Azure Firewallとは
Azure Firewallは、クラウドネイティブのステートフルなマネージドファイアウォールサービスだ。NSGがL4のIPアドレス・ポートベースのフィルタリングに留まるのに対し、Azure FirewallはFQDN(完全修飾ドメイン名)ベースのルールやアプリケーションルールを設定でき、より高度なトラフィック制御が可能だ。
ハブ&スポーク型のネットワーク構成で、ハブVNet内のFirewallを通じてすべてのスポークVNetのトラフィックを集中管理するアーキテクチャが一般的だ。Azure Firewall Premiumは、TLSインスペクション・IDSやIPSによる脅威インテリジェンスフィルタリングをサポートする。
試験での問われ方
Azure FirewallとNSGの使い分けは頻出だ。NSGはVNet内の細かいポート制御に使い、Azure FirewallはVNet間やインターネット向けトラフィックの集中管理や高度なフィルタリングに使う。AZ-104やSC-900では『FQDNベースのルールを設定したい』『アウトバウンドトラフィックを集中管理したい』という要件でFirewallが正解になる。
このサービスが登場する演習問題(8問)
- 【AZ-900】ある企業がAzureのネットワークセキュリティを強化するため、すべての送受信トラフィックを集中的に検査・ルーティングした…
- 【AZ-900】ある企業がAzureのセキュリティ機能を評価している。「多層防御(Defense in Depth)」の観点から、Azu…
- 【AZ-900】ある企業がAzureでハブ&スポーク(Hub and Spoke)ネットワークトポロジーを設計している。このトポロジーの…
- 【AZ-900】ある企業がAzureで仮想ネットワーク内のトラフィックを外部に出す前に特定のWebサイト(悪意あるIPアドレスや不審ドメ…
- 【SC-900】ある製造業の企業が Azure 仮想ネットワーク内に複数のサブネットを持ち、サブネット間のトラフィックをステートフルに検…
- 【SC-900】ある企業のセキュリティアーキテクトが、Azure 仮想ネットワーク内の複数のサブネット間および仮想ネットワーク外へのアウ…
- 【AZ-104】ある企業がAzure上でハブアンドスポーク構成を採用している。ハブVNetには共有サービス(ファイアウォール等)が配置さ…
- 【AZ-104】ある企業がハブアンドスポーク構成でAzureを運用している。ハブVNetにはAzure VPN GatewayとAzur…