Azure Firewall
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
単語検索
|
最終更新
|
ヘルプ
]
開始行:
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicros...
-戻る
--[[Azureの仮想ネットワーク]]
---[[GW / LB的なモノ。>AzureのGW / LB的なモノ。]]
---[[プロキシ的なモノ。>Azureのプロキシ的なモノ。]]
--[[Azure Virtual Data Center]]
* 目次 [#f47e08d9]
#contents
*概要 [#b6d907d8]
-所謂一つのプロキシ・サーバー
--[[ステートフルインスペクション型>https://dotnetdevelopm...
--[[WAF>https://dotnetdevelopmentinfrastructure.osscons.j...
-[[VNET>Azureの仮想ネットワーク]]の中に作成し、
--主にアウトバウンドをコントロールする。
--ただし、インバウンドもコントロールする。
*機能 [#s05c9eac]
**ロギング [#q664235c]
ログが確認できる。
**ルール・コレクション [#hfcfff19]
***アプリケーション [#ocd9500d]
-アウトバウンド専門
-HTTP、HTTPS、または MSSQLなどのプロトコルに構成
-[[ネットワーク ルール>#g63685d0]]よりも後に適用される。
***ネットワーク [#g63685d0]
-アウトバウンド&インバウンド
-TCP、UDP、ICMP、または 任意 の IP プロトコルに構成
-[[アプリケーション ルール>#ocd9500d]]よりも先に適用され...
***NAT [#ze6d9c7f]
-インバウンド専門
-[[NAT変換>#gf4fa114]]に対応する[[ネットワーク ルール>#g6...
-[[ネットワーク ルール>#g63685d0]]よりも先に適用される。
-通常は、この機能は使用せず、[[WAF>Azure Application Gate...
**フィルタリング [#p9d7066d]
***[[HTTP]]、[[HTTPS>SSL/TLS]] [#n01ce4e7]
に関しては、FQDNでフィルタリングできる。
***[[TCP, UDP]] [#nd751e96]
-に関しては、フィルタリングできない。
-[[サービス・タグ>#fbddaf25]]でHTTP以外のプロトコルのフィ...
***タグ(FQDNタグやサービス・タグ) [#fbddaf25]
タグという機能が今日枯れていて便利。
-FQDNタグやサービス・タグ
--FQDNタグ~
Azureサービスに関連付けられた~
完全修飾ドメイン名(FQDN)のグループを表す。
--サービス・タグ
---Azureサービスに関連付けられた~
IPアドレス・プレフィックスのグループを表す。
---サービス・タグは、[[NSG>Network Security Group (NSG)#t...
-IPアドレスやFQDNのリストを更新する必要がない。
-SQL Database や KeyVault、ストレージ等~
マルチテナント型 PaaS サービスの場合には、~
FQDNタグを使ったアプリケーション・ルール設定を行う
***脅威インテリジェンス [#p47ba0c9]
-脅威インテリジェンス・ベースのフィルタ処理
-主に、IPアドレスやFQDNの問題を検知する。
-HTTPだけでなく、TCP / UDPも対象である模様。
**パケット・フォワーダ [#w0d3f5d9]
[[Spoke 間通信や Hub 拡張で役立つ。>Azureの仮想ネットワー...
*詳細 [#gd346a7b]
**問題 [#tabd2cbc]
***比較的高価 [#l21bb937]
最小構成
-10万/月
-2円/GB
***[[UDR>Azureの仮想ネットワーク#e8a3a7cc]]が必要 [#j314d...
-デフォルト・ルートをAzure Firewallにする。
-すべてのアウトバウンドがプロシキを経由するようになる。
***ユーザ・テナント単位の制限 [#r6de3595]
FQDNで頑張るしか無い。
-「*」で開けると情報流出経路になる可能性がある。
-「*」が明確に解らない部分は、手間になる。
--必要な時点でのみ、一時的に穴をあける。
--ログで「*」の部分のGuidを確認して絞るなど。
-この場合、[[Azure Private Endpoint]]の方が楽なケースも。
***[[SNAT / DNAT>ネットワーク機器一覧#rf4cdcfd]] [#gf4fa1...
-アウトバウンド&インバウンドに対応しているので、[[SNAT /...
-[[ルール・コレクションのNAT>#ze6d9c7f]]は、インバウンド...
**セキュア化とロックダウン [#kdf5f70b]
***作業内容の安全性の確認 [#t5c19b20]
-入力制御(インバウンド)
--経路開放
---Hub にのみ Azure Firewall をHubに作って集中管理する。~
※ ゼロトラスト型で構成する場合にはSpoke 側に立てても良い。
---通常、[[NATルール>#ze6d9c7f]]を作らない。
-攻撃検知
--[[脅威インテリジェンス機能>#p47ba0c9]]を有効化する。
--診断設定を有効化する。
-ハードニング(クライアント or サーバ)~
-
-出力制御(アウトバウンド)
--経路制限
---適切に設計・定義されたルールのみが定義されている~
・アウトバウンドの[[ネットワーク>#g63685d0]]・[[アプリケ...
・パケット・フォワーダとして動作させる場合のルール
---[[タグ(FQDNタグやサービス・タグ)>#fbddaf25]]を積極的...
***変更・保守、作業の一覧化 [#i3f2684c]
高権限である「Network Contributor」ロールが必要になるので...
*参考 [#qb25220b]
**Microsoft Docs [#t1775fd3]
-Azure Firewall のドキュメント~
https://docs.microsoft.com/ja-jp/azure/firewall/
-ファイアウォールまたはプロキシ サーバーのセーフリストに ...
https://docs.microsoft.com/ja-jp/azure/azure-portal/azure...
----
Tags: [[:インフラストラクチャ]], [[:クラウド]], [[:セキュ...
終了行:
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicros...
-戻る
--[[Azureの仮想ネットワーク]]
---[[GW / LB的なモノ。>AzureのGW / LB的なモノ。]]
---[[プロキシ的なモノ。>Azureのプロキシ的なモノ。]]
--[[Azure Virtual Data Center]]
* 目次 [#f47e08d9]
#contents
*概要 [#b6d907d8]
-所謂一つのプロキシ・サーバー
--[[ステートフルインスペクション型>https://dotnetdevelopm...
--[[WAF>https://dotnetdevelopmentinfrastructure.osscons.j...
-[[VNET>Azureの仮想ネットワーク]]の中に作成し、
--主にアウトバウンドをコントロールする。
--ただし、インバウンドもコントロールする。
*機能 [#s05c9eac]
**ロギング [#q664235c]
ログが確認できる。
**ルール・コレクション [#hfcfff19]
***アプリケーション [#ocd9500d]
-アウトバウンド専門
-HTTP、HTTPS、または MSSQLなどのプロトコルに構成
-[[ネットワーク ルール>#g63685d0]]よりも後に適用される。
***ネットワーク [#g63685d0]
-アウトバウンド&インバウンド
-TCP、UDP、ICMP、または 任意 の IP プロトコルに構成
-[[アプリケーション ルール>#ocd9500d]]よりも先に適用され...
***NAT [#ze6d9c7f]
-インバウンド専門
-[[NAT変換>#gf4fa114]]に対応する[[ネットワーク ルール>#g6...
-[[ネットワーク ルール>#g63685d0]]よりも先に適用される。
-通常は、この機能は使用せず、[[WAF>Azure Application Gate...
**フィルタリング [#p9d7066d]
***[[HTTP]]、[[HTTPS>SSL/TLS]] [#n01ce4e7]
に関しては、FQDNでフィルタリングできる。
***[[TCP, UDP]] [#nd751e96]
-に関しては、フィルタリングできない。
-[[サービス・タグ>#fbddaf25]]でHTTP以外のプロトコルのフィ...
***タグ(FQDNタグやサービス・タグ) [#fbddaf25]
タグという機能が今日枯れていて便利。
-FQDNタグやサービス・タグ
--FQDNタグ~
Azureサービスに関連付けられた~
完全修飾ドメイン名(FQDN)のグループを表す。
--サービス・タグ
---Azureサービスに関連付けられた~
IPアドレス・プレフィックスのグループを表す。
---サービス・タグは、[[NSG>Network Security Group (NSG)#t...
-IPアドレスやFQDNのリストを更新する必要がない。
-SQL Database や KeyVault、ストレージ等~
マルチテナント型 PaaS サービスの場合には、~
FQDNタグを使ったアプリケーション・ルール設定を行う
***脅威インテリジェンス [#p47ba0c9]
-脅威インテリジェンス・ベースのフィルタ処理
-主に、IPアドレスやFQDNの問題を検知する。
-HTTPだけでなく、TCP / UDPも対象である模様。
**パケット・フォワーダ [#w0d3f5d9]
[[Spoke 間通信や Hub 拡張で役立つ。>Azureの仮想ネットワー...
*詳細 [#gd346a7b]
**問題 [#tabd2cbc]
***比較的高価 [#l21bb937]
最小構成
-10万/月
-2円/GB
***[[UDR>Azureの仮想ネットワーク#e8a3a7cc]]が必要 [#j314d...
-デフォルト・ルートをAzure Firewallにする。
-すべてのアウトバウンドがプロシキを経由するようになる。
***ユーザ・テナント単位の制限 [#r6de3595]
FQDNで頑張るしか無い。
-「*」で開けると情報流出経路になる可能性がある。
-「*」が明確に解らない部分は、手間になる。
--必要な時点でのみ、一時的に穴をあける。
--ログで「*」の部分のGuidを確認して絞るなど。
-この場合、[[Azure Private Endpoint]]の方が楽なケースも。
***[[SNAT / DNAT>ネットワーク機器一覧#rf4cdcfd]] [#gf4fa1...
-アウトバウンド&インバウンドに対応しているので、[[SNAT /...
-[[ルール・コレクションのNAT>#ze6d9c7f]]は、インバウンド...
**セキュア化とロックダウン [#kdf5f70b]
***作業内容の安全性の確認 [#t5c19b20]
-入力制御(インバウンド)
--経路開放
---Hub にのみ Azure Firewall をHubに作って集中管理する。~
※ ゼロトラスト型で構成する場合にはSpoke 側に立てても良い。
---通常、[[NATルール>#ze6d9c7f]]を作らない。
-攻撃検知
--[[脅威インテリジェンス機能>#p47ba0c9]]を有効化する。
--診断設定を有効化する。
-ハードニング(クライアント or サーバ)~
-
-出力制御(アウトバウンド)
--経路制限
---適切に設計・定義されたルールのみが定義されている~
・アウトバウンドの[[ネットワーク>#g63685d0]]・[[アプリケ...
・パケット・フォワーダとして動作させる場合のルール
---[[タグ(FQDNタグやサービス・タグ)>#fbddaf25]]を積極的...
***変更・保守、作業の一覧化 [#i3f2684c]
高権限である「Network Contributor」ロールが必要になるので...
*参考 [#qb25220b]
**Microsoft Docs [#t1775fd3]
-Azure Firewall のドキュメント~
https://docs.microsoft.com/ja-jp/azure/firewall/
-ファイアウォールまたはプロキシ サーバーのセーフリストに ...
https://docs.microsoft.com/ja-jp/azure/azure-portal/azure...
----
Tags: [[:インフラストラクチャ]], [[:クラウド]], [[:セキュ...
ページ名: