Azure Firewall Manager で Microsoft Azure Firewall を利用して、マイクロソフトのネットワークを保護
本ポストは以下の記事の翻訳です。
Microsoft Azure Firewall protects Microsoft’s network with Azure Firewall Manager
2021 年 2 月 23 日 | Douglas Gantenbein
主席サービス エンジニアである Beth Garrison は、マイクロソフトが最近発表した Microsoft Azure Firewall と Azure Firewall Manager により、企業におけるファイアウォール管理作業が大幅に簡略化されたと述べています。(写真: Beth Garrison)
Microsoft Azure Firewall は、インターネットのスーパーヒーローです。マルウェアが企業ネットワークに侵入するのを防ぎ、フィッシング攻撃をブロックし、ビジネス上大切なデータを保護します。さらに一歩進んだネットワーク保護を実現するためには、Azure Firewall Manager も欠かせません。
インターネットの黎明期に生産されたファイアウォールの維持管理は頭痛の種です。脅威の定義を更新したり、新たなソフトウェア上の脆弱性を発見したりすることが絶えず必要です。
マイクロソフトの IT インフラストラクチャを管理する CSE (Core Services Engineering) チームは、マイクロソフトのグローバル事業全体にわたって自社のファイアウォールを管理するという任務を担いました。
「40 台ほどありました。ドメイン コントローラーで ISP が変更になったり、DNS サーバーが変更されたりすると、その 1 つ 1 つに手を加えなければなりませんでした。私のチームはいつもすべてを投げ打って、ファイアウォールの穴を塞ぐ作業に追われました」とマイクロソフトの主席サービス エンジニアである Beth Garrison は述べています。
しかし、懐かしいとも言えないそういった日々は、もう過去のものとなりました。
CSE はこの半年間で、多岐にわたる法人顧客と同じように、クラウドネイティブなネットワーク セキュリティ サービスである Microsoft Azure Firewall と、ファイアウォール管理を簡略化するクラウド型管理サービスである Azure Firewall Manager を採用しました。
Microsoft Azure Firewall キットの中で最も強力なツールの 1 つが Azure Firewall Manager です。Azure Firewall Manager は、IT 管理者が Microsoft Azure Firewall アプリケーションを設定、管理するための単一の場所となります。
その差は歴然たるものでした。
「Azure Firewall Manager を使えば、35 台のファイアウォールを 10 分以内にアップデートすることができます。実に素晴らしいです」と Garrison は言います。
新しいブレーキ、リビルドされたエンジン、ガラススクリーン ステレオ等により長年にわたってアップグレードされてきた 1969 年型の Ford の Mustangのように、Microsoft Azure Firewall は、何十年も前から存在している従来型のファイアウォールを、クラウドに移行させたのです。
従来のハードウェアベースのファイアウォールを SaaS (サービスとしてのソフトウェア) 化することで、ほぼリアルタイムでのセキュリティを実現し、また必要に応じて拡張可能になります。また、セキュリティの研究開発に毎年約 10 億ドルを投じ、約 3,500 人のセキュリティの専門家が作業にあたるなど、マイクロソフトの充実したセキュリティ投資にも支えられています。
ファイアウォールを 100 台も抱えたお客様を見たことがあります。システム管理者が病欠になったらどうするのでしょうか。また侵害が発生した場合、その会社の株価は下落してしまいます。
– Gopikrishna Kannan、主席プログラム マネージャー、Microsoft Azure Firewall チーム
つまり、Mustang を Tesla に買い換えるようなものです。
Microsoft Azure Firewall は、あらゆる種類のお客様が急速にクラウドに移行していくのに対応するため、Microsoft Azure チームによって開発されました。
「どの企業を見ても、アプリケーションに近いところにファイアウォールを設置し、複数のマイクロ境界線ネットワーク (micro-perimeter network) を持っています。そのため、お客様がネットワーク上に展開するファイアウォールが増えてしまいます。ファイアウォールを 100 台も抱えたお客様を見たことがあります。システム管理者が病欠になったらどうするのでしょうか。また侵害が発生した場合、その会社の株価は下落してしまいます」と、Microsoft Azure Firewall チームの主席プログラム マネージャーである Gopikrishna Kannan は述べています
これを受けて、Microsoft Azure のエンジニアは、2017 年にクラウドを中心としたファイアウォールの開発に着手しました。システム エンジニアが脅威に関する定義をアップデートでき、またクラウド全体に迅速に展開できる、集約化された場所を提供できるように設計されました。
[Office 365 がどのようにして安全でモダンなオフィスを実現しているかをご覧ください。マイクロソフトが脅威インテリジェンスを利用していかにネットワークを保護しているかをご覧ください。]
Microsoft Azure Firewall の仕組み
Microsoft Azure Firewall は 2017 年に構築され、2019 年に Azure Firewall Manager が加わりました。これにより、管理者は Azure Firewall Manager の「秘伝のソース」であるファイアウォール ポリシーを一元的に作成することができます。このポリシーには、ネットワーク層からアプリケーション層までのレイヤーである、レイヤー 3 から 7 までのトラフィックを許可または拒否する定義が含まれています。ファイアウォール ポリシーは、複数のファイアウォールに適用することもできます。
また、ベースとなるファイアウォール ポリシーを継承したファイアウォール ポリシーを定義することで、特定の地域用にファイアウォール ルールをカスタマイズすることもできます。これにより、一元的に定義されたポリシーを施行しつつも、管理者が柔軟にファイアウォール ルールをカスタマイズできるようになります。またこの機能により、管理者はカスタムな役割ベースのアクセス コントロールを使用して、アクセス権限を制限することもできます。
「ファイアウォールの管理者は、1 つのルール セットを作成して、そのルールをすべてのファイアウォールに適用できるようになりました。すべてのファイアウォールにその 1 つのルール セットを使用するので、管理が容易になります」と Kannan は言います。
Microsoft Azure Firewall は、ファイアウォールの管理を一元化し、ネットワークの保護を効率化、簡略化します。
このことは、特に攻撃を受けた場合に当てはまります。これまでは、新しい脅威対策は、場合によっては何百とあるネットワーク ファイアウォールに 1 つずつ展開しなければなりませんでした。それでは手遅れになってしまうかもしれません。
仮に何らかのマルウェアがネットワークに侵入したとしても、そこから広く拡散することはありません。また、マルウェアの拡散を防ぐために、新しいファイアウォール ルールを迅速に導入できる機敏さも備えています。
Tom McCLeery、主席エンジニアリング マネージャー、CSE
さらに、従来のファイアウォールは、複数の機能が組み込まれており、非常に複雑なテクノロジになっている傾向がありました。それに対して Microsoft Azure Firewall は、よりシンプルでタスクに応じたセキュリティ ツールを提供し、管理を効率化します。
「オンプレミスのファイアウォールは、なんでも屋のようなツールです。Azure Firewall は、特定のファイアウォールに特化して設計された一連の機能を備えており、さらに他の Azure サービスを利用して、より高度な防御を実現できます。
仮に何らかのマルウェアがネットワークに侵入したとしても、そこから広く拡散することはありません。また、マルウェアの拡散を防ぐために、新しいファイアウォール ルールを迅速に導入できる機敏さも備えています」と、CSE の主席エンジニアリング マネージャーである Tom McCLeery は述べています。
また、Azure Firewall Manager は、ファイアウォールの変更が他のファイアウォールに伝わらず、次第に同期が取れなくなる「設定のドリフト」と呼ばれる現象も防ぎます。
「以前は、Beth のようなエンジニアが入って、設定のドリフトを抑えていました。しかし、それは非常に面倒な作業です。Azure Firewall Manager を使えば、自動化環境が整うので、業界標準である『コードとしてのインフラストラクチャ (Infrastructure as Code)』を実現できます」と McCLeery は言います。
Microsoft Azure Firewall への移行によるその他のメリットとしては、CSE がサードパーティ製ソフトウェアを大量に購入し、さまざまなファイアウォールにインストールする必要がなくなったことによるコスト削減が挙げられます。また、マイクロソフト内の各組織のために、新しいネットワークを構築する予算を確保する必要もありません。インフラ管理は、資本的な支出ではなく、計画と予測が可能な運営費になります。
Garrison をはじめとする CSE のエンジニアは、Azure Firewall Manager にいくつかの貢献をしてくれました。
彼女は、リリース前のコードに触れることのできた CSE エンジニアの 1 人で、CSE の Microsoft Azure 環境で製品が問題なく動くか確認するために、概念実証 (PoC) に携わりました。その過程で、古い IP アドレスを誤って残してしまうなど、セキュリティ問題となる可能性のある、重大なバグも発見しました。
それでもなお、CSE エンジニア チームの多くにとって、Microsoft Azure Firewall の導入は多少時間を要するものでした。
「驚くほど優秀なエンジニア チームではありますが、Azure でファイアウォールを扱った経験はあまりありませんでした。しかし奮起してその技術を習得し、これまでゼロだったのが、35 台のファイアウォールを管理するまでになりました」と McCLeery は言います。
CSEO のエンジニアにとって、Azure Firewall Manager に取り組んだ経験は非常に満足度の高いものでした。
「チームを本当に誇りに思っていますし、チームが Firewall Manager で行った仕事を誇りに思っています。Azure 製品チームとのパートナーシップは素晴らしいものでした。そして現在、フォーチュン 500 社で使われている製品を提供しているというのは素晴らしいことです」と Garrison は言います。
Office 365 がどのようにして安全でモダンなオフィスを実現しているかをご覧ください。