Azure Firewall Premium の機能

Azure Firewall Premium は、支払い業界や医療業界など、機密性の高い規制された環境に適した高度な脅威保護を提供します。

組織は、IDPS や TLS 検査などの Premium SKU 機能を利用して、マルウェアやウイルスがネットワーク全体に拡散するのを防ぐことができます。 これらの機能のパフォーマンス要求の増加を満たすために、Azure Firewall Premium では、より強力な仮想マシン SKU が使用されます。 Standard SKU と同様に、Premium SKU は最大 100 Gbps にスケールアップし、可用性ゾーンと統合して 99.99% SLA をサポートできます。 Premium SKU は、Payment Card Industry Data Security Standard (PCI DSS) の要件に準拠しています。

Azure Firewall Premium には次の機能が含まれています。

• TLS 検査: 送信トラフィックを復号化し、処理した後、再暗号化して宛先に送信します。
• IDPS: ネットワーク アクティビティの悪意のあるアクティビティを監視し、情報をログに記録し、レポートし、必要に応じてブロックします。
• URL フィルタリング: 追加のパスを含め、URL 全体を考慮するように FQDN フィルター処理を拡張します。
• Web カテゴリ: ギャンブルやソーシャル メディアなどの Web サイト カテゴリへのユーザー アクセスを許可または拒否します。

すべての SKU の Azure Firewall 機能を比較するには、「 ニーズに合った適切な Azure Firewall SKU を選択する」を参照してください。

TLS インスペクション

TLS (トランスポート層セキュリティ) プロトコルは、通信アプリケーション間の証明書を使用して、プライバシー、整合性、および信頼性のための暗号化を提供します。 HTTP トラフィックが暗号化され、違法なユーザー アクティビティや悪意のあるトラフィックが非表示になる可能性があります。

TLS 検査がないと、Azure Firewall は暗号化された TLS トンネル内のデータを表示できず、保護機能が制限されます。 ただし、Azure Firewall Premium は TLS 接続を終了して検査し、HTTPS での悪意のあるアクティビティを検出、アラート、軽減します。 2 つの TLS 接続 (1 つは Web サーバー、もう 1 つはクライアント) が作成されます。 顧客が指定した CA 証明書を使用して、Web サーバー証明書を置き換えるオンザフライ証明書を生成し、それをクライアントと共有して TLS 接続を確立します。

TLS 検査なしの Azure Firewall:

TLS 検査を使用した Azure Firewall:

Azure Firewall では、次のユース ケースがサポートされています。

• 送信 TLS 検査: Azure でホストされている内部クライアントからインターネットに送信される悪意のあるトラフィックから保護します。
• East-West TLS 検査: オンプレミス ネットワークとの間のトラフィックなど、Azure 内で送信される潜在的な悪意のあるトラフィックから Azure ワークロードを保護します。

Azure Application Gateway の Azure Web Application Firewall では、次のユース ケースがサポートされています。

• 受信 TLS 検査: インターネットまたは外部ネットワークから到着した悪意のある要求から、Azure でホストされている内部サーバーまたはアプリケーションを保護します。 Application Gateway では、エンドツーエンドの暗号化が提供されます。

関連情報については、以下をご覧ください。

• Azure Firewall Premium と名前解決
• Azure Firewall の前の Application Gateway

Azure Firewall Premium の中間 CA 証明書の要件に関する詳細については、「Azure Firewall Premium の証明書」を参照してください。

TLS 検査の詳細については、「Azure Firewall での TLS 検査のための POC の構築」を参照してください。

IDPS

ネットワーク侵入検出および防止システム (IDPS) は、ネットワークの悪意のあるアクティビティを監視し、情報をログに記録して報告し、必要に応じてブロックします。

Azure Firewall Premium では、ネットワーク トラフィックのバイト シーケンスやマルウェアによって使用される既知の悪意のある命令シーケンスなど、特定のパターンを識別することで、攻撃を迅速に検出するシグネチャ ベースの IDPS が提供されます。 これらの IDPS 署名は、アプリケーション レベルのトラフィックとネットワーク レベルのトラフィック (レイヤー 3 から 7) の両方に適用されます。 これらは完全に管理され、継続的に更新されます。 IDPS は、受信、スポーク間 (East-West)、および送信トラフィック (オンプレミス ネットワークとの間のトラフィックを含む) に適用できます。 プライベート IP 範囲機能を使用して、IDPS プライベート IP アドレス範囲を構成できます。 詳細については、「 IDPS プライベート IP 範囲」を参照してください。

Azure Firewall シグネチャ/ルールセットには次のものが含まれます。

• 従来の方法で見逃した実際のマルウェア、コマンドアンドコントロール、悪用キット、悪意のあるアクティビティを特定することに重点を置く。
• マルウェアのコマンドと制御、フィッシング、トロイの木馬、ボットネット、情報イベント、悪用、脆弱性、SCADA ネットワーク プロトコル、エクスプロイト キットアクティビティなど、50 を超えるカテゴリの 67,000 を超えるルール。
• 20 ~ 40 以上の新しいルールが毎日リリースされます。
• グローバル センサー ネットワーク フィードバック ループなどの高度なマルウェア検出手法を使用して、誤検知率を低くします。

IDPS は、暗号化されていないトラフィックに対するすべてのポートとプロトコルに対する攻撃を検出します。 HTTPS トラフィック検査の場合、Azure Firewall は TLS 検査機能を使用してトラフィックを復号化し、悪意のあるアクティビティをより適切に検出できます。

IDPS バイパス リストを使用すると、特定の IP アドレス、範囲、サブネットをフィルター処理から除外できます。 ファイアウォールのパフォーマンスは引き続きユース ケースの対象であるため、バイパス リストはスループットのパフォーマンスを向上させるためのものではありません。 詳細については、「Azure Firewall のパフォーマンス」を参照してください。

IDPS プライベート IP 範囲

Azure Firewall Premium IDPS では、プライベート IP アドレス範囲を使用して、トラフィックが受信、送信、または内部 (East-West) かどうかを判断します。 各署名は、署名規則テーブルに示されているように、特定のトラフィックの方向に適用されます。 既定では、IANA RFC 1918 で定義されている範囲のみがプライベート IP アドレスと見なされます。 プライベート IP アドレス範囲間のトラフィックは内部と見なされます。 必要に応じて、プライベート IP アドレス範囲を簡単に編集、削除、または追加できます。

IDPS シグネチャ規則

IDPS シグネチャ規則を使用すると、以下を行うことができます。

• 署名をカスタマイズするには、モードを [無効]、[ アラート]、または [ アラートと拒否] に変更します。 最大 10,000 個の IDPS ルールをカスタマイズできます。
  • たとえば、署名に問題があるために正当な要求がブロックされた場合は、ネットワーク ルール ログの ID を使用してその署名を無効にして、誤検知の問題を解決できます。
• 優先度の高いアラートの可視性を向上させるために、優先度の低い過剰なアラートを生成するシグネチャを微調整します。
• 67,000 以上の署名をすべて表示します。
• スマート検索を使用して、CVE-ID などの属性で署名を検索します。

IDPS シグネチャ ルールには次のプロパティがあります。

IDPS の詳細については、体験版で Azure Firewall IDPS を試す方法に関する記事を参照してください。

URL フィルタリング

URL フィルタリングにより、Azure Firewall の FQDN フィルタリング機能が拡張され、ではなく、などの URL 全体が考慮されます。

URL フィルタリングは、HTTP トラフィックと HTTPS トラフィックの両方に適用できます。 HTTPS トラフィックを検査する場合、Azure Firewall Premium は TLS 検査機能を使用してトラフィックの暗号化を解除し、ターゲット URL を抽出し、アクセスが許可されているかどうかを検証します。 TLS 検査は、アプリケーション ルール レベルで有効にする必要があります。 有効にすると、URL を使用して HTTPS トラフィックをフィルター処理できます。

Web カテゴリ

Web カテゴリを使用すると、管理者は、ギャンブルやソーシャル メディアなど、特定のカテゴリの Web サイトへのユーザー アクセスを許可または拒否できます。 この機能は Azure Firewall Standard と Premium の両方で利用できます。Premium SKU では、HTTP トラフィックと HTTPS トラフィックの両方の URL 全体に基づいてカテゴリを照合することで、より詳細な制御が提供されます。

Azure Firewall Premium Web カテゴリは、ファイアウォール ポリシーでのみ使用できます。 ポリシー SKU がファイアウォール インスタンス SKU と一致していることを確認します。 たとえば、Firewall Premium インスタンスには Firewall Premium ポリシーが必要です。

たとえば、Azure Firewall が www.google.com/newsの HTTPS 要求をインターセプトした場合は、次のようになります。

• Firewall Standard は FQDN のみを調べ、 www.google.com を 検索エンジンとして分類します。
• Firewall Premium は完全な URL を調べ、 www.google.com/news を ニュースとして分類します。

カテゴリは、 責任、 高帯域幅、 ビジネス使用、 生産性損失、 一般的なサーフィン、 未分類の重大度別に分類されます。 詳細な説明については、 Azure Firewall の Web カテゴリに関するページを参照してください。

Web カテゴリのログ記録

Web カテゴリでフィルター処理されたトラフィックは、アプリケーション ログに記録されます。 [Web カテゴリ] フィールドは、ファイアウォール ポリシーアプリケーションルールで明示的に構成されている場合にのみ表示されます。 たとえば、 検索エンジン を明示的に拒否する規則がなく、ユーザーが www.bing.comを要求した場合、既定の拒否メッセージのみが表示されます。

カテゴリの例外

Web カテゴリ ルールの例外を作成するには、優先度の高い個別の許可または拒否規則コレクションを構成します。 たとえば、優先度 100 の www.linkedin.com を許可し、優先度 200 の ソーシャル ネットワーク を拒否して 、ソーシャル ネットワーク カテゴリの例外を作成します。

Web カテゴリ検索

[ファイアウォール ポリシー設定] の [Web カテゴリ チェック] 機能を使用して、FQDN または URL のカテゴリを特定します。 これは、宛先トラフィックのアプリケーション ルールを定義するのに役立ちます。

カテゴリの変更

[ファイアウォール ポリシー設定] の [Web カテゴリ] タブで、FQDN または URL が別のカテゴリにある必要があると思われる場合や、分類されていない FQDN または URL の提案がある場合は、カテゴリの変更を要求できます。 カテゴリ変更レポートを送信すると、要求の状態を追跡するためのトークンを受け取ります。

TLS 終端をサポートしていない Web カテゴリ

従業員の正常性データなどの特定の Web トラフィックは、プライバシーとコンプライアンス上の理由により、TLS 終了を使用して暗号化を解除できません。 次の Web カテゴリでは、TLS 終了はサポートされていません。

• Education
• Finance
• 政府
• 健康と医療

特定の URL の TLS 終了をサポートするには、それらをアプリケーション ルールに手動で追加します。 たとえば、この Web サイトを許可する www.princeton.edu を追加します。

サポートされているリージョン

Azure Firewall を使用できるリージョンの一覧については、 リージョン別に利用可能な Azure 製品に関するページを参照してください。

次のステップ

• Azure Firewall Premium の証明書の詳細を確認する
• Azure Firewall Premium をデプロイして構成する
• Azure Firewall Premium への移行
• Azure ネットワーク セキュリティの詳細