Azure Firewall とネットワーク仮想アプライアンス
執筆者: Yair Tor (Principal Program Manager, Azure Networking)
このポストは、2019 年 5 月 14 日に投稿された Azure Firewall and network virtual appliances の翻訳です。
ネットワーク セキュリティ ソリューションの提供形態には、オンプレミスのアプライアンス、クラウドで運用されるネットワーク仮想アプライアンス (NVA)、クラウド ネイティブ サービス (サービスとしてのファイアウォール) の 3 種類があります。
お客様からの問い合わせで特に多いのが、Azure Firewall とネットワーク仮想アプライアンスの違い、Azure Firewall は他のソリューションと共存が可能かどうか、Azure Firewall の方が優れている点、不足している機能、期待される TCO 上のメリットなどについてです。この記事では、これらの質問にお答えしたいと思います。
ネットワーク仮想アプライアンス (NVA)
Azure では、サードパーティ製ネットワーク サービスも重要な役割を果たしており、お客様が以前から信頼を寄せていて、製品知識や管理スキルを持っているブランドやソリューションを使用することができます。サードパーティ製ネットワーク サービスの大半は NVA として提供されており、これにはファイアウォール、WAN オプティマイザー、アプリケーション配信コントローラー、ルーター、ロード バランサー、プロキシといったさまざまな機能が揃っています。多くのハイブリッド ソリューションに対応したこれらのサードパーティ製サービスの機能は、Azure Marketplace で一般提供されています。NVA をデプロイする前に検討すべきベスト プラクティスについては、こちらのブログ記事をご覧ください。
クラウド ネイティブ ネットワーク セキュリティ
クラウド ネイティブなネットワーク セキュリティ サービス (サービスとしてのファイアウォール) は、高可用性を重視した設計となっており、利用状況に応じて自動的にスケーリングされ、従量課金制が採用されています。また、一定レベルのサポートが含まれており、SLA によってサービスの品質が確約されています。クラウド ネイティブ ネットワーク セキュリティは DevOps モデルのデプロイに最適で、クラウド ネイティブの監視ツールを利用できます。
Azure Firewall の概要
Azure Firewall はクラウド ネイティブ ネットワーク セキュリティ サービスです。VNet リソースに対するネットワークおよびアプリケーション レベルのトラフィックを完全にステートフルにフィルタリングし、高可用性とクラウドのスケーラビリティがサービスとして標準で提供されます。ユーザーは送信、受信、スポーク間、VPN、ExpressRoute の各トラフィックをフィルタリングして、VNet を保護できます。接続ポリシーの適用は、複数の VNet および Azure サブスクリプションをまたいでサポートされます。Azure Monitor を使用してすべてのイベントのログを一元的に記録したり、そのログをストレージ アカウントにアーカイブしたり、イベントを Event Hubs にストリーミングしたり、Log Analytics または任意の SIEM (セキュリティ情報イベント管理) 製品に送信したりすることができます。
Azure Firewall が自社のセキュリティ アーキテクチャに適しているかどうかの判断ポイント
組織のセキュリティ ニーズは多様であり、同じ組織でも環境ごとにセキュリティ要件が異なる場合もあります。前述のように、Azure ではサードパーティ製サービスも重要な役割を担っています。現在、次世代ファイアウォールの大半はネットワーク仮想アプライアンス (NVA) として提供されており、そのリッチな機能は、特定の環境や組織にとって欠かすことができません。マイクロソフトは今後、連携シナリオに対応する予定です。それにより、特定の種類のトラフィックには Azure Firewall を使用し、オプションとしてトラフィックの一部または全部をサードパーティ製サービスに送信してさらに精査できるようにします。また、NVA とクラウド ネイティブ ソリューションのどちらのサードパーティ製サービスもサポートする考えです。
Azure Firewall の機能セットは、多くの Azure のお客様の組織に適しており、クラウド ネイティブのマネージド サービスとして主に以下のようなメリットを提供しています。
- DevOps 統合: Azure Portal、テンプレート、PowerShell、CLI、REST を使用した簡単なデプロイ
- クラウド規模の組み込みの HA
- メンテナンス不要のサービス モデル: 更新やアップグレードの手間が不要
- Azure への特化: サービス タグ、FQDN タグなど
- 大部分のお客様が望む総所有コストの大幅な削減
しかし、お客様によってはサードパーティ製ソリューションの方が適している場合もあります。
以下は、Azure Firewall と NVA の機能を比較した表です。
図 1: Azure Firewall とネットワーク仮想アプライアンスの機能比較
Azure Firewall がコスト効率に優れている理由
Azure Firewall の価格は、1 時間あたりの固定料金 (ファイアウォールのデプロイメントあたり 1.25 ドル) と、自動スケーリングをサポートするための処理データ 1 GB あたりの変動料金で構成されます。マイクロソフトの調査では、お客様の大半は NVA デプロイメント モデルと比較して 30 ~ 50% のコスト削減を達成しています。高スループットで運用されるお客様がコスト効率を維持できるように、2019 年 5 月 1 日より、処理データ 1 GB あたりの料金を 0.016 ドル/GB (-46.6%) に引き下げました。 1 時間あたりの固定料金に変更はありません。価格の最新情報については、Azure Firewall の価格ページをご覧ください。
以下の表に、完全な HA (アクティブ/アクティブ) デプロイメントの NVA と対比させて TCO のコンセプトをまとめました。
| コスト | Azure Firewall | NVA |
| コンピューティング | ファイアウォール 1 デプロイメントにつき 1.25 ドル/時間処理データ 1 GB あたり 0.016 ドル(30 ~ 50% のコスト削減) | VM 2 台 + ピーク要件に対応するための VM |
| ライセンス | NVA ベンダーの請求モデルに従う | |
| 標準パブリック ロード バランサー | 最初の 5 つのルール: 0.025 ドル/時間 追加のルール: 1 ルールあたり 0.01 ドル/時間 処理データ 1 GB あたり 0.005 ドル | |
| 標準 ロード バランサー | 標準内部ロード バランサー 最初の 5 つのルール: 0.025 ドル/時間追加のルール: 1 ルールあたり 0.01 ドル/時間処理データ 1 GB あたり 0.005 ドル | |
| 継続的なメンテナンス | 標準で含まれる | お客様の担当作業 |
| サポート | 契約する Azure のサポート プランに含まれる | NVA ベンダーの請求モデルに従う |
図 2: Azure Firewall とネットワーク仮想アプライアンスのコスト比較
次のステップ
- Azure Firewall のドキュメント
- 3 月のブログ: Azure Firewall の新機能の発表
- 価格
- Azure Firewall 管理パートナー