Azure Virtual WANとAzure Firewall Managerを理解する

by .

この記事は更新から24ヶ月以上経過しているため、最新の情報を別途確認することを推奨いたします。

はじめに

2019年11月、MicrosoftのテクニカルリファレンスMicrosoft Ignight 2019が開催され、Azure Firewall Managerなるものがパブリックプレビューとなりました。インフラエンジニアには聞き覚えのある「Firewall」という単語がありながら、公式ドキュメントを見てみるとなかなか理解しにくく、まだプレビューだからGAされてから理解しておけばいいやと諦めてしまう方もいるかと思います。個人的に考えるこの難しさの理由は、Azure Firewall Managerが既にリリースされている「Azure Firewall」と「Azure Virtual WAN」を組み合わせて作られたサービスであり、公式ドキュメントにもこの既存2サービスの知識が既にあるものとして記載がされているためハードルが高い印象を受けるのではないか、と考えています。
この記事では、Azure Firewall Managerを知るために必要となる前提知識を含め、Azure Firewall Managerの解説を行っていきたいと思います。

 ・記事の目的
  Azure Firewall Managerの機能と使い所をAzure初心者レベルでも理解してもらう

 ・記事の流れ
  1.Azure Firewall Managerを知るために必要な既存サービスの紹介
  2.Azure Firewall Managerの機能と使い所紹介
  3.Azure Firewall Manager利用に伴うつまづきポイント紹介


1.Azure Firewall Managerを知るために必要な既存サービスの紹介

では早速Azure Firewall Managerを知るにあたり必要となる関連機能の紹介から進めていきます。

 ・Azure Firewallとは
  Azure上で提供されるマネージドなファイアウォールサービスです。
  機能としては経由する通信をIP・プロトコル・ポート・サービスタグ・FQDNレベルで許可/拒否できたり、SNAT、DNATにも対応しています。
  NW構成としては、PaaSのような形ではなく、IaaS VMのように仮想ネットワーク上に構築され、プライベートなIPが割り振られます。ただし、既存のサブネットの中に構築するような形ではなくAzure Firewall専用のサブネット単位で構築されます。オンプレミスでのNWアプライアンスのような位置づけとなります。

  利用する際はルートテーブル設定を変更し、特定の通信についてはAzure Firewallを経由させるような形で構成することで利用が可能です。
  NSGでは対応できないFQDN単位で通信の制御ができるという点がAzure Firewallの目立つ特徴であり使い所でもあります。
  
 ・Azure Virtual WANとは
  Azure上で提供される、仮想ネットワークやオンプレミス拠点の相互接続可能とするサービスです。
  Azure Virtual WANリソース自体は管理の枠のようなリソースで、実質的にネットワークの相互接続を実現するのは、Azure Virtual WANリソース内で構築する「仮想ハブ」と言うリソースで、この仮想ハブには、複数の仮想ネットワーク、エクスプレスルート、オンプレミス拠点、ポイント対サイト利用したモバイルユーザーを接続することができ、これにより、各ノード間の通信がシームレスに行えるようになります。オンプレミス拠点⇔仮想ハブ間がサイト対サイトの接続であれば可能です。

  特徴として、接続拠点が1000まで対応可能なため、接続拠点や仮想ネットワークが多い構成に対して、ハブ&スポーク型を軸にした相互接続NW構成が可能です。
  また、 Azure Virtual WAN内の仮想ハブは同じAzure Virtual WANリソース配下の仮想ハブであれば接続することができ、リージョンを跨ぐような広範囲のグローバル構成も対応は可能です。
  ですので、例えば接続ノードが30以上ある場合や、グローバルな拠点間において相互接続させたい場合などがAzure Virtual WANの使い所と言えるでしょう。

 お判りいただけましたでしょうか。めちゃくちゃざっくりまとめると以下となります。
 ・Azure Firewall:通信内容の制御を行う
 ・Azure Virtual WAN:通信経路の制御を行う


2.Azure Firewall Managerの機能と使い所紹介

これまでの説明を読むと、こう思う人はいるかもしれません。Azure Firewallは通信内容の制御であり、Azure Virtual WANが通信経路の制御であれば、それらの操作を一括でできたらどんなに楽だろうと。そんな経緯で生まれたかはわからないですが、Azure Firewall Managerはまさにこの2つの機能を統合したサービスとなります。

 ・Azure Firewall Managerとは
  一言で言うと、Azure Virtual WANとAzure Firewallの機能を持った仮想ハブ、(それを公式では「セキュリティ保護された仮想ハブ」と言っている)をコントロールできる機能です。
  まず、「セキュリティ保護された仮想ハブ」と言うのは、Azure Virtual WANでの紹介に出てきた「仮想ハブ」にAzure Firewallで実現できる「通信内容の制御」機能が付与されたものとお考え下さい。実際「セキュリティ保護された仮想ハブ」を構築する際は、新規で作成する方法とは別に、既存のAzure Virtual WANの仮想ハブを「セキュリティ保護された仮想ハブ」に変換する、と言う方法も可能であることからも、仮想ハブを基軸にしたサービスであるとわかると思います。
  そして、この「セキュリティ保護された仮想ハブ」は1リージョンに1つですが、通常の仮想ハブと同様に複数リージョンにはそれぞれ構築することも可能です。Azure Firewall Managerはそれらの複数の「セキュリティ保護された仮想ハブ」に対する通信内容の制御をポリシーベースで一元的に管理・配布することが可能です。
  また、もう一つの機能として、「セキュリティ保護された仮想ハブ」は「信頼されたパートナーによる保護」を利用することで、経由する通信に対してサードパーティ(2019年12月時点ではZScaler社とiboss社)が提供する監視及び検知機能を有効にすることが可能となります。


 ・使い所
  これまでの説明の通り便利なサービスではあるものの、AzureをグローバルかつNW構成としてヘビーに利用しているお客様での利用が想定されます。
  ①仮想ネットワーク、オンプレミス拠点数がが30以上存在しており、それぞれの通信経路、通信制御を一元的に管理したい
  ②”①”のような環境が複数リージョンに跨いで存在している

  例えば、Azure Firewallが複数ある場合などは、一見利用できそうですが、Azure Firewall Managerを使う=「セキュリティ保護された仮想ハブ」を利用する、となるため、条件としてAzure Firewallが1リージョンに1つ、かつ、その環境が複数リージョンに1つ存在していなければメリットがないため、使い所は限定されるかなぁ、という印象です。

 ・課金体系
  Azure Firewall Managerの課金は、Azure Firewall Managerのページ、Azure Virtual WANのページを見ると良いでしょう。
  発生する費用は以下4つに分類されます。

  ※プレビュー中は50%割引となります。また、GA時に変動する可能性がありますのでご注意ください。
  ①Azure Firewall Managerで使用するポリシーの費用
  ②Azure Virtual WANとしての費用
   ・仮想ハブ自体の費用(Basicの場合無償)
   ・使用するゲートウェイの費用
   ・接続先の数
  ③セキュリティ保護された仮想ハブ」の機能の費用
   ※信頼されたパートナーによる保護を利用する場合サードパーティ統合の費用も発生
  ④通信費用
   ※オンプレミス拠点間との通信、インターネットとの通信については通常の料金が加算されます。

3.Azure Firewall Manager利用に伴うつまづきポイント紹介

ここからはTips的に検証の中で見つかったつまづきポイントについて記載します。まだプレビューなので改善されていくと思いますが、一応見つかった箇所を紹介。

 ・Azure Firewall Managerを使う場合、サブスクリプションに対してRegister-AzProviderFeature PowerShell コマンドを使用する必要があります。公式ドキュメントのコマンドの場合CloudShell(PowerShell)にて実行頂ければ動作します。最新のPowerShellバージョンでもローカル環境だと動作しない場合があるので注意。
 ・Azure Firewall Managerにてルート設定を行う場合、ポータルの言語設定が日本語だと動作しません。英語に変更すると設定可能です。
 ・セキュリティ保護された仮想ハブに対してポリシーが付与されていると削除できないため、ポリシーの関連を外してから削除するようにしましょう
 ・セキュリティ保護された仮想ハブは所属するリソースグループ単位での一括削除に対応していないようです。
  リソース単体のページから削除しましょう。
 ・Azure Firewall ManagerはAzure Firewall機能を有した仮想ハブをコントロールするものですが、既存のAzure Firewallは管理下に置くことができません。


参考記事
まだまだプレビューの部分もあり全て公式です。

Azure Firewall とは
Azure Virtual WAN の概要
Azure Firewall Manager プレビューとは
チュートリアル:Azure portal を使用して Azure Firewall Manager Preview でクラウド ネットワークをセキュリティで保護する
Virtual WANの価格
Azure Firewall Manager の価格

 

 

現在パーソルプロセス&テクノロジーではAdvent Calendar 2019を開催中です。
https://qiita.com/advent-calendar/2019/ppt
こちらも興味ある記事あれば是非ご参照ください。

いいね (この記事が参考になった人の数:4)
(↑参考になった場合はハートマークを押して評価お願いします)
読み込み中...

注意事項・免責事項

※技術情報につきましては投稿日時点の情報となります。投稿日以降に仕様等が変更されていることがありますのでご了承ください。

※公式な技術情報の紹介の他、当社による検証結果および経験に基づく独自の見解が含まれている場合がございます。

※これらの技術情報によって被ったいかなる損害についても、当社は一切責任を負わないものといたします。十分な確認・検証の上、ご活用お願いたします。

※当サイトはマイクロソフト社によるサポートページではございません。パーソルクロステクノロジー株式会社が運営しているサイトのため、マイクロソフト社によるサポートを希望される方は適切な問い合わせ先にご確認ください。
 【重要】マイクロソフト社のサポートをお求めの方は、問い合わせ窓口をご確認ください