Azure Firewall

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る
  • Azureのプロキシ的なモノ。
  • AzureのGW / LB的なモノ。

目次 †

概要 †

• 所謂一つのプロキシ・サーバー
  • ステートフルインスペクション型のファイアウォール
  • WAFはAzure Application Gatewayが該当する。
• VNETの中に作成し、
  • 主にアウトバウンドをコントロールする。
  • ただし、インバウンドもコントロールする。

詳細 †

ルール・コレクション †

ネットワーク †

• アウトバウンド＆インバウンド
• TCP、UDP、ICMP、または 任意 の IP プロトコルに構成
• アプリケーション ルールよりも先に適用される。

アプリケーション †

• アウトバウンド専門
• HTTP、HTTPS、または MSSQLなどのプロトコルに構成
• ネットワーク ルールよりも後に適用される。

NAT †

• インバウンド専門
• NAT変換に対応するネットワーク ルールが自動的に追加される。
• ネットワーク ルールよりも先に適用される。

フィルタリング †

HTTP、HTTPS †

に関しては、FQDNでフィルタリングできる。

TCP, UDP †

に関しては、フィルタリングできない。

ロギング †

ログが確認できる。

問題 †

UDRが必要 †

• デフォルト・ルートをAzure Firewallにする。
• すべてのアウトバウンドがプロシキを経由するようになる。

比較的高価 †

最小構成

• 10万/月
• 2円/GB

ユーザ・テナント単位の制限 †

FQDNで頑張るしか無い。

• 「*」で開けると情報流出経路になる可能性がある。

• 「*」が明確に解らない部分は、手間になる。
  • 必要な時点でのみ、一時的に穴をあける。
  • ログで「*」の部分のGuidを確認して絞るなど。

• この場合、Azure Private Endpointの方が楽なケースも。

参考 †

Microsoft Docs †

• Azure Firewall のドキュメント
  https://docs.microsoft.com/ja-jp/azure/firewall/
• ファイアウォールまたはプロキシ サーバーのセーフリストに Azure portal の URL を追加する
  https://docs.microsoft.com/ja-jp/azure/azure-portal/azure-portal-safelist-urls?tabs=public-cloud

Tags: :インフラストラクチャ, :クラウド, :Azure, :セキュリティ, :通信技術