Azure Firewall のバックアップ(No.13)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• Azure Firewall へ行く。
  • 1 (2020-05-05 (火) 20:14:35)
  • 2 (2020-05-05 (火) 23:00:54)
  • 3 (2020-05-05 (火) 23:57:50)
  • 4 (2020-05-06 (水) 10:18:16)
  • 5 (2020-05-07 (木) 18:23:31)
  • 6 (2020-05-08 (金) 12:00:17)
  • 7 (2020-09-17 (木) 19:59:20)
  • 8 (2020-10-12 (月) 19:28:51)
  • 9 (2021-02-08 (月) 15:09:10)
  • 10 (2021-02-25 (木) 11:59:16)
  • 11 (2021-03-13 (土) 01:49:37)
  • 12 (2021-03-13 (土) 21:58:55)
  • 13 (2021-03-16 (火) 23:31:59)

---

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る
  • Azureの仮想ネットワーク
    • GW / LB的なモノ。
    • プロキシ的なモノ。
  • Azure Virtual Data Center

目次 †

概要 †

• 所謂一つのプロキシ・サーバー
  • ステートフルインスペクション型のファイアウォール
  • WAFはAzure Application Gatewayが該当する。
• VNETの中に作成し、
  • 主にアウトバウンドをコントロールする。
  • ただし、インバウンドもコントロールする。

機能 †

ロギング †

ログが確認できる。

ルール・コレクション †

アプリケーション †

• アウトバウンド専門
• HTTP、HTTPS、または MSSQLなどのプロトコルに構成
• ネットワーク ルールよりも後に適用される。

ネットワーク †

• アウトバウンド＆インバウンド
• TCP、UDP、ICMP、または 任意 の IP プロトコルに構成
• アプリケーション ルールよりも先に適用される。

NAT †

• インバウンド専門
• NAT変換に対応するネットワーク ルールが自動的に追加される。
• ネットワーク ルールよりも先に適用される。
• 通常は、この機能は使用せず、WAFを使用する。

フィルタリング †

HTTP、HTTPS †

に関しては、FQDNでフィルタリングできる。

TCP, UDP †

• に関しては、フィルタリングできない。
• サービス・タグでHTTP以外のプロトコルのフィルタも可能。

タグ（FQDNタグやサービス・タグ） †

タグという機能が今日枯れていて便利。

• FQDNタグやサービス・タグ

• FQDNタグ
  Azureサービスに関連付けられた
  完全修飾ドメイン名（FQDN）のグループを表す。

• サービス・タグ
  • Azureサービスに関連付けられた
    IPアドレス・プレフィックスのグループを表す。
  • サービス・タグは、NSGでも利用される。

• IPアドレスやFQDNのリストを更新する必要がない。

• SQL Database や KeyVault?、ストレージ等
  マルチテナント型 PaaS サービスの場合には、
  FQDNタグを使ったアプリケーション・ルール設定を行う

脅威インテリジェンス †

• 脅威インテリジェンス・ベースのフィルタ処理
• 主に、IPアドレスやFQDNの問題を検知する。
• HTTPだけでなく、TCP / UDPも対象である模様。

パケット・フォワーダ †

Spoke 間通信や Hub 拡張で役立つ。

詳細 †

問題 †

比較的高価 †

最小構成

• 10万/月
• 2円/GB

UDRが必要 †

• デフォルト・ルートをAzure Firewallにする。
• すべてのアウトバウンドがプロシキを経由するようになる。

ユーザ・テナント単位の制限 †

FQDNで頑張るしか無い。

• 「*」で開けると情報流出経路になる可能性がある。

• 「*」が明確に解らない部分は、手間になる。
  • 必要な時点でのみ、一時的に穴をあける。
  • ログで「*」の部分のGuidを確認して絞るなど。

• この場合、Azure Private Endpointの方が楽なケースも。

SNAT / DNAT †

• アウトバウンド＆インバウンドに対応しているので、SNAT / DNATに対応している。
• ルール・コレクションのNATは、インバウンドなのでDNATに該当する。

セキュア化とロックダウン †

作業内容の安全性の確認 †

• 入力制御（インバウンド）
  • 経路開放
    • Hub にのみ Azure Firewall をHubに作って集中管理する。
      ※ ゼロトラスト型で構成する場合にはSpoke 側に立てても良い。
    • 通常、NATルールを作らない。

• 攻撃検知
  • 脅威インテリジェンス機能を有効化する。
  • 診断設定を有効化する。

• ハードニング（クライアント or サーバ）
  －

• 出力制御（アウトバウンド）
  • 経路制限
    • 適切に設計・定義されたルールのみが定義されている
      ・アウトバウンドのネットワーク・アプリケーション・ルール
      ・パケット・フォワーダとして動作させる場合のルール
    • タグ（FQDNタグやサービス・タグ）を積極的に利用する。

変更・保守、作業の一覧化 †

高権限である「Network Contributor」ロールが必要になるので要注意。

参考 †

Microsoft Docs †

• Azure Firewall のドキュメント
  https://docs.microsoft.com/ja-jp/azure/firewall/
• ファイアウォールまたはプロキシ サーバーのセーフリストに Azure portal の URL を追加する
  https://docs.microsoft.com/ja-jp/azure/azure-portal/azure-portal-safelist-urls?tabs=public-cloud

---

Tags: :インフラストラクチャ, :クラウド, :Azure, :セキュリティ, :通信技術

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.028 sec.