はじめに
Azure に FWaaS (FW as a Service) として、Cloud NGFWs by Palo Alto Networks がパブリック プレビューになりました。元々 NVA としては提供されていましたが、こちらで仮想マシンのメンテナンスが不要になります。早速デプロイしてみました。
デプロイ
Cloud NGFWs by Palo Alto Networks から [作成] をクリックします。
サブスクリプション、リソースグループ、リージョンを指定します。
デプロイする VNET、サブネット、パブリック IP、ソース NAT 設定を指定します。
Private Subnet = Trust Zone、Public Subnet = Untrust Zone ですかね。おそらく。
Panorama 持っていないので、Azure Portal Rulestack を使用します。
DNS Proxy を使用する場合は設定します。
規約に同意します。
作成をクリックします。
残念ながら、支払方法の登録がないためデプロイに失敗してしまいました。ステータスは Failed ですがリソースはデプロイされたので、設定項目だけ確認していきます。
なお、無償トライアルが可能なようです。
Cloud NGFW の設定を確認
Networking & NAT
SNAT や DNAT の設定ができる
Security Policies
Rulestack を変更できる
Log Settings
アクセス ログ関連と思われるが、Edit できない理由はよく分からず。
DNS Proxy
DNS Proxy の設定ができる
Rules
Rulestack の設定が表示される、こちらからは変更不可
New Support Request
記載の通り、フル機能を使う場合には Tenant ID を Palo Alto Networks Customer Support Portal に登録する必要あり
Rulestack の設定を確認
Rules
ファイアウォール ルールを設定
Destination に Application や URL Category を指定可能
Application 指定
かなりの数のアプリが指定できるが、検索できないのは辛い
Category 指定
こちらも Azure ファイアウォールより充実しているが、同じく検索はできない
Logging の指定やアクション (Deny だけではなく Drop や Reset も可能)
Security Services
IPS や Antivirus などのポリシー設定が可能、PaloAlto 側にテナント ID を登録しないと、Best Practice しか使えない模様
従来の PaloAlto のルールのように、ルールごとでセキュリティ機能の利用有無は設定できない
Prefix List / FQDN List
ルールの設定に使用可能なリストを定義
Certificates
TLS Inspection するための証明書を作成・登録できる
Deployment
Rulestack のデプロイ (PaloAlto でいう Commit と思われる)
まとめ
VM のメンテナンスや冗長性を考慮する必要がなくなる点は非常にありがたいですし、Azure ファイアウォールよりも機能が豊富である点も魅力的です。ただ操作面を考えるとどうしても 管理サーバである Panorama は必須かなと思います。(今後 Panorama も Azure ファイアウォールマネージャーのように SaaS として提供してくれることを期待)
参考
Discussion