M06-ユニット 9 Azure Firewall Manager を使用して仮想ハブのセキュリティを保護する

演習のシナリオ

この演習では、スポーク仮想ネットワークを作成し、セキュリティ保護付き仮想ハブを作成してから、ハブとスポークの仮想ネットワークを接続し、トラフィックをハブにルーティングします。 次に、ワークロード サーバーをデプロイしてから、ファイアウォール ポリシーを作成してハブをセキュリティ保護し、最後にファイアウォールをテストします。

セキュリティで保護されたハブを使用した仮想ネットワーク アーキテクチャの図。

ハブとスポークのアーキテクチャを作成する

演習のこの部分では、ワークロード サーバーを配置するスポーク仮想ネットワークとサブネットを作成します。 次に、セキュリティ保護付き仮想ハブを作成し、ハブとスポークの仮想ネットワークを接続します。

職務スキル

この演習では、次のことを行います。

  • タスク 1: 2 つのスポーク仮想ネットワークとサブネットを作成する
  • タスク 2: セキュリティ保護付き仮想ハブを作成する
  • タスク 3: ハブとスポークの仮想ネットワークを接続する
  • タスク 4: サーバーをデプロイする
  • タスク 5: ファイアウォール ポリシーを作成してハブをセキュリティ保護する
  • タスク 6: ファイアウォール ポリシーを関連付ける
  • タスク 7: トラフィックをハブにルーティングする
  • タスク 8: アプリケーション規則をテストする
  • タスク 9: ネットワーク規則をテストする
  • タスク 10: リソースをクリーンアップする

推定時間: 35 分

タスク 1: 2 つのスポーク仮想ネットワークとサブネットを作成する

このタスクでは、それぞれにワークロード サーバーをホストするサブネットが含まれる 2 つのスポーク仮想ネットワークを作成します。

  1. Azure portal で、Virtual Networks を検索して選択します。

  2. [作成] を選択します

  3. [リソース グループ] で、[新規作成] を選択し、名前として「fw-manager-rg」と入力し、[OK] を選択します。

  4. [仮想ネットワーク名] に、「Spoke-01」と入力します。

  5. [リージョン] で、自分のリージョンを選択します。

  6. [次へ] を選択します。 [セキュリティ] タブを確認しますが、変更は行いません。

  7. [次へ] を選択し、[IP アドレス] タブに移動します。

  8. [アドレス空間の削除][IPv4 アドレス空間の追加] の順に選択します。

  9. IP アドレス空間が [10.0.0.0/16] であることを確認します。

  10. [サブネットの追加] を選択します

  11. サブネットの [名前]Workload-01-SN に変更します。

  12. [開始アドレス]10.0.1.0 に変更します。

  13. [追加] を選択します。

  14. Review + create を選択します。

  15. [作成] を選択します

上記のステップ 1 から 14 を繰り返し、次の情報を使用して、同様の仮想ネットワークとサブネットをもう 1 つ作成します。 最初の仮想ネットワークのデプロイが完了するまで待つ必要はありません。

  • リソース グループ: fw-manager-rg (既存のものを選択)
  • 仮想ネットワーク名: Spoke-02
  • アドレス空間: 10.1.0.0/16 - (一覧にある他のすべてのアドレス空間を削除します)
  • サブネット名: Workload-02-SN
  • サブネットの開始アドレス: 10.1.1.0

タスク 2: セキュリティ保護付き仮想ハブを作成する

このタスクでは、Firewall Manager を使用して、セキュリティ保護付き仮想ハブを作成します。

  1. ポータルで firewall manager を検索し、[ネットワーク セキュリティ キーワード ファイアウォール マネージャー] を選択します。

  2. [リソースのセキュリティ保護] ブレードで、[仮想ハブ] を選択します。

  3. [セキュリティで保護された仮想ハブの新規作成] を選択します。

  4. [リソース グループ] で、 [fw-manager-rg] を選択します。

  5. [リージョン] で、自分のリージョンを選択します。

  6. [セキュリティ保護付き仮想ハブ名] に「Hub-01」と入力します。

  7. [ハブ アドレス空間] に「10.2.0.0/16」と入力します。

  8. [新しい vWAN] が選択されていることを確認します

  9. [仮想 WAN 名] に「Vwan-01」と入力します。

  10. [Next:Azure Firewall] を選択します。 確認しますが、変更は行いません。

  11. Next: Security Partner Provider を選択します。 確認しますが、変更は行いません。

  12. Next: Review + create を選択します。

  13. [作成] を選択します

    注:デプロイには最大 30 分かかることがあります。

  14. デプロイが完了するまで待ちます。

  15. ポータルで firewall manager を検索し、[ネットワーク セキュリティ キーワード ファイアウォール マネージャー] を選択します。

  16. [Firewall Manager] ページで、[仮想ハブ] を選択します。

  17. [Hub-01] を選択します。

  18. [Azure Firewall] に続けて、[パブリック IP 設定] を選択します。

  19. 後で使用するので、パブリック IP アドレス (例: 172.191.79.203) を記録しておきます。

タスク 3: ハブとスポークの仮想ネットワークを接続する

このタスクでは、ハブとスポークの仮想ネットワークを接続します。 これは、一般にピアリングとして知られています。

  1. ポータルで、Vwan-01 仮想 WAN を検索して選択します。

  2. [接続] で、 [仮想ネットワーク接続] を選択します。

  3. [接続の追加] を選択します。

  4. [接続名] に「hub-spoke-01」と入力します。

  5. [ハブ] で、 [Hub-01] を選択します。

  6. [リソース グループ] で、 [fw-manager-rg] を選択します。

  7. [仮想ネットワーク] で、 [Spoke-01] を選択します。

  8. [作成] を選択します

  9. 上記の手順 4 から 9 を繰り返して、別の同様の接続を作成します。ただし、接続名 hub-spoke-02 を使用して仮想ネットワーク Spoke-02 に接続します。

  10. 仮想ネットワーク接続ページを更新し、Spoke-01 と Spoke-02 という 2 つの仮想ネットワークがあることを確認します。

タスク 4: サーバーをデプロイする

  1. Azure portal で、右上の [Cloud Shell] アイコンを選択します。 必要に応じて、シェルを構成します。
    • [PowerShell] を選択します。
    • [ストレージ アカウントは必要ありません][サブスクリプション] を選択してから、[適用] を選択します。
    • ターミナルが作成され、プロンプトが表示されるまで待ちます。

  2. Cloud Shell 画面のツール バーで、[ファイルの管理] アイコンを選択し、ドロップダウン メニューで [アップロード] を選択して、FirewallManager.jsonFirewallManager.parameters.json というファイルを Cloud Shell のホーム ディレクトリにアップロードします。

    注: 自分のサブスクリプションで作業している場合、テンプレート ファイルは GitHub ラボ リポジトリで入手できます。

  3. 次の ARM テンプレートをデプロイして、この演習に必要な VM を作成します。

    : 管理者パスワードを入力するように求められます。 このパスワードは後の手順で必要になります。

    $RGName = "fw-manager-rg"
   
New-AzResourceGroupDeployment -ResourceGroupName $RGName -TemplateFile FirewallManager.json -TemplateParameterFile FirewallManager.parameters.json

  4. デプロイが完了したら、Azure portal のホーム ページに移動し、[仮想マシン] を選択します。

  5. Srv-workload-01[概要] ページの右側のペインで、[ネットワーク] セクションの下にある [プライベート IP アドレス] (例: 10.0.1.4) を記録しておきます。

  6. Srv-workload-02[概要] ページの右側のペインで、[ネットワーク] セクションの下にある [プライベート IP アドレス] (例: 10.1.1.4) を記録しておきます。

タスク 5: ファイアウォール ポリシーを作成してハブをセキュリティ保護する

このタスクでは、最初にファイアウォール ポリシーを作成した後、ハブをセキュリティで保護します。 このファイアウォール ポリシーでは、1 つまたは複数のセキュリティ保護付き仮想ハブでトラフィックを転送する規則のコレクションを定義します。

  1. ポータルで、Firewall Policies を検索して選択します。

  2. [作成] を選択します

    設定 Value
    Resource group fw-manager-rg
    Name Policy-01
    リージョン リージョンを選択する
    ポリシー レベル Standard

  3. [次へ: DNS 設定] を選択します。 確認しますが、変更は行いません。

  4. [次へ: TLS 検査 を選択します。 確認しますが、変更は行いません。

Microsoft ドメインを許可するルール コレクションとルールを追加する

  1. [次へ: ルール] を選択し、[+ ルール コレクションの追加] を選択します。

    設定 Value
    名前 App-RC-01
    規則コレクションの種類 アプリケーション
    優先順位 100
    規則コレクション アクション 許可

  2. [ルール] セクション。

    設定 Value
    名前 Allow-msft
    変換元の型 IP アドレス
    source *
    Protocol http,https
    変換先の型 FQDN
    宛先 *.microsoft.com

Srv-workload-01 仮想マシンへのリモート デスクトップ接続を許可するルール コレクションとルールを追加します。

  1. [規則コレクションの追加] を選択します。

    設定 Value
    名前 dnat-rdp
    規則コレクションの種類 DNAT
    優先順位 100
    規則コレクション アクション 許可

  2. [ルール] セクション。

    設定 Value
    名前 Allow-rdp
    変換元の型 IP アドレス
    source *
    Protocol TCP
    ターゲット ポート 3389
    [宛先 (ファイアウォール IP アドレス)] ファイアウォール仮想ハブのパブリック IP アドレスを入力します
    変換後の種類 IP アドレス
    [翻訳されたアドレスまたは FQDN] Srv-workload-01 仮想マシンのプライベート IP アドレスを入力します
    変換されたポート 3389

Srv-workload-02 仮想マシンへのリモート デスクトップ接続を許可するルール コレクションとルールを追加します。

  1. [規則コレクションの追加] を選択します。

    設定 Value
    名前 vnet-rdp
    規則コレクションの種類 Network
    優先順位 100
    規則コレクション アクション 許可

  2. [ルール] セクション。

    設定 Value
    名前 Allow-vnet
    変換元の型 IP アドレス
    source *
    Protocol TCP
    ターゲット ポート 3389
    [宛先 (ファイアウォール IP アドレス)] ファイアウォール仮想ハブのパブリック IP アドレスを入力します
    変換後の種類 IP アドレス
    [翻訳されたアドレスまたは FQDN] Srv-workload-02 仮想マシンのプライベート IP アドレスを入力します
    変換されたポート 3389

  3. [追加] を選択します。

  4. 3 つのルール コレクションがあることを確認します。

  5. Review + create を選択します。

  6. [作成] を選択します

タスク 6: ファイアウォール ポリシーを関連付ける

このタスクでは、ファイアウォール ポリシーを仮想ハブと関連付けます。

  1. ポータルで、Hub-01 を検索して選択します。

  2. [設定] ブレードで、[セキュリティ プロバイダー] を選択します

  3. [ポリシーの追加] のチェック ボックスをオンにします。

  4. [Policy-01] に続けて、[保存] を選択します。

  5. Hub-01 のチェック ボックスをオンにします。

  6. [追加] を選択します。

  7. ポリシーに関連付けがある場合は、[最新の情報に更新] を選択します。 関連付けが表示されるはずです。

タスク 7: トラフィックをハブにルーティングする

このタスクでは、ネットワーク トラフィックがファイアウォール経由でルーティングされることを確認します。

  1. ポータルで、[Vwan-01] を検索して選択します。

  2. [接続性] ブレードで、[ハブ] に続けて [Hub-01] を選択します。

  3. [セキュリティ] ブレードで、[Azure Firewall および Firewall Manager] を選択し、[Hub-01] に続けて [セキュリティ設定] を選択します。

  4. [インターネット トラフィック] で、 [Azure Firewall] を選択します。

  5. [プライベート トラフィック] で、 [Azure Firewall 経由で送信する] を選択します。

  6. [保存] を選択した後、[OK] をクリックして選択内容を確認します。

  7. これが完了するまでに数分かかります。

  8. 構成が完了したら、[インターネット トラフィック][プライベート トラフィック] で、どちらのハブ スポーク接続にも Secured by Azure Firewall と表示されていることを確認します。

タスク 8: アプリケーション規則をテストする

演習のこの部分では、リモート デスクトップをファイアウォールのパブリック IP アドレスに接続します。これは、Srv-Workload-01 にネットワーク アドレス変換されます。 その後、Web ブラウザーを使用してアプリケーション規則をテストし、リモート デスクトップを Srv-Workload-02 に接続してネットワーク規則をテストします。

このタスクでは、アプリケーション規則をテストして、期待したように動作することを確認します。

  1. お使いの PC で [リモート デスクトップ接続] を開きます。

  2. [コンピューター] ボックスに、ファイアウォールのパブリック IP アドレス (例: 51.143.226.18) を入力します。

  3. [オプションの表示] を選択します。

  4. [ユーザー名] ボックスに「TestUser」と入力します。

  5. [接続] を選択します。

    srv-workload-01 への RDP 接続

  6. [資格情報を入力してください] ダイアログ ボックスで、展開中に指定したパスワードを使用して、Srv-workload-01 サーバーの仮想マシンにログインします。

  7. [OK] を選択します。

  8. 証明書メッセージで [はい] を選択します。

  9. Internet Explorer を開き、[Internet Explorer 11 の設定] ダイアログ ボックスで [OK] を選択します。

  10. https://www.microsoft.com を参照します

  11. [セキュリティ アラート] ダイアログ ボックスで、 [OK] を選択します。

  12. Internet Explorer でセキュリティ アラートのポップアップが表示される場合は、[閉じる] を選択します。

  13. Microsoft のホーム ページが表示されるはずです。

    microsoft.com を参照している RDP セッション

  14. https:// **** を閲覧します。

  15. ファイアウォールによってブロックされます。

    google.com でブロックされている RDP セッション ブラウザー

  16. そのため、許可されている 1 つの FQDN には接続できますが、他のすべてからはブロックされることを確認しました。

タスク 9: ネットワーク規則をテストする

このタスクでは、ネットワーク規則をテストして、期待したように動作することを確認します。

  1. Srv-workload-01 RDP セッションにログインしている間に、このリモート コンピューターからリモート デスクトップ接続を開きます。

  2. [コンピューター] ボックスに Srv-workload-02プライベート IP アドレス (例: 10.1.1.4) を入力します。

  3. [資格情報を入力してください] ダイアログ ボックスで、展開中に指定したユーザー名 TestUser とパスワードを使用して、Srv-workload-02 サーバーにログインします。

  4. [OK] を選択します。

  5. 証明書メッセージで [はい] を選択します。

    srv-workload-01 の RDP セッションから srv-workload-02 上の別の RDP セッションへ

  6. そのため、あるサーバーのリモート デスクトップを別の仮想ネットワークにある別のサーバーに接続して、ファイアウォール ネットワーク規則が機能していることを確認しました。

  7. 両方の RDP セッションを閉じて切断します。

タスク 10: リソースをクリーンアップする

:新規に作成し、使用しなくなったすべての Azure リソースを削除することを忘れないでください。 使用していないリソースを削除することで、予期しない料金が発生しなくなります。

  1. Azure portal で、 [Cloud Shell] ペイン内に PowerShell セッションを開きます。

  2. 次のコマンドを実行して、このモジュールのラボ全体を通して作成したすべてのリソース グループを削除します。

    Remove-AzResourceGroup -Name 'fw-manager-rg' -Force -AsJob

    :このコマンドは非同期で実行されるため (-AsJob パラメーターによって決定されます)、同じ PowerShell セッション内で直後に別の PowerShell コマンドを実行できますが、リソース グループが実際に削除されるまでに数分かかります。