進化した Azure Firewall、Premium SKU を試す

進化した Azure Firewall、Premium SKU を試す

今回は Azure Firewall に新しく登場した Premium SKU を試してみます。

Azure Firewall の Premium SKU とは

新しく登場した Azure Firewall の上位 SKU です。大きな機能が4つ追加されています。

  1. TLS インスペクション
  2. IDPS (Intrusion detection and prevention system : 侵入検知システム)
  3. URL フィルタリング
  4. Web カテゴリ

Azure Firewall Premium now in public preview | Azure の更新情報 | Microsoft Azure

TLS インスペクション

クライアントと Web サーバーの中間にある Azure Firewall がそれぞれの TLS の終端となる振る舞いをします。つまり、Web サーバーと Azure Firewall 間で通信の暗号化と複合化を済ませ、Azure Firewall が通信内容を確認した上で Azure Firewall とクライアント間で暗号化通信を行います。

Certificate process

Azure Firewall で使用する信頼された中間 CA 証明書を用意する必要がありますが、これによってさらにセキュリティ機能の付加価値を与えることができます。TLS の終端は Azure Firewall を経由する形であればインターネット通信も East-West 通信も対応しています。

IDPS

ネットワークに悪意のあるアクティビティを監視して、関連する情報をログに記録します。必要に応じてアクセスをブロックすることも可能です。

ネットワークトラフィック内のバイトシーケンスや悪意のある命令シーケンスなどのパターンを検出する IDPS がマネージドサービスで提供されます。暗号化されていないトラフィック(HTTP)に対する全てのポートとプロトコルで攻撃を検出できます。また、暗号化されたトラフィック(HTTPS)の場合は TLS インスペクション機能を利用してトラフィックを複合化します。

IDPS はバイパスリストを利用して対象外とするサイトを定義することも可能です。

URL フィルタリング

従来の SKU より機能が拡張され、サブディレクトリを含めた URL 全体を考慮するよう機能が拡張されました。HTTPS トラフィックに対しては TLS インスペクションを使用してトラフィックを複合化します。

例えば google.com/news のサイトは SKU によって次のように解釈されます。

  • Standard SKU:google.com なので検索サイトとして分類される
  • Premium SKU:google.com/news なのでニュースサイトとして分類される

Web カテゴリ

あらかじめカテゴライズされた Web サイトへのユーザーアクセスを許可または拒否できます。Premium SKU では URL 全体を評価するので詳細な分類がされます。大きな分類としては次の項目があります。

  • Liability
  • High Bandwidth
  • Business Use
  • Productivity Loss
  • General Surfing
  • Uncategorized

価格

プレビュー中なので Standard SKU より価格が低い状態ですが、GA したら最低 15万円/月 くらいでしょうか。

価格 – Azure Firewall | Microsoft Azure

試してみる

Azure ポータルから作成できます。[Firewall tier][Premium] にします。[Firewall Policy] [Premium] を選択します。

作成には5分ほどかかりました。

Azure Firewall リソースの左メニュー内にはあまり項目がありませんが、Firewall Policy から各種設定をできます。

Web カテゴリ

アプリケーションルールの作成画面では新しく Web カテゴリを選択できるようになっています。

[Social Network] を拒否するルールを作成するとこのように Twitter が使えなくなります。

[Pornography/sexually explicit] を選択するとポルノサイトもブロックできます。HTTP の場合はブロックされたルールを確認できます。

カテゴリに含まれるサイトの一覧など確認できるんでしょうか。。。

TLS インスペクション

TLS インスペクション機能によってサーバー証明書が書き換えられます。

Amazon のサイトの証明書を確認すると、自己署名証明書がルート CA になっています。(やばいサイトみたい)

ここで Azure Firewall が使う中間 CA 証明書と、クライアントに配布するルート証明書は自分で用意する必要があります。証明書の要件もきちんと定義されているのでよく確認しましょう。

Azure Firewall Premium Preview certificates | Microsoft Docs