する必要があります。 Azure Firewall Premium により、機密性が高く、規制された環境のニーズを満たす高度な脅威保護が提供されます。 Azure Firewall Premium をサブスクリプションにデプロイし、すべてのサービス トラフィックが Azure Firewall Premium によって保護されていることを確認します。 Azure Firewall Premium の詳細については、 を参照してくださいhttps://aka.ms/fw-premium。
Azure ネットワークに関連するすべての組み込みポリシー定義は、「 組み込みポリシー - ネットワーク」に記載されています。
コスト最適化
コストの最適化とは、不要な費用を削減し、運用効率を向上させる方法を検討することです。
設計チェック リスト
Azure Firewallの設計の選択を行う際は、コストの最適化に関する設計原則を確認してください。
- デプロイするAzure Firewall SKU を選択します。
- 一部のインスタンスで永続的な 24 時間 365 日の割り当てが必要ないかどうかを判断します。
- ワークロード間でファイアウォールの使用を最適化できる場所を決定します。
- ファイアウォール インスタンスの使用状況を監視および最適化して、コスト効率を判断します。
- 必要なパブリック IP アドレスの数と使用されるポリシーを確認して最適化します。
- ログの要件を確認し、コストを見積もり、時間の経過と同時に制御します。
Recommendations
次の推奨事項の表を調べて、コストの最適化のためにAzure Firewall構成を最適化します。
| 推奨 | 特長 |
|---|---|
| 適切なAzure Firewall SKU をデプロイします。 | Azure Firewallは、Basic、Standard、Premium の 3 つの異なる SKU にデプロイできます。 Azure Firewall Premium は、機密性の高いアプリケーション (支払処理など) をセキュリティで保護する場合にお勧めです。 Azure Firewall Standard は、レイヤー 3 からレイヤー 7 のファイアウォールを探しているお客様や、最大 30 Gbps のピーク トラフィック期間を処理するための自動スケーリングのニーズにお勧めです。 Azure Firewall Basic は、スループットのニーズが 250 Mbps である SMB のお客様にお勧めです。 必要に応じて、 こちらのドキュメントに記載されているように、Standard と Premium の間でダウングレードまたはアップグレードが可能です。 詳細については、「ニーズに合わせて適切なAzure Firewall SKU を選択する」を参照してください。 |
| 24 時間 365 日実行する必要のないデプロイAzure Firewall停止します。 | 営業時間内にのみ使用される開発環境またはテスト環境がある場合があります。 詳細については、「Azure Firewallの割り当て解除と割り当て解除」を参照してください。 |
| 複数のワークロードと Azure Virtual Networks で、Azure Firewallの同じインスタンスを共有します。 | ハブ仮想ネットワーク内のAzure Firewallの中央インスタンスを使用することも、セキュリティで保護されたハブVirtual WANして、同じリージョンから同じハブに接続されている多くのスポーク仮想ネットワーク間で同じファイアウォールを共有することもできます。 ハブスポーク トポロジの一部として、予期しないリージョン間トラフィックがないことを確認します。 |
| Azure Firewallによって処理されたトラフィックを定期的に確認し、元のワークロードの最適化を探します | 上位フロー ログ (業界では Fat Flows と呼ばれます) は、ファイアウォールを介して最高のスループットに貢献している上位の接続を示します。 Azure Firewallによって処理されるトラフィックを定期的に確認し、可能な最適化を検索して、ファイアウォールを通過するトラフィックの量を減らすことをお勧めします。 |
| 使用率の高いAzure Firewall インスタンスを確認します。 未使用のAzure Firewallデプロイを特定して削除します。 | 未使用のAzure Firewallデプロイを識別するには、まず、ファイアウォールのプライベート IP を指すサブネットに関連付けられている監視メトリックと UDR を分析します。 その情報を他の検証と組み合わせます。たとえば、Azure Firewallのインスタンスに NAT、ネットワーク、アプリケーションの規則 (クラシック) がある場合や、DNS プロキシ設定が [無効] に構成されている場合や、環境とデプロイに関する内部ドキュメントが含まれている場合などです。 時間の経過と同時にコスト効率の高いデプロイを検出できます。 ログとメトリックの監視の詳細については、「Azure Firewall ログとメトリックの監視」と「SNAT ポートの使用率」を参照してください。 |
| Azure Firewall マネージャーとそのポリシーを使用して、運用コストの削減、効率の向上、管理オーバーヘッドの削減を行います。 | Firewall Manager のポリシー、関連付け、継承を慎重に確認します。 ポリシーは、ファイアウォールの関連付けに基づいて課金されます。 ファイアウォールの関連付けが 0 個または 1 個のポリシーは無料です。 ファイアウォールの関連付けが複数存在するポリシーは、固定レートで課金されます。 詳細については、「価格 - Azure Firewall Manager」を参照してください。 |
| 未使用のパブリック IP アドレスを削除します。 | 関連付けられているすべてのパブリック IP アドレスが使用されているかどうかを検証します。 使用されていない場合は、関連付けを解除して削除します。 IP アドレスを削除する前に、SNAT ポートの使用率を評価します。 ファイアウォールに必要なパブリック IP の数のみを使用します。 詳細については、「Azure Firewall ログとメトリックの監視」と「SNAT ポート使用率」を参照してください。 |
| ログ記録の要件を確認します。 | Azure Firewallには、表示されるすべてのトラフィックのメタデータを、Event Hubs を介して Log Analytics ワークスペース、ストレージ、またはサードパーティソリューションに包括的にログを記録する機能があります。 ただし、すべてのログ ソリューションでは、データ処理とストレージのコストが発生します。 これらのコストは非常に大量に発生する可能性があり、コスト効率に優れたアプローチと Log Analytics に代わる方法 を検討し、コストを見積もる必要があります。 すべてのログ カテゴリのトラフィック メタデータをログに記録し、必要に応じて [診断設定] で変更する必要があるかどうかを検討します。 |
その他の提案については、「 コスト最適化の設計レビュー チェックリスト」を参照してください。
Azure Advisor を使用して、ビジネスに不可欠なアプリケーションの継続稼働を保証し、さらに向上させることができます。 Azure Advisor の推奨事項を確認します。
オペレーショナル エクセレンス
監視と診断は非常に重要です。 パフォーマンス統計とメトリックを測定して、問題のトラブルシューティングと修復をすばやく行うことができます。
設計チェック リスト
Azure Firewallの設計上の選択を行う際は、オペレーショナル エクセレンスの設計原則を確認してください。
- Azure Firewall構成とポリシーのインベントリとバックアップを維持します。
- 診断ログを活用して、ファイアウォールの監視とトラブルシューティングを行います。
- Azure Firewall監視ブックを活用します。
- ポリシーの分析情報と分析を定期的に確認します。
- Azure Firewallを Cloud および Microsoft Sentinel のMicrosoft Defenderと統合します。
Recommendations
次の推奨事項の表を調べて、オペレーショナル エクセレンスのためにAzure Firewall構成を最適化します。
| 推奨 | 特長 |
|---|---|
| VNet 内トラフィック制御にはAzure Firewallを使用しないでください。 | Azure Firewall使用して、VNet 間、VNet とオンプレミス ネットワーク間のトラフィック、インターネットへの送信トラフィック、および受信した非 HTTP/s トラフィックを制御する必要があります。 VNet 内トラフィック制御の場合は、 ネットワーク セキュリティ グループを使用することをお勧めします。 |
| Azure Policy成果物の定期的なバックアップを維持します。 | コードとしてのインフラストラクチャ (IaC) アプローチを使用してAzure Firewallを維持し、すべての依存関係を維持する場合は、Azure Firewall ポリシーのバックアップとバージョン管理が既に行われている必要があります。 そうでない場合は、外部ロジック アプリに基づく コンパニオン メカニズム をデプロイして、効果的なソリューションを自動化して提供できます。 |
| Azure Firewallの診断ログを有効にします。 | 診断ログは、Azure Firewallの多くの監視ツールと戦略の重要なコンポーネントであり、有効にする必要があります。 ファイアウォール ログまたはブックを使用してAzure Firewallを監視できます。 アクティビティ ログを使用して、Azure Firewall リソースに対する操作を監査することもできます。 |
| 構造化ファイアウォール ログ形式を使用します。 | 構造化ファイアウォール ログ は、特定の新しい形式で整理されたログ データの種類です。 定義済みのスキーマを使用して、ログ データを簡単に検索、フィルター処理、分析できるように構造化します。 最新の監視ツールは、この種類のログに基づいているため、多くの場合、前提条件です。 前の 診断ログ形式 は、その上に前提条件を持つ既存のツールがある場合にのみ使用します。 両方のログ形式を同時に有効にしないでください。 |
| 組み込みのAzure Firewall監視ブックを使用します。 | ポータル エクスペリエンスAzure Firewall、[監視] セクション UI の下に新しいブックが含まれるようになったので、別のインストールは不要になりました。 Azure Firewall ブックを使用すると、Azure Firewall イベントから貴重な分析情報を抽出し、アプリケーションとネットワークの規則を調査し、URL、ポート、アドレス全体のファイアウォール アクティビティに関する統計情報を調べることができます。 |
| 主要なメトリックを監視し、Azure Firewall容量の使用率を示すアラートを作成します。 | 少なくとも スループット、 ファイアウォールの正常性状態、 SNAT ポート使用率 、 AZFW 待機時間プローブ メトリックを監視するためにアラートを作成する必要があります。 ログとメトリックの監視の詳細については、「Azure Firewallログとメトリックの監視」を参照してください。 |
| Azure Firewall Cloud と Microsoft SentinelのMicrosoft Defenderとの統合を構成します。 | これらのツールが環境内で使用できる場合は、Cloud および Microsoft Sentinel ソリューションのMicrosoft Defenderとの統合を活用することをお勧めします。 クラウド統合のMicrosoft Defenderを使用すると、ネットワーク インフラストラクチャとネットワーク セキュリティの全状態を 1 か所で視覚化できます。これには、すべての VNet 間の Azure ネットワーク セキュリティや、Azure のさまざまなリージョンに分散された Virtual Hubs が含まれます。 Microsoft Sentinel との統合により、脅威の検出と防止の機能が提供されます。 |
| Policy Analytics ダッシュボードを定期的に確認して、潜在的な問題を特定します。 | Policy Analytics は、Azure Firewall ポリシーの影響に関する分析情報を提供する新機能です。 ポリシー内の潜在的な問題 (ポリシーの制限、使用率の低いルール、冗長なルール、一般的すぎるルール、IP グループの使用に関する推奨事項) を特定し、セキュリティ体制とルール処理のパフォーマンスを向上させるための推奨事項を提供します。 |
| Azure Firewall ログを使用した迅速な分析とトラブルシューティングを可能にするために、KQL(Kusto 照会言語) クエリについて理解を深めます。 | Azure Firewallのサンプル クエリが用意されています。 これにより、ファイアウォール内で何が起こっているのかをすばやく特定し、トリガーされたルールや、要求を許可またはブロックしているルールを確認チェック。 |
Azure Advisor を使用して、ビジネスに不可欠なアプリケーションの継続稼働を保証し、さらに向上させることができます。 Azure Advisor の推奨事項を確認します。
パフォーマンス効率
パフォーマンス効率は、ワークロードをスケーリングして、ユーザーが要求する要求を効率的に満たす能力です。
設計チェック リスト
Azure Firewallの設計の選択を行う際は、パフォーマンス効率の設計原則を確認してください。
- ファイアウォール規則を定期的に確認して最適化します。
- ポリシーの要件と機会を確認して、IP 範囲と URL の一覧を要約します。
- SNAT ポートの要件を評価します。
- 環境内で自動スケール パフォーマンスをテストするためのロード テストを計画します。
- 必要でない場合は、診断ツールとログ記録を有効にしないでください。
Recommendations
パフォーマンス効率のためにAzure Firewall構成を最適化するための推奨事項の次の表を確認します。
| 推奨 | 特長 |
|---|---|
| Policy Analytics ダッシュボードを使用して、ファイアウォール ポリシーの潜在的な最適化を特定します。 | Policy Analytics は、Azure Firewall ポリシーの影響に関する分析情報を提供する新機能です。 ポリシー内の潜在的な問題 (ポリシーの制限、使用率の低いルール、冗長なルール、一般的すぎるルール、IP グループの使用に関する推奨事項) を特定し、セキュリティ体制とルール処理のパフォーマンスを向上させるための推奨事項を提供します。 |
| 大きな ルール セットを持つファイアウォール ポリシーの場合は、最も頻繁に使用されるルールをグループの早い段階に配置して待機時間を最適化します。 | ルールは、ルールの種類、継承、ルール コレクション グループの優先度、およびルール コレクションの優先度に基づいて処理されます。 優先度が最も高い Rule Collection Group を最初に処理します。 ルール コレクション グループ内では、優先度が最も高いルール コレクションが最初に処理されます。 最も使用されるルールをルール セットの上位に配置すると、処理の待機時間が最適化されます。 ルールの処理方法と評価方法については、 この記事で説明します。 |
| IP グループを使用して、IP アドレス範囲を要約します。 | IP グループを使用して IP 範囲を集計できるため、 一意の送信元/宛先ネットワーク 規則の制限を超えないようにすることができます。 ルールごとに、Azure はポートに IP アドレスを乗算します。 そのため、4 つの IP アドレス範囲と 5 つのポートを持つ 1 つの規則がある場合は、20 個のネットワーク 規則を使用します。 IP グループは、ネットワーク ルールを作成するために 1 つのアドレスとして扱われます。 |
| 送信アクセスを一括で許可または拒否するには 、Web カテゴリ を検討してください。 | パブリック インターネット サイトの長いリストを明示的に構築して維持する代わりに、Azure Firewall Web カテゴリの使用を検討してください。 この機能は、Web コンテンツを動的に分類し、コンパクトなアプリケーション ルールを作成できるようにします。 |
| アラート モードと拒否モードでの IDPS のパフォーマンスへの影響を評価します。 | IDPS モードのアラートと拒否で動作するためにAzure Firewallが必要な場合は、このページに記載されているパフォーマンスへの影響を慎重に検討してください。 |
| 潜在的な SNAT ポート枯渇の問題を評価します。 | Azure Firewall では現在、バックエンドの仮想マシン スケール セット インスタンス 1 つにつき、パブリック IP アドレスごとに 2496 個のポートがサポートされます。 既定では、2 つの仮想マシン スケール セット インスタンスがあります。 そのため、フロー宛先 IP、宛先ポート、プロトコル (TCP または UDP) ごとに 4992 ポートがあります。 ファイアウォールは、最大 20 インスタンスまでスケールアップします。 この制限を回避するには、SNAT の枯渇による影響を受けやすいデプロイについては、パブリック IP アドレスを 5 つ以上使用して Azure Firewall のデプロイを構成することをお勧めします。 |
| パフォーマンス テストの前にAzure Firewallを適切にウォームアップします。 | テストの 20 分前にロード テストの一部ではない初期トラフィックを作成します。 診断設定を使用して、スケールアップとスケールダウンのイベントをキャプチャします。 Azure Load Testing サービスを使用して、初期トラフィックを生成できます。 Azure Firewall インスタンスがインスタンスを最大にスケールアップできるようにします。 |
| /26 アドレス空間を使用してAzure Firewall サブネット (AzureFirewallSubnet) を構成します。 | Azure Firewallは、仮想ネットワーク内の専用デプロイです。 仮想ネットワーク内では、Azure Firewallのインスタンスに専用のサブネットが必要です。 Azure Firewallでは、スケーリング時により多くの容量がプロビジョニングされます。 サブネットに /26 アドレス空間を使用すると、スケールに対応できる十分な数の IP アドレスがファイアウォールに確保されます。 Azure Firewall には、/26 よりも大きなサブネットは必要ありません。 Azure Firewallサブネット名は AzureFirewallSubnet である必要があります。 |
| 必要でない場合は、高度なログ記録を有効にしないでください | Azure Firewallには、常にアクティブな状態を維持するためにコストがかかる高度なログ機能がいくつか用意されています。 代わりに、トラブルシューティングのみを目的として使用し、期間を制限してから、不要になった場合は無効にする必要があります。 たとえば、上位フローとフロー トレース ログはコストが高く、Azure Firewall インフラストラクチャで CPU とストレージが過剰に使用される可能性があります。 |
Azure Advisor を使用して、ビジネスに不可欠なアプリケーションの継続稼働を保証し、さらに向上させることができます。 Azure Advisor の推奨事項を確認します。
Azure Advisor の推奨事項
Azure Advisor は、ベスト プラクティスに従って Azure デプロイメントを最適化できるようにする、個人用に設定されたクラウド コンサルタントです。 特定Azure Firewall Advisor の推奨事項はまだありません。 信頼性、セキュリティ、コスト効率、パフォーマンス、オペレーショナル エクセレンスの向上に役立つ一般的な推奨事項をいくつか適用できます。
- Azure の問題による影響を受けるときに通知される Azure Service Health アラートを作成する
- 必要な時に Azure クラウドの専門家を利用できるようにする
- Traffic Analytics を有効にして、Azure リソース間のトラフィック パターンに関する分析情報を表示する
- 十分な管理 (最小特権の原則) に従う
- Microsoft Defender for Cloud を使用してネットワーク リソースを保護する
その他のリソース
- Azure Firewall のドキュメント
- Azure Firewall Manager とは
- サービスの制限、クォータ、制約のAzure Firewall
- Azure Firewall 用の Azure セキュリティ ベースライン
Azure アーキテクチャ センターのガイダンス
- Azure Firewall アーキテクチャ概要
- Azure Kubernetes Service (AKS) クラスターの保護に Azure Firewall を使用する
- Azure Firewallを使用して Azure Virtual Desktop (AVD) デプロイを保護する
- Azure Firewall を使用して Office 365 を保護する
- Azure のハブスポーク ネットワーク トポロジ
- Azure Firewall と Application Gateway を使用した Web アプリケーション用のゼロ トラスト ネットワーク
- セキュリティ保護されたハイブリッド ネットワークを実装する
- PaaS データストアへのプライベート接続を使用したネットワーク強化 Web アプリケーション
次のステップ
Azure Firewallのインスタンスをデプロイして、そのしくみを確認します。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示