Azure認定資格 WEB問題集&徹底解説
AZ-900:Microsoft Azure Fundamentals
Azureサービスの一つであるAzure Firewallはどんな内容なのでしょうか?また、Azure認定資格の AZ-900:Azure Fundamentals に合格するためには、サービスのどんなポイントを押さえておけばよいのでしょうか?
ここでは、そんなあなたの疑問に回答していきたいと思います
1. サービス概要
Azure Firewall は、Azure Virtual Network リソースを保護するマネージド、クラウドベースのネットワークセキュリティサービスです。 Azure Firewall は、組み込みの高可用性と無制限のクラウドスケーラビリティを備えた、ステートフルファイアウォールとして機能します。 Azure Firewall を使用すると、送信 (アウトバウンド) および東西方向のトラフィックを集中管理し、ログに記録できます。 Azure Firewall は、ネットワークルール、アプリケーションルール、および脅威インテリジェンスベースのフィルタリングなどの機能を提供します。
Azure Firewall は、Azure 環境全体でネットワークトラフィックを保護するための、シンプルで強力なソリューションです。
2. 主な特徴と機能
2.1 組み込みの高可用性
Azure Firewall は、組み込みの高可用性を提供し、可用性ゾーン全体で自動的にスケールします。
2.2 無制限のクラウドスケーラビリティ
Azure Firewall は、ネットワークトラフィックの需要に基づいて、自動的にスケールアップまたはスケールダウンできます。
2.3 ステートフルファイアウォール
Azure Firewall は、ステートフルファイアウォールとして機能し、ネットワーク接続の状態を追跡し、ルールに基づいてトラフィックを許可または拒否します。
2.4 ネットワークルール
Azure Firewall は、送信元 IP アドレス、送信先 IP アドレス、ポート、およびプロトコルに基づいて、ネットワークトラフィックを制御するためのネットワークルールを提供します。
2.5 アプリケーションルール
Azure Firewall は、完全修飾ドメイン名 (FQDN) に基づいて、送信ネットワークトラフィックを制御するためのアプリケーションルールを提供します。
2.6 脅威インテリジェンスベースのフィルタリング
Azure Firewall は、既知の悪意のある IP アドレス、ドメイン、および URL に基づいて、トラフィックをフィルタリングするための脅威インテリジェンスベースのフィルタリングを提供します。
2.7 サービスタグ
Azure Firewall は、サービスタグをサポートしており、特定の Azure サービスへのネットワークアクセスを簡単に許可できます。
2.8 カスタム DNS
Azure Firewall は、カスタム DNS サーバーを構成でき、名前解決をカスタマイズできます。
2.9 Threat Inteligence
Azure Firewall Premiumでは、より高度なセキュリティ機能としてTLS検査を利用できます。
3. アーキテクチャおよび技術要素
- ユーザーが Azure Portal、CLI、PowerShell、または SDK を介して Firewall を作成/管理。
- ユーザーは、Firewall のリージョン、VNet、パブリック IP アドレス、および Firewall ポリシーなどの構成を指定。
- Azure が、Firewall を自動的にプロビジョニング、管理、および保護。
- Firewall は、VNet 内のサブネットに配置され、ネットワークトラフィックを検査および制御。
- Azure Firewall は、Azure Resource Manager (ARM) を使用して管理され、Azure の他のサービス (Azure Virtual Network、Azure Monitor など) と統合できます。
4. セキュリティと認証・認可
- ネットワークルール: ネットワークルールを使用して、IP アドレス、ポート、およびプロトコルに基づいて、ネットワークトラフィックを制御できます。
- アプリケーションルール: アプリケーションルールを使用して、FQDN に基づいて、送信ネットワークトラフィックを制御できます。
- 脅威インテリジェンスベースのフィルタリング: 脅威インテリジェンスベースのフィルタリングを使用して、既知の悪意のある IP アドレス、ドメイン、および URL へのトラフィックをブロックできます。
- サービスタグ: サービスタグを使用して、特定の Azure サービスへのネットワークアクセスを簡単に許可できます。
- Azure Firewall Manager: Azure Firewall Manager を使用して、複数の Azure Firewall インスタンスを集中管理できます。
- 脅威インテリジェンスモード: 脅威インテリジェンスモードを設定することで、悪意のある可能性があるトラフィックを警告、またはブロックできます。
5. 料金形態
Azure Firewall は主に以下に基づく料金体系です:
- デプロイ時間: Azure Firewall がデプロイされ、使用可能になっている時間に応じて課金。
- データ処理: Azure Firewall を通過するデータ処理量に応じて課金。
より詳細な料金については、公式ドキュメントを確認ください。
6. よくあるアーキテクチャ・設計パターン
- ハブスポークネットワーク: Azure Firewall をハブ VNet にデプロイし、スポーク VNet からのトラフィックを検査および制御できます。
- DMZ: Azure Firewall を使用して、DMZ (非武装地帯) を作成し、インターネットに公開されるリソースを保護できます。
- アウトバウンドセキュリティ: Azure Firewall を使用して、VNet からインターネットへのアウトバウンドトラフィックを制御できます。
- インバウンドセキュリティ: Azure Firewall を使用して、インターネットから VNet へのインバウンドトラフィックを制御できます。
7. 設定・デプロイ手順(ハンズオン例)
- Azure Portal、CLI、または PowerShell を使用して、リソースグループを作成。
- VNet を作成。
- Firewall サブネットを作成。
- Azure Firewall を作成 (名前、リージョン、VNet などを指定)。
- Firewall ポリシーを作成。
- ネットワークルール、アプリケーションルール、または脅威インテリジェンスルールを構成。
- ルートテーブルを構成して、トラフィックを Azure Firewall にルーティング。
- Azure Firewall をテスト。
8. 試験で問われやすいポイント
8.1 Azure Firewall の基本的な概念
- Q: Azure Firewall とは何ですか?
A: Azure Virtual Network リソースを保護するマネージド、クラウドベースのネットワークセキュリティサービスです。 - Q: Azure Firewall の主な利点は何ですか?
A: 組み込みの高可用性、無制限のクラウドスケーラビリティ、ステートフルファイアウォール、ネットワークルール、アプリケーションルール、脅威インテリジェンスベースのフィルタリング。
8.2 ルール
- Q: ネットワークルールとは何ですか?
A: 送信元 IP アドレス、送信先 IP アドレス、ポート、およびプロトコルに基づいて、ネットワークトラフィックを制御します。 - Q: アプリケーションルールとは何ですか?
A: 完全修飾ドメイン名 (FQDN) に基づいて、送信ネットワークトラフィックを制御します。
8.3 脅威インテリジェンスベースのフィルタリング
- Q: 脅威インテリジェンスベースのフィルタリングとは何ですか?
A: 既知の悪意のある IP アドレス、ドメイン、および URL に基づいて、トラフィックをフィルタリングします。
8.4 サービスタグ
- Q: サービスタグとは何ですか?
A: 特定の Azure サービスへのネットワークアクセスを簡単に許可できるようにします。
8.5 料金
- Q: Azure Firewall の料金はどのように計算されますか?
A: デプロイ時間とデータ処理に基づいて計算。
8.6 セキュリティ
- Q: Azure Firewall を使用して Azure リソースを保護する方法は何ですか?
A: ネットワークルール、アプリケーションルール、脅威インテリジェンスベースのフィルタリング、およびサービスタグを使用。
8.7 その他細かな試験ポイント
- Firewall ポリシー
- Threat Inteligence Mode
- カスタム DNS
- 強制トンネリング
- Azure Firewall Manager