ここまでできる「Azure ネットワーク保護」と Azure Firewall のご紹介

Azure には、様々な方法でネットワークやその配下のリソースを保護する仕組みが用意されています。
ファイアウォールやルーターなどの物理機器は不要、フルクラウドで同等の機能を従量課金で利用できるのがメリットです。
IaaS/PaaS の利用形態に応じたデプロイメント シナリオをご紹介します。

インバウンド トラフィック

外部からの接続は DDoS、WAF、NGFW(オプション) を利用して境界防御。ログの分析は Sentinel、デバイスの脅威・構成不備等は ASC を使用した監視です。
非HTTP ベースの場合は NGWF を利用します。

アウトバウンド トラフィック

内部から外部方向の疑いあるサイトへの接続を制御します。
ログの分析は Sentinel、デバイスの脅威・構成不備等は ASC を使用した監視です。要件に応じて以下のオプションを選択します。

Azure Firewall：FQDN の制御、不正なIP/ドメインの制御
NGFW：IPS/URL Filtering/DNS Security/AV/AS の機能を提供

水平方向のトラフィック

NSG による制御、または Private Link を使用してインターネットに出ずに PaaS、IaaS に接続することで、リソース間の通信を必要なものだけに制限します。

開発環境・本番環境へのアクセス

外部からアクセスする際には、直接接続ではなく、踏み台を経由したアクセスを推奨します。
ASC を使用したセキュリティアラートの監視も行います。

Azure Firewall Premium がパブリックプレビューでリリース！

Azure Firewall Standard の上位バージョンである Premium がパブリックプレビューでリリースされました。Azure Firewall は、通常のファイアウォールの機能はもちろんですが、Azure AD や Microsoft Defender for Endpoint などで利用されている脅威インテリジェンスの膨大な脅威情報を利用し脅威の検知/保護ができることが最大の強みです。
そこに加え、サードパーティー ネットワークベンダーの製品でしか出来なかった IDPS や TLS インスペクションがファーストパーティーのサービスで利用できるようになりました。

月額コストは安くはありませんが、ファーストパーティー製による親和性と安心感、SaaS サービスによる管理負荷削減など、トータルで考えるとコストメリットがあるかもしれませんよ！

---

Azure ネットワーク保護はじめ、Azure 環境のセキュリティ強化の取り組みも始めています。Azure のセキュリティについて気になったら、是非ご連絡ください。