どのようなときに Azure Firewall Manager を使用するか
ここでは、次の基準を分析して決定に役立てることにより、Firewall Manager が組織にとって適切な選択であるかどうかを検討します。
- 複雑さ。
- 一元管理の必要性。
- 仮想ネットワークの数。
意思決定の基準
管理者は、複数の Azure 仮想ネットワークの保護を支援する必要がある場合、ルールを使用して境界ネットワーク全体のトラフィックを制御します。 仮想ネットワーク インフラストラクチャが大きくなると、管理がより複雑になる可能性があります。 管理者が Azure Firewall を使用することのメリットは、Azure Firewall のルールと設定の構成を一元化できることです。 以下では、Firewall Manager が組織にメリットをもたらすかどうかを判断するのに役立ついくつかの要因を示します。
| 条件 | 分析 |
|---|---|
| 複雑さ | Firewall Manager を検討する際に重要な質問は、"組織のファイアウォールとセキュリティ要件はどれくらい複雑か" ということです。ファイアウォールが制限されたシンプルな仮想ネットワーク構造を使用している場合は、おそらく Firewall Manager は必要ありません。 |
| 一元管理の必要性 | 次に質問するのは、"仮想ネットワークとファイアウォールを管理するためのより一元的なアプローチから恩恵を受けるか" ということです。答えが "はい" の場合は、Firewall Manager の実装を検討します。 |
| 仮想ネットワークの数 | 多数の異なる Azure Firewall を装備した複数の仮想ネットワークがある場合は、 Firewall Manager が組織にとってメリットとなる可能性があります。 逆に、仮想ネットワークが少ない場合は、 Firewall Manager によるメリットがないかもしれません。 |
基準を適用する
Firewall Manager は、クラウドベース セキュリティ境界のファイアウォール セキュリティ ポリシーとルートの管理を一元化します。 Firewall Manager を使用することで組織にメリットがあるかどうかを判断する場合、 Azure インフラストラクチャの複雑さの程度が答えを決めるのに役立ちます。
基本的には、2 つの選択肢があります。 次の操作を行うことができます。
- それぞれの Azure Firewall とその関連付けられているルールを異なる個別のエンティティとして管理することを選択します。
- Firewall Manager を実装して構成を一元化します。
Azure インフラストラクチャが、異なるトラフィック フィルター処理を必要としない 1 つか 2 つの仮想ネットワークだけで構成されている場合、Firewall Manager を実装する必要はありません。
ただし、次のような場合は Firewall Manager を使用することを検討してください。
- 階層構造のポリシーを持つ複数の Azure Firewall インスタンスをまたいでセキュリティ ポリシーの構成とログ記録を管理する場合。
- Azure Firewall 管理をセキュリティ保護付き仮想ハブとハブ仮想ネットワークのデプロイ全体で一元化する場合。
- セキュリティ保護付き仮想ハブでセキュリティ フィルター処理のトラフィック ルーティングを自動化する場合。
- 高度な保護を行うためにサードパーティのセキュリティ パートナーと統合する場合。