Azure Policy は、ポリシーの作成、割り当て、管理を可能にする Azure 内のサービスです。 これらのポリシーは、リソースにさまざまなルールと効果を適用して、それらのリソースが会社の標準とサービス レベル アグリーメントに準拠した状態に保たれるようにします。 Azure Policy は、割り当て済みのポリシーに対する非準拠がないかリソースを評価することで、これを実行します。 たとえば、環境内で特定サイズの仮想マシンのみを許可したり、リソースに特定のタグを適用したりするポリシーを設定できます。
Azure Policy は、どのような構成が許可または禁止されるかを定義するポリシーを適用することで、Azure Firewall 構成を管理するために使用できます。 これは、ファイアウォール設定が組織のコンプライアンス要件とセキュリティのベスト プラクティスに準拠していることを確認する上で役に立ちます。
前提条件
Azure サブスクリプションをお持ちでない場合は、開始する前に 無料アカウント を作成してください。
Azure Firewall で利用できるポリシー
Azure Firewall では、以下のポリシーを利用できます。
Azure Firewall ポリシーで脅威インテリジェンスを有効にする
このポリシーにより、脅威インテリジェンスが有効になっていない Azure Firewall 構成が非準拠としてマークされます。
Azure Firewall を複数の可用性ゾーンにデプロイする
このポリシーは、複数の可用性ゾーン構成を使用する Azure Firewall デプロイだけが許可されるように制限を行います。
Azure Firewall Standard を Premium にアップグレードする
このポリシーは、Premium バージョンの高度なファイアウォール機能のすべてを使用できるように、Azure Firewall Standard を Premium にアップグレードすることを推奨します。 これにより、ネットワークのセキュリティがさらに強化されます。
Azure Firewall Policy Analytics を有効にする必要がある
このポリシーにより、ファイアウォール規則を効果的に調整して最適化するための Policy Analytics がファイアウォール上で有効になります。
Azure Firewall で暗号化されたトラフィックしか許可しない
このポリシーは、Azure ファイアウォール ポリシー内の既存の規則とポートを分析し、環境内で許可されるのが暗号化されたトラフィックだけになるようにファイアウォール ポリシーを監査します。
Azure Firewall で DNS プロキシを有効にする必要がある
このポリシーにより、Azure Firewall デプロイ上で DNS プロキシ機能が有効になります。
Azure Firewall Premium ポリシーで IDPS を有効にする
このポリシーにより、さまざまな脅威や脆弱性から環境を効果的に保護するための IDPS 機能が Azure Firewall デプロイ上で有効になります。
Azure Firewall ポリシーで TLS 検査を有効にする
このポリシーは、HTTPS トラフィック内の悪意のあるアクティビティの検出、アラート、軽減を行うための TLS 検査を有効にすることを強制します。
ファイアウォール ポリシーに明示的なプロキシ構成を適用する
このポリシーにより、すべての Azure Firewall ポリシーで明示的なプロキシ構成が有効になります。 この設定がない場合は、
explicitProxy.enableExplicitProxyフィールドが存在するかどうかをチェックし、リソースに非準拠としてフラグを設定します。 これにより、すべてのファイアウォールデプロイで一貫したプロキシ構成を維持できます。 完全なポリシー定義については、「 ファイアウォール ポリシーに明示的なプロキシ構成を適用する」を参照してください。Azure Firewall で明示的なプロキシを使用しているときに PAC ファイル構成を有効にする
このポリシーは、明示的なプロキシが有効になっているときに PAC (プロキシ自動構成) ファイルも適切に構成されるように、Azure Firewall ポリシーを監査します。
explicitProxy.enableExplicitProxyが true の場合は、explicitProxy.enablePacFileも有効にして、適切なプロキシの自動構成機能を提供する必要があることを検証します。 完全なポリシー定義については、「 Azure Firewall で明示的なプロキシを使用しているときに PAC ファイルの構成を有効にする」を参照してください。Azure Firewall クラシック規則からファイアウォール ポリシーへ移行する
このポリシーは、ファイアウォール クラシック規則からファイアウォール ポリシーへの移行を推奨します。
特定のタグを持つ VNET では Azure Firewall をデプロイする必要がある
このポリシーは、指定されたタグを持つすべての仮想ネットワークを見つけ、Azure Firewall がデプロイされているかどうかを確認し、Azure Firewall が存在しない場合は非準拠としてフラグを設定します。
以下の手順では、すべてのファイアウォール ポリシーが脅威インテリジェンス機能を有効にすることを強制する Azure Policy を作成する方法を示します (アラートのみ、またはアラートと拒否)。 Azure Policy スコープは、作成するリソース グループに設定されます。
リソース グループを作成する
このリソース グループは、Azure Policy のスコープとして設定され、ファイアウォール ポリシーを作成する場所となります。
- Azure portal から [リソースの作成] を選択します。
- 検索ボックスに「リソース グループ」と入力し Enter キーを押します。
- 検索結果から [リソース グループ] を選択します。
- [作成]を選択します
- サブスクリプションを選択します。
- リソース グループの名前を入力します。
- リージョンを選択します。
- [次へ :タグ] を選択します。
- [次へ: 確認と作成] を選択します。
- [作成]を選択します
Azure ポリシーを作成する
次に、新しいリソース グループ内に Azure Policy を作成します。 このポリシーにより、すべてのファイアウォール ポリシーで脅威インテリジェンスが有効になります。
- Azure portal から、[すべてのサービス] を選択します。
- フィルター ボックスに「ポリシー」と入力し Enter キーを押します。
- 検索結果にある [ポリシー] を選択します。
- [ポリシー] ページで、[作業の開始] を選択します。
- [ポリシーの割り当て] で、[定義の表示] を選択します。
- [定義] ページで、検索ボックスに「ファイアウォール」と入力します。
- [Azure Firewall ポリシーで脅威インテリジェンスを有効にする必要がある] を選択します。
- [ポリシーの割り当て] を選択します。
- [スコープ] では、サブスクリプションと新しいリソース グループを選択します。
- [選択]を選択します。
- [次へ]を選択します。
- [パラメーター] ページで、[入力または確認が必要なパラメーターだけを表示する] チェック ボックスをクリアします。
- [効果] で、[拒否] を選択します。
- [Review + create]\(レビュー + 作成\) を選択します。
- [作成]を選択します
ファイアウォール ポリシーを作成する
次に、脅威インテリジェンスが無効になっているファイアウォール ポリシーの作成を試みます。
- Azure portal から [リソースの作成] を選択します。
- 検索ボックスに「ファイアウォール ポリシー」と入力し Enter キーを押します。
- 検索結果で [ファイアウォール ポリシー] を選択します。
- [作成]を選択します
- サブスクリプションを選択します。
- [リソース グループ] で、先程作成したリソース グループを選択します。
- [名前] テキスト ボックスに、ポリシーの名前を入力します。
- [次へ: DNS 設定] を選択します。
- [脅威インテリジェンス] ページに至るまで選択を続けます。
- [脅威インテリジェンス モード] で、[無効] を選択します。
- [Review + create]\(レビュー + 作成\) を選択します。
リソースがポリシーによって拒否されたことを示し、Azure Policy が脅威インテリジェンスが無効になっているファイアウォール ポリシーを許可していないことを確認するエラーが表示されるはずです。
その他の Azure Policy 定義
明示的なプロキシ構成のポリシーなど、Azure Firewall 向けに特別に設計されたその他の Azure Policy 定義については、 Azure Network Security GitHub リポジトリを参照してください。 このリポジトリには、環境にデプロイできるコミュニティが提供するポリシー定義が含まれています。