M06-ユニット 9 Azure Firewall Manager を使用して仮想ハブのセキュリティを保護する

演習のシナリオ

この演習では、スポーク仮想ネットワークを作成し、セキュリティ保護付き仮想ハブを作成してから、ハブとスポークの仮想ネットワークを接続し、トラフィックをハブにルーティングします。 次に、ワークロード サーバーをデプロイしてから、ファイアウォール ポリシーを作成してハブをセキュリティ保護し、最後にファイアウォールをテストします。

セキュリティで保護されたハブを使用した仮想ネットワーク アーキテクチャの図。

メモ: このラボをご自分のペースでクリックして進めることができる、 ラボの対話型シミュレーション が用意されています。 対話型シミュレーションとホストされたラボの間に若干の違いがある場合がありますが、示されている主要な概念とアイデアは同じです。

ハブとスポークのアーキテクチャを作成する

演習のこの部分では、ワークロード サーバーを配置するスポーク仮想ネットワークとサブネットを作成します。 次に、セキュリティ保護付き仮想ハブを作成し、ハブとスポークの仮想ネットワークを接続します。

この演習では、以下のことを行います。

  • タスク 1: 2 つのスポーク仮想ネットワークとサブネットを作成する
  • タスク 2: セキュリティ保護付き仮想ハブを作成する
  • タスク 3: ハブとスポークの仮想ネットワークを接続する
  • タスク 4: サーバーをデプロイする
  • タスク 5: ファイアウォール ポリシーを作成してハブをセキュリティ保護する
  • タスク 6: ファイアウォール ポリシーを関連付ける
  • タスク 7: トラフィックをハブにルーティングする
  • タスク 8: アプリケーション規則をテストする
  • タスク 9: ネットワーク規則をテストする
  • タスク 10: リソースをクリーンアップする

推定時間: 35 分

タスク 1: 2 つのスポーク仮想ネットワークとサブネットを作成する

このタスクでは、それぞれにワークロード サーバーをホストするサブネットが含まれる 2 つのスポーク仮想ネットワークを作成します。

  1. Azure portal のホーム ページで検索ボックスに「仮想ネットワーク」と入力し、表示されたら [仮想ネットワーク] を選択します。

  2. [作成] を選択します

  3. [リソース グループ][新規作成] を選択し、名前として「fw-manager-rg」と入力して、[OK] を選択します。

  4. [名前] に「Spoke-01」と入力します。

  5. [リージョン] で、自分のリージョンを選択します。

  6. 次へ:[次へ: IP アドレス] を選択します。

  7. [IPv4 アドレス空間] に、「10.0.0.0/16」と入力します。

  8. ここに列記されている他のアドレス空間 (10.1.0.0/16 など) をすべて削除します。

  9. [サブネット名] で、 default という単語を選択します。

  10. [サブネットの編集] ダイアログ ボックスで、名前を「Workload-01-SN」に変更します。

  11. [サブネット アドレス範囲] を「10.0.1.0/24」に変更します。

  12. [保存] を選択します。

  13. Review + create を選択します。

  14. [作成] を選択します

上記のステップ 1 から 14 を繰り返して、同様の仮想ネットワークとサブネットを作成します。ただし、次の情報を使用します。

  • リソース グループ: fw-manager-rg (既存のものを選択)
  • 名前:Spoke-02
  • アドレス空間: 10.1.0.0/16 - (一覧にある他のすべてのアドレス空間を削除します)
  • サブネット名:Workload-02-SN
  • サブネットのアドレス範囲: 10.1.1.0/24

タスク 2: セキュリティ保護付き仮想ハブを作成する

このタスクでは、Firewall Manager を使用して、セキュリティ保護付き仮想ハブを作成します。

  1. Azure portal のホーム ページで、 [すべてのサービス] を選択します。

  2. 検索ボックスに「Firewall Manager」と入力し、表示されたら [Firewall Manager] を選択します。

  3. [Firewall Manager] ページで、[概要] ページから [セキュリティ保護付き仮想ハブの表示] を選択します。

  4. [仮想ハブ] ページで、[セキュリティで保護された仮想ハブの新規作成] を選択します。

  5. [リソース グループ] で、 [fw-manager-rg] を選択します。

  6. [リージョン] で、自分のリージョンを選択します。

  7. セキュリティで保護された仮想ハブ名」には、「Hub-01」と入力します。

  8. [ハブ アドレス空間] に、「10.2.0.0/16」と入力します。

  9. [新しい vWAN] を選択します。

  10. [仮想 WAN 名] に、「Vwan-01」と入力します。

  11. [Next:Azure Firewall] を選択します。 セキュリティ保護付き仮想ハブの新規作成 - [基本] タブ

  12. Next: Security Partner Provider を選択します。

  13. Next: Review + create を選択します。

  14. [作成] を選択します

    [!NOTE]

    デプロイには最大 30 分かかることがあります。

    セキュリティ保護付き仮想ハブの新規作成 - [確認および作成] タブ

  15. デプロイが完了したら、Azure portal のホーム ページで [すべてのサービス] を選択します。

  16. 検索ボックスに「Firewall Manager」と入力し、表示されたら [Firewall Manager] を選択します。

  17. [Firewall Manager] ページで、[仮想ハブ] を選択します。

  18. [Hub-01] を選択します。

  19. [パブリック IP 構成] を選択します。

  20. 後で使用するので、パブリック IP アドレス (例: 51.143.226.18) を記録しておきます。

タスク 3: ハブとスポークの仮想ネットワークを接続する

このタスクでは、ハブとスポークの仮想ネットワークを接続します。 これは、一般にピアリングとして知られています。

  1. Azure portal のホーム ページで、[リソース グループ] を選択します。

  2. [fw-manager-rg] リソース グループを選択してから、 [Vwan-01] 仮想 WAN を選択します。

  3. [接続] で、 [仮想ネットワーク接続] を選択します。

  4. [接続の追加] を選択します。

  5. [接続名] に「hub-spoke-01」と入力します。

  6. [ハブ] で、 [Hub-01] を選択します。

  7. [リソース グループ] で、 [fw-manager-rg] を選択します。

  8. [仮想ネットワーク] で、 [Spoke-01] を選択します。

  9. [作成] を選択します 仮想 WAN へのハブとスポークの接続の追加 - スポーク 1

  10. 上記のステップ 4 から 9 を繰り返して、別の同様の接続を作成します。ただし、Spoke-02 仮想ネットワークの接続には hub-spoke-02 という接続名を使用します。

    仮想 WAN へのハブとスポークの接続の追加 - スポーク 2

タスク 4: サーバーをデプロイする

  1. Azure portal で、右上の [Cloud Shell] アイコンを選択します。 必要に応じて、シェルを構成します。
    • [PowerShell] を選択します。
    • [ストレージ アカウントは必要ありません][サブスクリプション] を選択してから、[適用] を選択します。
    • ターミナルが作成され、プロンプトが表示されるまで待ちます。

  2. Cloud Shell 画面のツール バーで、[ファイルの管理] アイコンを選択し、ドロップダウン メニューで [アップロード] を選択して、FirewallManager.json ファイルと FirewallManager.parameters.json ファイルを、ソース フォルダー F:\Allfiles\Exercises\M06 から Cloud Shell のホーム ディレクトリに 1 つずつアップロードします。

  3. 次の ARM テンプレートをデプロイして、この演習に必要な VM を作成します。

    : 管理者パスワードを入力するように求められます。

    $RGName = "fw-manager-rg"
   
New-AzResourceGroupDeployment -ResourceGroupName $RGName -TemplateFile FirewallManager.json -TemplateParameterFile FirewallManager.parameters.json

  4. デプロイが完了したら、Azure portal のホーム ページに移動し、[仮想マシン] を選択します。

  5. Srv-workload-01[概要] ページの右側のペインで、[ネットワーク] セクションの下にある [プライベート IP アドレス] (例: 10.0.1.4) を記録しておきます。

  6. Srv-workload-02[概要] ページの右側のペインで、[ネットワーク] セクションの下にある [プライベート IP アドレス] (例: 10.1.1.4) を記録しておきます。

タスク 5: ファイアウォール ポリシーを作成してハブをセキュリティ保護する

このタスクでは、最初にファイアウォール ポリシーを作成した後、ハブをセキュリティで保護します。 このファイアウォール ポリシーでは、1 つまたは複数のセキュリティ保護付き仮想ハブでトラフィックを転送する規則のコレクションを定義します。

  1. Azure portal のホーム ページで、[Firewall Manager] を選択します。
    • ホーム ページに Firewall Manager アイコンが表示されない場合は、[すべてのサービス] を選択します。 次に、検索ボックスに「Firewall Manager」と入力し、表示されたら [Firewall Manager] を選択します。

  2. [Firewall Manager] ページで、[概要] ページから View Azure Firewall Policies を選択します。

  3. [Azure ファイアウォール ポリシーの作成] を選択します。

  4. [リソース グループ] で、 [fw-manager-rg] を選択します。

  5. [ポリシーの詳細] で、[名前] に「Policy-01」と入力します。

  6. [リージョン] で、自分のリージョンを選択します。

  7. [ポリシー レベル][標準] を選びます。

  8. [次へ: DNS 設定] を選択します。

  9. [次へ: TLS 検査 (プレビュー)] を選択します。

  10. Next : Rules を選択します。

  11. [規則] タブで、 [規則コレクションの追加] を選択します。

  12. [規則コレクションの追加] ページの [名前] に「App-RC-01」と入力します。

  13. [規則コレクションの種類] で、 [アプリケーション] を選択します。

  14. [優先度] に「100」と入力します。

  15. [規則コレクション] アクション[許可] であることを確認します。

  16. [規則][名前] に「Allow-msft」と入力します。

  17. [接続元の種類] で、[IP アドレス] を選択します。

  18. [ソース] に「*」と入力します。

  19. [プロトコル] に「http,https」と入力します。

  20. [送信先の種類][FQDN] であることを確認します。

  21. [送信先] に「*.microsoft.com」と入力します。

  22. [追加] を選択します。

    ファイアウォール ポリシーにアプリケーション規則コレクションを追加します

  23. リモート デスクトップを Srv-workload-01 VM に接続できるように DNAT 規則を追加するには、[規則コレクションの追加] を選択します。

  24. [名前] に「dnat-rdp」と入力します。

  25. [規則コレクションの種類] で、 [DNAT] を選択します。

  26. [優先度] に「100」と入力します。

  27. [規則][名前] に「Allow-rdp」と入力します。

  28. [接続元の種類] で、[IP アドレス] を選択します。

  29. [送信元] に「*」と入力します。

  30. [プロトコル][TCP] を選択します。

  31. [宛先ポート] に「3389」と入力します。

  32. [送信先の種類][IP アドレス] を選択します。

  33. [ターゲット] に、前に記録しておいたファイアウォール仮想ハブのパブリック IP アドレス (例: 51.143.226.18) を入力します。

  34. [変換されたアドレス] に、前に記録しておいた Srv-workload-01 のプライベート IP アドレス (例: 10.0.1.4) を入力します。

  35. [変換されたポート] に「3389」と入力します。

  36. [追加] を選択します。

  37. Srv-workload-01 からのリモート デスクトップを Srv-workload-02 VM に接続できるようにネットワーク規則を追加するには、[規則コレクションの追加] を選択します。

  38. [名前] に「vnet-rdp」と入力します。

  39. [規則コレクションの種類] で、 [ネットワーク] を選択します。

  40. [優先度] に「100」と入力します。

  41. [規則コレクション アクション][許可] を選択します。

  42. [規則][名前] に「Allow-vnet」と入力します。

  43. [接続元の種類] で、[IP アドレス] を選択します。

  44. [送信元] に「*」と入力します。

  45. [プロトコル][TCP] を選択します。

  46. [宛先ポート] に「3389」と入力します。

  47. [送信先の種類][IP アドレス] を選択します。

  48. [送信先] に、前に記録しておいた Srv-workload-02 のプライベート IP アドレス (例: 10.1.1.4) を入力します。

  49. [追加] を選択します。

    ファイアウォール ポリシーの規則コレクションの一覧を表示します

  50. これで、3 つの規則コレクションが一覧に表示されるようになっているはずです。

  51. Review + create を選択します。

  52. [作成] を選択します

タスク 6: ファイアウォール ポリシーを関連付ける

このタスクでは、ファイアウォール ポリシーを仮想ハブと関連付けます。

  1. Azure portal のホーム ページで、[Firewall Manager] を選択します。
    • ホーム ページに Firewall Manager アイコンが表示されない場合は、[すべてのサービス] を選択します。 次に、検索ボックスに「Firewall Manager」と入力し、表示されたら [Firewall Manager] を選択します。

  2. [Firewall Manager][セキュリティ] で、 [Azure Firewall ポリシー] を選択します。

  3. Policy-01 のチェック ボックスをオンにします。

  4. Manage associations > [ハブの関連付け] を選択します。

  5. Hub-01 のチェック ボックスをオンにします。

  6. [追加] を選択します。

  7. ポリシーがアタッチされている場合は、[最新の情報に更新] を選択します。 関連付けが表示されるはずです。

ハブで関連付けられているファイアウォール ポリシーを表示します

タスク 7: トラフィックをハブにルーティングする

このタスクでは、ネットワーク トラフィックがファイアウォール経由でルーティングされることを確認します。

  1. [Firewall Manager][仮想ハブ] を選択します。
  2. [Hub-01] を選択します。
  3. [設定][セキュリティの構成] を選択します。
  4. [インターネット トラフィック] で、 [Azure Firewall] を選択します。
  5. [プライベート トラフィック] で、 [Azure Firewall 経由で送信する] を選択します。
  6. [保存] を選択します。
  7. これが完了するまでに数分かかります。
  8. 構成が完了したら、[インターネット トラフィック][プライベート トラフィック] で、どちらのハブ スポーク接続にも Secured by Azure Firewall と表示されていることを確認します。

タスク 8: アプリケーション規則をテストする

演習のこの部分では、リモート デスクトップをファイアウォールのパブリック IP アドレスに接続します。これは、Srv-Workload-01 にネットワーク アドレス変換されます。 その後、Web ブラウザーを使用してアプリケーション規則をテストし、リモート デスクトップを Srv-Workload-02 に接続してネットワーク規則をテストします。

このタスクでは、アプリケーション規則をテストして、期待したように動作することを確認します。

  1. お使いの PC で [リモート デスクトップ接続] を開きます。

  2. [コンピューター] ボックスに、ファイアウォールのパブリック IP アドレス (例: 51.143.226.18) を入力します。

  3. [オプションの表示] を選択します。

  4. [ユーザー名] ボックスに「TestUser」と入力します。

  5. [接続] を選択します。

    srv-workload-01 への RDP 接続

  6. [資格情報を入力してください] ダイアログ ボックスで、展開中に指定したパスワードを使用して、Srv-workload-01 サーバーの仮想マシンにログインします。

  7. [OK] を選択します。

  8. 証明書メッセージで [はい] を選択します。

  9. Internet Explorer を開き、[Internet Explorer 11 の設定] ダイアログ ボックスで [OK] を選択します。

  10. https:// **** を閲覧します。

  11. [セキュリティ アラート] ダイアログ ボックスで、 [OK] を選択します。

  12. Internet Explorer でセキュリティ アラートのポップアップが表示される場合は、[閉じる] を選択します。

  13. Microsoft のホーム ページが表示されるはずです。

    microsoft.com を参照している RDP セッション

  14. https:// **** を閲覧します。

  15. ファイアウォールによってブロックされます。

    google.com でブロックされている RDP セッション ブラウザー

  16. そのため、許可されている 1 つの FQDN には接続できますが、他のすべてからはブロックされることを確認しました。

タスク 9: ネットワーク規則をテストする

このタスクでは、ネットワーク規則をテストして、期待したように動作することを確認します。

  1. Srv-workload-01 RDP セッションにログインしている間に、このリモート コンピューターからリモート デスクトップ接続を開きます。

  2. [コンピューター] ボックスに Srv-workload-02プライベート IP アドレス (例: 10.1.1.4) を入力します。

  3. [資格情報を入力してください] ダイアログ ボックスで、展開中に指定したユーザー名 TestUser とパスワードを使用して、Srv-workload-02 サーバーにログインします。

  4. [OK] を選択します。

  5. 証明書メッセージで [はい] を選択します。

    srv-workload-01 の RDP セッションから srv-workload-02 上の別の RDP セッションへ

  6. そのため、あるサーバーのリモート デスクトップを別の仮想ネットワークにある別のサーバーに接続して、ファイアウォール ネットワーク規則が機能していることを確認しました。

  7. 両方の RDP セッションを閉じて切断します。

タスク 10: リソースをクリーンアップする

:新規に作成し、使用しなくなったすべての Azure リソースを削除することを忘れないでください。 使用していないリソースを削除することで、予期しない料金が発生しなくなります。

  1. Azure portal で、 [Cloud Shell] ペイン内に PowerShell セッションを開きます。

  2. 次のコマンドを実行して、このモジュールのラボ全体を通して作成したすべてのリソース グループを削除します。

    Remove-AzResourceGroup -Name 'fw-manager-rg' -Force -AsJob

    :このコマンドは非同期で実行されるため (-AsJob パラメーターによって決定されます)、同じ PowerShell セッション内で直後に別の PowerShell コマンドを実行できますが、リソース グループが実際に削除されるまでに数分かかります。