次の方法で共有


チュートリアル:Azure Firewall Manager を使用して仮想ハブのセキュリティを保護する

Azure Firewall Manager を使用して、セキュリティ保護付き仮想ハブを作成し、プライベート IP アドレス、Azure PaaS、インターネットに宛てたクラウド ネットワーク トラフィックをセキュリティで保護することができます。 ファイアウォールへのトラフィックのルーティングは自動化されているため、ユーザー定義ルート (UDR) を作成する必要はありません。

Firewall Manager では、ハブ仮想ネットワーク アーキテクチャもサポートされます。 セキュリティ保護付き仮想ハブとハブ仮想ネットワーク アーキテクチャの種類の比較については、「Azure Firewall Manager のアーキテクチャ オプション」を参照してください。

このチュートリアルでは、以下の内容を学習します。

  • スポーク仮想ネットワークを作成する
  • セキュリティ保護付き仮想ハブを作成する
  • ハブとスポークの仮想ネットワークを接続する
  • ハブにトラフィックをルーティングする
  • サーバーをデプロイする
  • ファイアウォール ポリシーを作成してハブをセキュリティで保護する
  • ファイアウォールをテストする

重要

このチュートリアルの手順では、Azure Firewall Manager を使用して、新しい Azure Virtual WAN のセキュリティ保護付きハブを作成します。 Firewall Manager を使用して既存のハブをアップグレードすることはできますが、Azure Firewall 用に Azure Availability Zones を構成することはできません。 「仮想 WAN ハブ内で Azure Firewall を構成する」に記載されているとおり、Azure portal を使用して既存のハブをセキュリティ保護付きハブに変換することもできます。 ただし、Azure Firewall Manager と同様に、Availability Zones を構成することはできません。 既存のハブをアップグレードし、Azure Firewall 用の Availability Zones を指定する (推奨) には、「チュートリアル: Azure PowerShell を使用して仮想ハブをセキュリティで保護する」のアップグレード手順に従う必要があります。

セキュリティで保護されたクラウド ネットワークを示す図。

前提条件

Azure サブスクリプションをお持ちでない場合は、開始する前に 無料アカウント を作成してください。

ハブとスポークのアーキテクチャを作成する

まず、サーバーを配置できるスポーク仮想ネットワークを作成します。

2 つのスポーク仮想ネットワークとサブネットを作成する

2 つの仮想ネットワークにはそれぞれワークロード サーバーがあり、ファイアウォールによって保護されています。

  1. Azure portal のホーム ページから [リソースの作成] を選択します。
  2. [仮想ネットワーク] を見つけて選び、[作成] を選びます。
  3. [サブスクリプション] で、ご使用のサブスクリプションを選択します。
  4. [リソース グループ] で、 [新規作成] を選択し、名前として「fw-manager-rg」と入力して [OK] を選択します。
  5. [仮想ネットワーク名] には、「Spoke-01」と入力します。
  6. [リージョン] で、 [米国東部] を選択します。
  7. [次へ] を選択します。
  8. [セキュリティ] ページで、[次へ] を選択します。
  9. Add IPv4 address space] ([IPv4 アドレス空間の追加) では、既定値の 10.0.0.0/16 をそのまま使います。
  10. [サブネット] で、[既定] を選択します。
  11. [名前] には、「Workload-01-SN」と入力します。
  12. [開始アドレス] には、「10.0.1.0/24」と入力します。
  13. [保存] を選択します。
  14. [Review + create](レビュー + 作成) を選択します。
  15. [作成] を選択します

この手順を繰り返して、fw-manager-rg リソース グループに同様の仮想ネットワークをもう 1 つ作成します。

名前:Spoke-02
アドレス空間: 10.1.0.0/16
サブネット名:Workload-02-SN
開始アドレス: 10.1.1.0/24

セキュリティ保護付き仮想ハブを作成する

Firewall Manager を使用して、セキュリティ保護付き仮想ハブを作成します。

  1. Azure portal のホーム ページで、 [すべてのサービス] を選択します。

  2. 検索ボックスに「Firewall Manager」と入力し、 [Firewall Manager] を選択します。

  3. [Firewall Manager] ページの [デプロイ] で、[仮想ハブ] を選択します。

  4. [Firewall Manager | 仮想ハブ] ページで、[セキュリティで保護された仮想ハブの新規作成] を選択します。

    新しいセキュリティ保護付き仮想ハブの作成のスクリーンショット。

  5. サブスクリプションを選択します。

  6. [リソース グループ] で、 [fw-manager-rg] を選択します。

  7. [リージョン] で、 [米国東部] を選択します。

  8. [セキュリティで保護された仮想ハブ名] には、「Hub 01」と入力します。

  9. [ハブ アドレス空間] に、「10.2.0.0/16」と入力します。

  10. [新しい vWAN] を選びます。

  11. 新しい仮想 WAN 名として、「Vwan-01」と入力します。

  12. [種類][標準] を選びます。

  13. [信頼されたセキュリティ パートナーを有効にするために VPN ゲートウェイを含める] チェック ボックスはオフのままにします。

    プロパティを使用した新しい仮想ハブの作成のスクリーンショット。

  14. [Next:Azure Firewall] を選択します。

  15. 規定の Azure Firewall有効になっている設定をそのまま使用します。

  16. [Azure Firewall レベル] では、[Standard] を選択します。

  17. Availability Zones の目的の組み合わせを選択します。

重要

Virtual WAN は、ハブおよびハブ内で利用できるサービスのコレクションです。 Virtual WAN は必要な数だけデプロイできます。 Virtual WAN ハブには、VPN や ExpressRoute などの複数のサービスがあります。 リージョンが Availability Zones をサポートしている場合、Azure Firewall を除くこれらの各サービスは Availability Zones 全体に自動的にデプロイされます。 Azure Virtual WAN の回復性に合わせて、使用可能なすべての Availability Zones を選択する必要があります。

Azure Firewall パラメーターの構成のスクリーンショット。

  1. [Specify number of Public IP addressees] (パブリック IP アドレスの数を指定する) テキスト ボックスに「1」と入力します。

  2. [ファイアウォール ポリシー] で、[既定の拒否ポリシー] が選ばれていることを確認します。 この記事で後ほど設定を調整します。

  3. [Next: Security Partner Provider](Next: セキュリティ パートナー プロバイダー) を選択します。

    信頼されたパートナー パラメーターの構成のスクリーンショット。

  4. 既定の信頼されたセキュリティ パートナー無効になっている設定をそのまま使用し、[次へ: 確認と作成] を選択します。

  5. [作成] を選択します

    ファイアウォール インスタンスの作成のスクリーンショット。

Note

セキュリティ保護付き仮想ハブを作成するには、最大 30 分かかる場合があります。

デプロイが完了した後で、ファイアウォールのパブリック IP アドレスを検索できます。

  1. Firewall Manager を開きます。
  2. [仮想ハブ] を選択します。
  3. [hub-01] を選択します。
  4. AzureFirewall_Hub-01 を選びます。
  5. 後で使用するパブリック IP アドレスを書き留めます。

ハブとスポークの仮想ネットワークを接続する

これで、ハブとスポークの仮想ネットワークをピアリングできるようになりました。

  1. [fw-manager-rg] リソース グループを選択してから、 [Vwan-01] 仮想 WAN を選択します。

  2. [接続] で、 [仮想ネットワーク接続] を選択します。

    Virtual Network 接続の追加のスクリーンショット。

  3. [接続の追加] を選択します。

  4. [接続名] に、「hub-spoke-01」と入力します。

  5. [ハブ] で、 [Hub-01] を選択します。

  6. [リソース グループ] で、 [fw-manager-rg] を選択します。

  7. [仮想ネットワーク] で、 [Spoke-01] を選択します。

  8. [作成] を選択します

  9. 同じようにして Spoke-02 仮想ネットワークを接続します: 接続名 - hub-spoke-02

サーバーをデプロイする

  1. Azure portal で、 [リソースの作成] を選択します。

  2. [人気順] の一覧で [Windows Server 2019 Datacenter] を選択します。

  3. 次の仮想マシンの値を入力します。

    設定
    Resource group fw-manager-rg
    仮想マシン名 Srv-workload-01
    リージョン (米国) 米国東部
    管理者のユーザー名 ユーザー名を入力します。
    Password パスワードを入力します。
  4. [受信ポートの規則][パブリック受信ポート] で、 [なし] を選択します。

  5. 他の既定値をそのまま使用し、 [次へ:ディスク] を選択します。

  6. ディスクの既定値をそのまま使用し、 [次へ:ネットワーク] を選択します。

  7. 仮想ネットワークで [Spoke-01] を選択し、サブネットで [Workload-01-SN] を選択します。

  8. [パブリック IP] で、 [なし] を選択します。

  9. 他の既定値をそのまま使用し、 [次へ:管理] を選択します。

  10. [次へ: 監視] を選びます。

  11. [無効] を選択して、ブート診断を無効にします。 他の既定値をそのまま使用し、 [確認および作成] を選択します。

  12. 概要ページの設定を確認して、 [作成] を選択します。

次の表の情報を使用して、Srv-Workload-02 という名前の別の仮想マシンを構成します。 残りの構成は、Srv-workload-01 仮想マシンと同じです。

設定
仮想ネットワーク Spoke-02
Subnet Workload-02-SN

サーバーがデプロイされたら、サーバー リソースを選択し、 [ネットワーク] で、各サーバーのプライベート IP アドレスを書き留めます。

ファイアウォール ポリシーを作成してハブをセキュリティで保護する

ファイアウォール ポリシーでは、1 つまたは複数のセキュリティで保護された仮想ハブでトラフィックを転送する規則のコレクションを定義します。 ファイアウォール ポリシーを作成してから、ハブをセキュリティで保護します。

  1. Firewall Manager から、[Azure Firewall ポリシー] を選択します。

    最初の手順での Azure Policy の作成のスクリーンショット。

  2. [Azure ファイアウォール ポリシーの作成] を選択します。

    最初の手順での Azure Policy 設定の構成のスクリーンショット。

  3. [リソース グループ] で、 [fw-manager-rg] を選択します。

  4. [ポリシーの詳細] で、 [名前] に「Policy-01」と入力し、 [リージョン][米国東部] を選択します。

  5. [ポリシー レベル] で、[Standard] を選択します。

  6. [Next: DNS Settings](次へ: DNS 設定) を選択します。

    DNS 設定の構成のスクリーンショット。

  7. [次へ: TLS 検査] を選択します。

    TLS 設定の構成のスクリーンショット。

  8. [Next : Rules](次へ: 規則) を選択します。

  9. [規則] タブで、 [規則コレクションの追加] を選択します。

    ルール コレクションの構成のスクリーンショット。

  10. [規則コレクションの追加] ページで、 [名前] に「App-RC-01」と入力します。

  11. [規則コレクションの種類] で、 [アプリケーション] を選択します。

  12. [優先度] に「100」と入力します。

  13. [規則コレクション] アクション[許可] であることを確認します。

  14. 規則の [名前] に、「Allow-msft」と入力します。

  15. [Source type](送信元の種類) で、 [IP アドレス] を選択します。

  16. [送信先] に「*」を入力します。

  17. [プロトコル] に、「http,https」と入力します。

  18. [送信先の種類][FQDN] であることを確認します。

  19. [送信先] に、「*.microsoft.com」と入力します。

  20. [追加] を選択します。

  21. DNAT 規則を追加して、リモート デスクトップを Srv-Workload-01 仮想マシンに接続できるようにします。

    1. [規則コレクションの追加] を選択します。
    2. [名前] に「dnat-rdp」と入力します。
    3. [規則コレクションの種類] で、 [DNAT] を選択します。
    4. [優先度] に「100」と入力します。
    5. 規則の [名前] に、「Allow-rdp」と入力します。
    6. [Source type](送信元の種類) で、 [IP アドレス] を選択します。
    7. [送信先] に「*」を入力します。
    8. [プロトコル][TCP] を選択します。
    9. [宛先ポート] に「3389」と入力します。
    10. [宛先] に、前に書き留めたファイアウォールのパブリック IP アドレスを入力します。
    11. [Translated type] (変換される種類)[IP アドレス] を選びます。
    12. [変換されたアドレス] に、前に書き留めた Srv-Workload-01 のプライベート IP アドレスを入力します。
    13. [Translated port] (変換されたポート) に「3389」と入力します。
    14. [追加] を選択します。
  22. ネットワーク規則を追加して、Srv-Workload-01 から Srv-Workload-02 にリモート デスクトップを接続できるようにします。

    1. [規則コレクションの追加] を選択します。
    2. [名前] に「vnet-rdp」と入力します。
    3. [規則コレクションの種類] で、 [ネットワーク] を選択します。
    4. [優先度] に「100」と入力します。
    5. [規則コレクション アクション][許可] を選択します。
    6. 規則の [名前] に、「Allow-vnet」と入力します。
    7. [Source type](送信元の種類) で、 [IP アドレス] を選択します。
    8. [送信先] に「*」を入力します。
    9. [プロトコル][TCP] を選択します。
    10. [宛先ポート] に「3389」と入力します。
    11. [送信先の種類][IP アドレス] を選択します。
    12. [宛先] に、前に書き留めた Srv-Workload-02 のプライベート IP アドレスを入力します。
    13. [追加] を選択します。
  23. [次へ: IDPS] を選びます。

  24. [IDPS] ページで [次へ: 脅威インテリジェンス] を選びます。

    IDPS 設定の構成のスクリーンショット。

  25. [脅威インテリジェンス] ページで、既定値をそのままにして [確認および作成] を選びます。

    脅威インテリジェンス設定の構成のスクリーンショット。

  26. 選択内容を確認し、[作成] を選びます。

ポリシーを関連付ける

ファイアウォール ポリシーをハブに関連付けます。

  1. Firewall Manager から、 [Azure Firewall ポリシー] を選択します。

  2. [Policy-01] のチェック ボックスをオンにします。

  3. [Manage associations] (関連付けの管理)[ハブの関連付け] を選択します。

    ポリシーの関連付けの構成のスクリーンショット。

  4. [hub-01] を選択します。

  5. [追加] を選択します。

    ポリシーとハブの設定の追加のスクリーンショット。

ハブにトラフィックをルーティングする

次に、ファイアウォール経由でネットワーク トラフィックがルーティングされることを確認する必要があります。

  1. Firewall Manager から、 [仮想ハブ] を選択します。

  2. [Hub-01] を選択します。

  3. [設定][セキュリティの構成] を選択します。

  4. [インターネット トラフィック][Azure Firewall] を選択します。

  5. [Private traffic](プライベート トラフィック)[Send via Azure Firewall](Azure Firewall 経由で送信) を選択します。

    Note

    仮想ネットワークまたはオンプレミス ブランチのプライベート ネットワークにパブリック IP アドレスの範囲を使用している場合は、これらの IP アドレスのプレフィックスを明示的に指定する必要があります。 [Private Traffic Prefixes] (プライベート トラフィック プレフィックス) セクションを選択し、RFC1918 アドレス プレフィックスと共に追加します。

  6. [ハブ間][有効] を選んで、Virtual WAN ルーティング インテント機能を有効にします。 ルーティング インテントは、Virtual WAN ハブにデプロイされた Azure Firewall を介して、ブランチ間 (オンプレミスからオンプレミス) でトラフィックをルーティングするように Virtual WAN を構成できるメカニズムです。 ルーティング インテント機能に関連する前提条件と考慮事項について詳しくは、ルーティングインテントのドキュメントをご覧ください。

  7. [保存] を選択します。

  8. [警告] ダイアログで [OK] を選択します。

    セキュリティで保護された接続のスクリーンショット。

  9. [Migrate to use inter-hub] (ハブ間を使用するように移行する) ダイアログで [OK] を選びます。

    Note

    ルート テーブルの更新には数分かかります。

  10. 2 つの接続で、Azure Firewall によってインターネット トラフィックとプライベート トラフィックの両方が保護されていることが示されていることを確認します。

    セキュリティで保護された接続の最終状態のスクリーンショット。

ファイアウォールをテストする

ファイアウォール規則をテストするには、ファイアウォールのパブリック IP アドレスを使ってリモート デスクトップを接続します。これは、Srv-Workload-01 にネットワーク アドレス変換されます。 そこから、ブラウザーを使ってアプリケーション規則をテストし、リモート デスクトップを Srv-Workload-02 に接続してネットワーク規則をテストします。

アプリケーション規則をテストする

今度は、ファイアウォール規則をテストして、予期したとおりに動作することを確認します。

  1. リモート デスクトップをファイアウォールのパブリック IP アドレスに接続し、サインインします。

  2. Internet Explorer を開き、 https://www.microsoft.com を参照します。

  3. Internet Explorer のセキュリティ アラートで、 [OK]>[閉じる] の順に選択します。

    Microsoft のホーム ページが表示されるはずです。

  4. https://www.google.com を参照します。

    これはファイアウォールでブロックされる必要があります。

これで、ファイアウォールのアプリケーション規則が機能していることを確認できました。

  • 1 つの許可された FQDN は参照できますが、それ以外は参照できません。

ネットワーク 規則をテストする

次に、ネットワーク規則をテストします。

  • Srv-Workload-01 から、Srv-Workload-02 プライベート IP アドレスへのリモート デスクトップを開きます。

    リモート デスクトップは Srv-Workload-02 に接続されます。

これで、ファイアウォールのネットワーク規則が機能していることを確認できました。

  • リモート デスクトップを別の仮想ネットワークにあるサーバーに接続できます。

リソースをクリーンアップする

ファイアウォール リソースのテストが完了したら、fw-manager-rg リソース グループを削除して、ファイアウォール関連のすべてのリソースを削除します。

次のステップ