次の方法で共有

チュートリアル:Azure Firewall Manager を使用して仮想ハブのセキュリティを保護する

Azure Firewall Manager を使用して、セキュリティ保護付き仮想ハブを作成し、プライベート IP アドレス、Azure PaaS、インターネットに宛てたクラウド ネットワーク トラフィックをセキュリティで保護することができます。 ファイアウォールへのトラフィックのルーティングは自動化されているため、ユーザー定義ルート (UDR) を作成する必要はありません。

Firewall Manager では、ハブ仮想ネットワーク アーキテクチャもサポートされます。 セキュリティ保護付き仮想ハブとハブ仮想ネットワーク アーキテクチャの種類の比較については、「Azure Firewall Manager のアーキテクチャ オプション」を参照してください。

このチュートリアルでは、以下の内容を学習します。

  • スポーク仮想ネットワークを作成する
  • セキュリティ保護付き仮想ハブを作成する
  • ハブとスポークの仮想ネットワークを接続する
  • ハブにトラフィックをルーティングする
  • サーバーをデプロイする
  • ファイアウォール ポリシーを作成してハブをセキュリティで保護する
  • ファイアウォールをテストする

重要

このチュートリアルの手順では、Azure Firewall Manager を使用して、新しい Azure Virtual WAN のセキュリティ保護付きハブを作成します。 Firewall Manager を使用して既存のハブをアップグレードすることはできますが、Azure Firewall 用に Azure Availability Zones を構成することはできません。 「仮想 WAN ハブ内で Azure Firewall を構成する」に記載されているとおり、Azure portal を使用して既存のハブをセキュリティ保護付きハブに変換することもできます。 ただし、Azure Firewall Manager と同様に、Availability Zones を構成することはできません。 既存のハブをアップグレードし、Azure Firewall 用の Availability Zones を指定する (推奨) には、「チュートリアル: Azure PowerShell を使用して仮想ハブをセキュリティで保護する」のアップグレード手順を実行する必要があります。

セキュリティで保護されたクラウド ネットワークを示す図。

前提条件

Azure サブスクリプションをお持ちでない場合は、開始する前に 無料アカウント を作成してください。

ハブとスポークのアーキテクチャを作成する

まず、サーバーを配置できるスポーク仮想ネットワークを作成します。

2 つのスポーク仮想ネットワークとサブネットを作成する

2 つの仮想ネットワークにはそれぞれワークロード サーバーがあり、ファイアウォールによって保護されます。

  1. Azure portal のホーム ページから [リソースの作成] を選択します。

  2. 「仮想ネットワーク」と検索し、[作成] を選択します。

  3. 次の設定で仮想ネットワークを作成します。

    設定
    サブスクリプション サブスクリプションを選択します。
    Resource group [新規作成] を選択し、名前に対して、「fw-manager-rg」と入力し、[OK] を選択します。
    仮想ネットワーク名 Spoke-01
    リージョン 米国東部

  4. [次へ] を選択し、さらに [次へ] を選択します。

  5. [ ネットワーク ] タブで、次の設定を使用してサブネットを作成します。

    設定
    IPv4 アドレス空間を追加する 10.0.0.0/16 (既定)
    サブネット
    ワークロード サブネット
    Name Workload-01-SN
    開始アドレス 10.0.1.0/24
    Bastion サブネット
    Name AzureBastionSubnet
    開始アドレス 10.0.2.0/26

  6. [保存][確認して作成][作成] の順に選択します。

この手順を繰り返して、fw-manager-rg リソース グループに同様の仮想ネットワークをもう 1 つ作成します。

設定
Name Spoke-02
アドレス空間 10.1.0.0/16
サブネット名 Workload-02-SN
開始アドレス 10.1.1.0/24

セキュリティ保護付き仮想ハブを作成する

Firewall Manager を使用して、セキュリティ保護付き仮想ハブを作成します。

  1. Azure portal のホーム ページで、 [すべてのサービス] を選択します。

  2. 検索ボックスに「Firewall Manager」と入力し、 [Firewall Manager] を選択します。

  3. [Firewall Manager] ページの [デプロイ] で、[仮想ハブ] を選択します。

  4. [Firewall Manager | 仮想ハブ] ページで、[セキュリティで保護された仮想ハブの新規作成] を選択します。

  5. [セキュリティ保護付き仮想ハブを作成] ページで、次の情報を入力します。

    設定
    サブスクリプション サブスクリプションを選択します。
    Resource group [fw-manager-rg] を選択します
    リージョン 米国東部
    セキュリティで保護された仮想ハブ名 Hub-01
    ハブ アドレス空間 10.2.0.0/16

  6. [新しい vWAN] を選びます。

    設定
    新しい Virtual WAN の名前 Vwan-01
    タイプ 標準
    信頼されたセキュリティ パートナーを有効にするために VPN Gateway を含める チェック ボックスはオフのままにします。

  7. [Next:Azure Firewall] を選択します。

  8. 既定の Azure Firewall有効になっている設定を受け入れます。

  9. [Azure Firewall レベル] では、[Standard] を選択します。

  10. Availability Zones の目的の組み合わせを選択します。

    重要

    Virtual WAN は、ハブおよびハブ内で利用できるサービスのコレクションです。 Virtual WAN は必要な数だけデプロイできます。 Virtual WAN ハブには、VPN や ExpressRoute などの複数のサービスがあります。 リージョンが Availability Zones をサポートしている場合、Azure Firewall を除くこれらの各サービスは Availability Zones 全体に自動的にデプロイされます。 Azure Virtual WAN の回復性に合わせて、使用可能なすべての Availability Zones を選択する必要があります。

  11. [パブリック IP アドレスの数を指定] テキスト ボックスに「1」と入力するか、既存のパブリック IP アドレス (プレビュー) をこのファイアウォールに関連付けます。

  12. [ファイアウォール ポリシー] で、[既定の拒否ポリシー] が選ばれていることを確認します。 この記事で後ほど設定を調整します。

  13. [Next: Security Partner Provider](Next: セキュリティ パートナー プロバイダー) を選択します。

  14. 既定の信頼されたセキュリティ パートナー無効になっている設定をそのまま使用し、[次へ: 確認と作成] を選択します。

  15. [作成] を選択します

Note

セキュリティ保護付き仮想ハブを作成するには、最大 30 分かかる場合があります。

デプロイが完了したら、ファイアウォールのパブリック IP アドレスを見つけることができます。

  1. Firewall Manager を開きます。
  2. [仮想ハブ] を選択します。
  3. [hub-01] を選択します。
  4. [AzureFirewall_Hub-01] を選択します。
  5. 後で使用するパブリック IP アドレスを書き留めます。

ハブとスポークの仮想ネットワークを接続する

これで、ハブとスポークの仮想ネットワークをピアリングできるようになりました。

  1. [fw-manager-rg] リソース グループを選択してから、 [Vwan-01] 仮想 WAN を選択します。

  2. [接続] で、 [仮想ネットワーク接続] を選択します。

    設定
    [接続名] hub-spoke-01
    ハブ Hub-01
    Resource group fw-manager-rg
    仮想ネットワーク Spoke-01

  3. [作成] を選択します

  4. 前の手順を繰り返し、Spoke-02 仮想ネットワークを次の設定で接続します。

    設定
    [接続名] hub-spoke-02
    ハブ Hub-01
    Resource group fw-manager-rg
    仮想ネットワーク Spoke-02

サーバーをデプロイする

  1. Azure portal で、 [リソースの作成] を選択します。

  2. Ubuntu Server 22.04 LTS を検索して選択します。

  3. [ 作成>仮想マシン] を選択します。

  4. 次の仮想マシンの値を入力します。

    設定
    Resource group fw-manager-rg
    仮想マシン名 Srv-workload-01
    リージョン (US) 米国東部
    Image Ubuntu Server 22.04 LTS - x64 Gen2
    認証の種類 SSH 公開キー
    ユーザー名 azureuser
    SSH 公開キーのソース 新しいキー ペアを生成する
    キーの組の名前 srv-workload-01_key

  5. [受信ポートの規則][パブリック受信ポート] で、 [なし] を選択します。

  6. 他の既定値をそのまま使用し、 [次へ:ディスク] を選択します。

  7. ディスクの既定値をそのまま使用し、 [次へ:ネットワーク] を選択します。

  8. 仮想ネットワークで [Spoke-01] を選択し、サブネットで [Workload-01-SN] を選択します。

  9. [パブリック IP] で、 [なし] を選択します。

  10. 他の既定値をそのまま使用し、 [次へ:管理] を選択します。

  11. [次へ: 監視] を選択します。

  12. [無効] を選択して、ブート診断を無効にします。

  13. 他の既定値をそのまま使用し、 [確認および作成] を選択します。

  14. 概要ページの設定を確認して、 [作成] を選択します。

  15. メッセージが表示されたら、秘密キー ファイル ( srv-workload-01_key.pem など) をダウンロードして保存します。

次の表の情報を使用して、Srv-Workload-02 という名前の別の仮想マシンを構成します。 残りの構成は Srv-workload-01 仮想マシンと同じですが、 srv-workload-02_key などの別のキー ペア名を使用します。

設定
仮想ネットワーク Spoke-02
Subnet Workload-02-SN

サーバーがデプロイされたら、サーバー リソースを選択し、 [ネットワーク] で、各サーバーのプライベート IP アドレスを書き留めます。

サーバーに Nginx をインストールする

仮想マシンがデプロイされたら、両方のサーバーに Nginx をインストールして、後で Web 接続を確認します。

  1. Azure portal で、 Srv-workload-01 仮想マシンに移動します。

  2. 実行 コマンド>RunShellScript を選択します。

  3. 次のコマンドを実行します。

    sudo apt-get update && sudo apt-get install -y nginx && echo '<h1>Srv-workload-01</h1>' | sudo tee /var/www/html/index.html

  4. Srv-workload-02 に対して同じ手順を繰り返し、echo コマンドのホスト名を置き換えます。

    sudo apt-get update && sudo apt-get install -y nginx && echo '<h1>Srv-workload-02</h1>' | sudo tee /var/www/html/index.html

Azure Bastion をデプロイする

仮想マシンに安全に接続するために、Spoke-01 仮想ネットワークに Azure Bastion をデプロイします。

  1. Azure portal で Bastions を検索して選択します。

  2. [作成] を選択します

  3. 次の設定で Bastion を構成します。

    設定
    サブスクリプション サブスクリプションを選択します。
    Resource group fw-manager-rg
    Name Bastion-01
    リージョン 米国東部
    レベル 開発者
    仮想ネットワーク Spoke-01
    Subnet AzureBastionSubnet (10.0.2.0/26)

  4. [ 確認と作成] を選択し、[ 作成] を選択します。

Note

Azure Bastion のデプロイが完了するまでに約 10 分かかる場合があります。

ファイアウォール ポリシーを作成してハブをセキュリティで保護する

ファイアウォール ポリシーでは、1 つまたは複数のセキュリティで保護された仮想ハブでトラフィックを転送する規則のコレクションを定義します。 ファイアウォール ポリシーを作成してから、ハブをセキュリティで保護します。

  1. Firewall Manager から、[Azure Firewall ポリシー] を選択します。

  2. [Azure ファイアウォール ポリシーの作成] を選択します。

  3. [リソース グループ] で、 [fw-manager-rg] を選択します。

  4. [ポリシーの詳細] で、 [名前] に「Policy-01」と入力し、 [リージョン][米国東部] を選択します。

  5. [ポリシー レベル] で、[Standard] を選択します。

  6. [Next: DNS Settings]\(次へ: DNS 設定\) を選択します。

  7. [次へ: TLS 検査] を選択します。

  8. [次へ: 規則] を選択します。

  9. [規則] タブで、[規則コレクションの追加] を選択します。

  10. [規則コレクションを追加] ページで次の情報を入力します。

    設定
    Name App-RC-01
    規則コレクションの種類 アプリケーション
    優先順位 100
    規則コレクション アクション 許可
    規則の名前 Allow-msft
    変換元の型 IP アドレス
    source *
    プロトコル http、https
    変換先の型 FQDN
    宛先 *.microsoft.com

  11. [追加]を選択します。

  12. スポーク仮想ネットワーク間の SSH トラフィックと HTTP トラフィックを許可する ネットワーク規則 を追加します。

  13. [規則コレクションを追加] を選択し、次の情報を入力します。

    設定
    Name vnet-access
    規則コレクションの種類 ネットワーク
    優先順位 100
    規則コレクション アクション 許可
    規則の名前 Allow-SSH-HTTP
    変換元の型 IP アドレス
    source 10.0.0.0/16,10.1.0.0/16
    プロトコル TCP
    ターゲット ポート 22,80
    変換先の型 IP アドレス
    宛先 10.0.0.0/16,10.1.0.0/16

  14. [追加][次へ: IDPS] の順に選択します。

  15. [IDPS] ページで [次へ: 脅威インテリジェンス] を選びます。

  16. [脅威インテリジェンス] ページで、既定値をそのままにして [確認および作成] を選びます。

  17. 選択内容を確認し、[作成] を選びます。

ポリシーを関連付ける

ファイアウォール ポリシーをハブに関連付けます。

  1. Firewall Manager から、 [Azure Firewall ポリシー] を選択します。
  2. [Policy-01] のチェック ボックスをオンにします。
  3. [Manage associations] (関連付けの管理)[ハブの関連付け] を選択します。
  4. [hub-01] を選択します。
  5. [追加]を選択します。

ハブにトラフィックをルーティングする

次に、ファイアウォール経由でネットワーク トラフィックがルーティングされることを確認する必要があります。

  1. Firewall Manager から、 [仮想ハブ] を選択します。

  2. [Hub-01] を選択します。

  3. [設定][セキュリティの構成] を選択します。

  4. [インターネット トラフィック][Azure Firewall] を選択します。

  5. [Private traffic]\(プライベート トラフィック\)[Send via Azure Firewall]\(Azure Firewall 経由で送信\) を選択します。

    Note

    仮想ネットワークまたはオンプレミス ブランチのプライベート ネットワークにパブリック IP アドレスの範囲を使用している場合は、これらの IP アドレスのプレフィックスを明示的に指定する必要があります。 [プライベート トラフィック プレフィックス] セクションを選択し、RFC1918 アドレス プレフィックスと共に追加します。

  6. [ハブ間][有効] を選択し、Virtual WAN ルーティング インテント機能を有効にします。 ルーティング インテントは、Virtual WAN ハブにデプロイされた Azure Firewall 経由で、ブランチ間 (オンプレミスからオンプレミス) でトラフィックをルーティングするように Virtual WAN を構成できるメカニズムです。 ルーティング インテント機能に関連する前提条件と考慮事項の詳細については、「ルーティングインテントのドキュメント」を参照してください。

  7. [保存] を選択します。

  8. [警告] ダイアログで [OK] を選択します。

  9. [ハブ間を使用するように移行する] で、[OK] を選択します。

    Note

    ルート テーブルの更新には数分かかります。

  10. 2 つの接続で、Azure Firewall によってインターネット トラフィックとプライベート トラフィックの両方が保護されていることが示されていることを確認します。

ファイアウォールをテストする

ファイアウォール規則をテストするには、Azure Bastion を使用して Srv-Workload-01 に接続し、アプリケーションとネットワークの両方の規則が機能していることを確認します。

アプリケーション規則をテストする

今度は、ファイアウォール規則をテストして、予期したとおりに動作することを確認します。

  1. Azure portal で、 Srv-workload-01 仮想マシンに移動します。

  2. [接続>Bastion 経由で接続] を選択します。

  3. ユーザー名 azureuser を指定し、VM の作成時にダウンロードした秘密キー .pem ファイルをアップロードします。

  4. [ 接続 ] を選択して SSH セッションを開きます。

  5. SSH セッションで、次のコマンドを実行して Microsoft へのアクセスをテストします。

    curl https://www.microsoft.com

    HTML コンテンツが返され、アクセスが許可されていることを確認する必要があります。

  6. Google へのアクセスをテストする (ブロックする必要があります):

    curl https://www.google.com

    要求がタイムアウトまたは失敗し、ファイアウォールがこのサイトをブロックしていることが示されます。

これで、ファイアウォールのアプリケーション規則が機能していることを確認できました。

  • 1 つの許可された FQDN は参照できますが、それ以外は参照できません。

ネットワーク 規則をテストする

次に、HTTP を使用して Srv-Workload-01 から Srv-Workload-02 に接続して、ネットワーク ルールをテストします。

  1. Srv-Workload-02 上の Nginx Web サーバーへの HTTP 接続をテストします。

    curl http://<Srv-Workload-02-private-IP>

    Web サーバーによって返された状態が表示されます。

リソースをクリーンアップする

ファイアウォール リソースのテストが完了したら、fw-manager-rg リソース グループを削除して、ファイアウォール関連のすべてのリソースを削除します。

次のステップ

信頼されたセキュリティ パートナーについて学習する

  • Last updated on