Microsoft Azure は、プライベート Microsoft Hyper V ハイパーバイザを使用するパブリック クラウド環境です。ASAv は、Hyper V ハイパーバイザの Microsoft Azure 環境でゲストとして実行されます。Microsoft Azure の ASAv では、Standard D3 および Standard D3_v2 インスタンスがサポートされ、4 つの vCPU、14 GB、および 4 つのインターフェイスを使用できます。

次の方法で Microsoft Azure に ASAv を導入できます。

• 標準的な Azure パブリック クラウドおよび Azure Government 環境で、Azure Resource Manager を使用してスタンドアロン ファイアウォールとして導入

• Azure.com でアカウントを作成します。

  Microsoft Azure でアカウントを作成したら、ログインして、Microsoft Azure Marketplace 内で ASAv を選択し、ASAv を導入できます。

• ASAv へのライセンス付与。

  ASAv にライセンスを付与するまでは、100 回の接続と 100 Kbps のスループットのみが許可される縮退モードで実行されます。「Smart Software Licensing for the ASAv」を参照してください。

  （注）	Azure に導入する場合、ASAv にはデフォルトで ASAv30 の権限が付与されています。ASAv5、ASAv10、ASAv30、ASAv50、および ASAv100 の権限付与の使用が許可されています。ただし、ASAv5、ASAv10、ASAv30、ASAv50、および ASAv100 の権限付与を使用するためには、スループットレベルを明示的に設定する必要があります。

• インターフェイスの要件：

  4 つのネットワーク上の 4 つのインターフェイスとともに ASAv を導入する必要があります。任意のインターフェイスにパブリック IP アドレスを割り当てることができます。パブリック IP アドレスの作成、変更、削除など、パブリック IP に関する Azure のガイドラインについては、パブリック IP アドレス [英語] を参照してください。

• 管理インターフェイス：

  Azure では、最初に定義されたインターフェイスが常に管理インターフェイスです。そして、Azure パブリック IP アドレスを関連付けることができる唯一のインターフェイスです。このため、Azure 内の ASAv は管理インターフェイス上でのデータトラフィックの通過を許可します。そのため、管理インターフェイスの初期設定には、[management-only] の設定は含まれていません。

• 通信パス：

  • 管理インターフェイス：SSH アクセス、および ASAv を ASDM に接続するために使用されます。

  • 内部インターフェイス（必須）：内部ホストに ASAv を接続するために使用されます。

  • 外部インターフェイス（必須）：ASAv をパブリック ネットワークに接続するために使用されます。

  • DMZ インターフェイス（任意）：Standard_D3 インターフェイスを使用する場合に、ASAv を DMZ ネットワークに接続するために使用されます。

• ASAv ハイパーバイザおよび仮想プラットフォームのサポート情報については、Cisco ASA の互換性 [英語] を参照してください。

サポートされる機能

• Microsoft Azure クラウドからの導入

• 選択したインスタンスタイプに基づく最大 16 個の vCPU

  （注）	Azure では L2 vSwitch 機能は設定できません。

• インターフェイスのパブリック IP アドレス

  任意のインターフェイスにパブリック IP アドレスを割り当てることができます。パブリック IP アドレスの作成、変更、削除など、パブリック IP に関する Azure のガイドラインについては、パブリック IP アドレス [英語] を参照してください。

• ルーテッド ファイアウォール モード（デフォルト）

  （注）	ルーテッド ファイアウォール モードでは、ASAv はネットワーク内の従来のレイヤ 3 境界となります。このモードには、各インターフェイスの IP アドレスが必要です。Azure は VLAN タグ付きインターフェイスをサポートしていないため、IP アドレスはタグなしのトランク以外のインターフェイスで設定する必要があります。

既知の問題

アイドル タイムアウト

Azure 上の ASAv には、VM で設定可能なアイドルタイムアウトがあります。最小設定値は 4 分、最大設定値は 30 分です。ただし、SSH セッションでは最小設定値は 5 分、最大設定値は 60 分です。

（注）	ASAv のアイドルタイムアウトにより、SSH タイムアウトは常に上書きされ、セッションが切断されることに注意してください。セッションがどちらの側からもタイムアウトしないように、VM のアイドルタイムアウトを SSH タイムアウトに合わせることができます。

プライマリ ASAv からスタンバイ ASAv へのフェールオーバー

Azure での ASAv HA 導入で Azure のアップグレードが発生すると、プライマリ ASAv からスタンバイ ASAv へのフェールオーバーが発生する場合があります。Azure のアップグレードにより、プライマリ ASAv が一時停止状態になります。プライマリ ASAv が一時停止している場合、スタンバイ ASAv は hello パケットを受信しません。スタンバイ ASAv がフェールオーバーホールド時間を経過しても hello パケットを受信しない場合、スタンバイ ASAv へのフェールオーバーが発生します。

また、フェールオーバーホールド時間を経過していなくてもフェールオーバーが発生する可能性があります。プライマリ ASAv が一時停止状態に入ってから 19 秒後に再開するシナリオを考えてみましょう。フェールオーバーホールド時間は 30 秒ですが、クロックは約 2 分ごとに同期されるため、スタンバイ ASAv は正しいタイムスタンプの hello パケットを受信しません。その結果、プライマリ ASAv からスタンバイ ASAv へのフェールオーバーが発生します。

（注）	この機能は IPv4 のみをサポートし、ASA Virtual HA は IPv6 設定ではサポートされません。

サポートされない機能

• コンソール アクセス（管理は、ネットワーク インターフェイスを介して SSH または ASDM を使用して実行される）

• ユーザー インスタンス インターフェイスの VLAN タギング

• ジャンボ フレーム

• Azure の観点からの、デバイスが所有していない IP アドレスのプロキシ ARP

• 無差別モード（スニファなし、またはトランスペアレント モードのファイアウォールのサポート）

  （注）	Azure ポリシーでは、インターフェイスは無差別モードでは動作できないため、ASAv はトランスペアレント ファイアウォール モードでは動作しません。

• マルチ コンテキスト モード

• クラスタ

• ASAv ネイティブ HA。

  （注）	ステートレスのアクティブ/バックアップ高可用性（HA）設定で ASAv を Azure に展開できます。

• VM のインポート/エクスポート

• デフォルトでは、Azureクラウド内で稼働する ASAv の FIPS モードは無効になっています。

  （注）	FIPS モードを有効にする場合は、ssh key-exchange group dh-group14-sha1 コマンドを使用して、Diffie-Helman キー交換グループをより強力なキーに変更する必要があります。Diffie-Helman グループを変更しないと、ASAv に SSH 接続できなくなるため、グループの変更が、最初に ASAv を管理する唯一の方法です。

• IPv6

Azure DDoS Protection 機能

Microsoft Azure の Azure DDoS Protection は、ASAv の最前線に実装された追加機能です。仮想ネットワークでこの機能を有効にすると、ネットワークで予想されるトラフィックの 1 秒あたりのパケット数に応じて、一般的なネットワーク層攻撃からアプリケーションを保護するのに役立ちます。この機能は、ネットワーク トラフィック パターンに基づいてカスタマイズできます。

Azure DDoS Protection 機能の詳細については、『Azure DDoS Protection Standard overview』[英語] を参照してください。

Azure に ASAv を展開すると、次のリソースが作成されます。

• ASAv マシン

• リソース グループ（既存のリソース グループを選択していない場合）

  ASAv リソースグループは、仮想ネットワークとストレージアカウントで使用するリソースグループと同じである必要があります。

• vm name-Nic0、vm name-Nic1、vm name-Nic2、vm name-Nic3 という名前の 4 つの NIC

  これらの NIC は、それぞれ ASAv インターフェイスの Management 0/0、GigabitEthernet 0/0、GigabitEthernet 0/1、および GigabitEthernet 0/2 にマッピングされます。

  （注）	要件に基づいて、IPv4 のみで VNet を作成できます。

• VM 名-SSH-SecurityGroup という名前のセキュリティ グループ

  セキュリティグループは、ASAv Management 0/0 にマッピングされる VM の Nic0 にアタッチされます。

  セキュリティ グループには、VPN 目的で SSH、UDP ポート 500、および UDP 4500 を許可するルールが含まれます。導入後に、これらの値を変更できます。

• パブリック IP アドレス（展開時に選択した値に従って命名）。

  パブリック IP アドレス（IPv4 のみ）。

  任意のインターフェイスにパブリック IP アドレスを割り当てることができます。パブリック IP アドレスの作成、変更、削除など、パブリック IP に関する Azure のガイドラインについては、「パブリック IP アドレス」を参照してください。

• 4 つのサブネットを備えた仮想ネットワーク（既存のネットワークを選択していない場合）

• サブネットごとのルーティング テーブル（既存の場合は最新のもの）

  このテーブルの名前は、サブネット名-ASAv-RouteTable です。

  各ルーティングテーブルには、ASAv IP アドレスを持つ他の 3 つのサブネットへのルートがネクストホップとして含まれています。トラフィックを他のサブネットまたはインターネットに到達させる必要がある場合は、デフォルトルートを追加することもできます。

• 選択したストレージアカウントの起動時診断ファイル

  起動時診断ファイルは、ブロブ（サイズの大きいバイナリオブジェクト）内に配置されます。

• 選択したストレージ アカウントのブロブおよびコンテナ VHD にある 2 つのファイル（名前は、vm name-disk.vhd および vm name-<uuid>.status）

• ストレージアカウント（既存のストレージアカウントが選択されていない場合）

  （注）	VM を削除すると、保持を希望する任意のリソースを除き、これらの各リソースを個別に削除する必要があります。

Azure 仮想ネットワークでのルーティングは、仮想ネットワークの有効なルーティング テーブルによって決まります。有効なルーティング テーブルは、既存のシステム ルーティング テーブルとユーザー定義のルーティング テーブルの組み合わせです。

（注）	ASAv では、Azure クラウドルーティングの特性により、EIGRP や OSPF などのダイナミックな内部ルーティングプロトコルを使用できません。有効なルーティング テーブルは、仮想クライアントにスタティック/ダイナミック ルートが設定されているかどうかに関係なく、ネクスト ホップを決定します。 現在、有効なルーティング テーブルまたはシステム ルーティング テーブルはどちらも表示できません。

ユーザー定義のルーティング テーブルは表示および編集できます。システム テーブルとユーザー定義のテーブルを組み合わせて有効なルーティング テーブルを形成した場合、最も限定的なルート（同位のものを含め）がユーザー定義のルーティング テーブルに含められます。システム ルーティング テーブルには、Azure の仮想ネットワーク インターネット ゲートウェイを指すデフォルト ルート（0.0.0.0/0）が含まれます。また、システム ルーティング テーブルには、Azure の仮想ネットワーク インフラストラクチャ ゲートウェイを指すネクスト ホップとともに、他の定義済みのサブネットへの限定的なルートが含まれます。

ASAv を介してトラフィックをルーティングするために、ASAv 導入プロセスで、ASAv をネクストホップとして使用する他の 3 つのサブネットへのルートが各サブネットに追加されます。サブネット上の ASAv インターフェイスを指すデフォルトルート（0.0.0.0/0）を追加することもできます。これで、サブネットからのトラフィックはすべて ASAv を介して送信されますが、場合によっては、トラフィックを処理する前に、ASAv ポリシーを設定する必要があります（通常は NAT/PAT を使用）。

システム ルーティング テーブル内の既存の限定的なルートのために、ユーザー定義のルーティングテーブルに、ネクストホップとして ASAv を指す限定的なルートを追加する必要があります。追加しないと、ユーザー定義のテーブル内のデフォルトルートではなく、システム ルーティング テーブル内のより限定的なルートが選択され、トラフィックは ASAv をバイパスします。

Azure 仮想ネットワーク内のルーティングは、クライアントの特定なゲートウェイ設定ではなく、有効なルーティング テーブルに依存します。仮想ネットワーク内で稼働するクライアントは、DHCPによって、それぞれのサブネット上の 1 アドレスとなるルートを指定されることがあります。これはプレースホルダで、仮想ネットワークのインフラストラクチャ仮想ゲートウェイにパケットを送信するためにだけ使用されます。パケットは、VM から送信されると、有効なルーティング テーブル（ユーザー定義のテーブルによって変更された）に従ってルーティングされます。有効なルーティング テーブルは、クライアントでゲートウェイが 1 として、または ASAv アドレスとして設定されているかどうかに関係なく、ネクストホップを決定します。

Azure VM ARP テーブルには、すべての既知のホストに対して同じ MAC アドレス（1234.5678.9abc）が表示されます。これによって、Azure VM からのすべてのパケットが、有効なルーティング テーブルを使用してパケットのパスを決定する Azure ゲートウェイに到達するように保証されます。

（注）	ASAv では、Azure クラウドルーティングの特性により、EIGRP や OSPF などのダイナミックな内部ルーティングプロトコルを使用できません。有効なルーティング テーブルは、仮想クライアントにスタティック/ダイナミック ルートが設定されているかどうかに関係なく、ネクスト ホップを決定します。

次の情報は Azure の IP アドレスに適用されます。

• ASAv インターフェイスの IP アドレスを設定するには、DHCP を使用する必要があります。

  Azure インフラストラクチャは、Azure に設定された IP アドレスが確実に ASAv インターフェイスに割り当てられるように動作します。

• Management 0/0 には、それが接続されているサブネット内のプライベート IP アドレスが割り当てられます。

  パブリック IP アドレスは、プライベート IP アドレスに関連付けられる場合があり、Azure インターネット ゲートウェイは NAT 変換を処理します。

• 任意のインターフェイスにパブリック IP アドレスを割り当てることができます。

• ダイナミック パブリック IP アドレスは Azure の停止/開始サイクル中に変更される場合があります。ただし、Azure の再起動時および ASAv のリロード時には、パブリック IP アドレスは保持されます。

• スタティック パブリック IP アドレスは Azure 内でそれらを変更するまで変わりません。

すべての Azure 仮想ネットワークが、次のように使用できる 168.63.129.16 で、組み込みの DNS サーバーにアクセスできます。

configure terminal
dns domain-lookup management
dns server-group DefaultDNS
 name-server 168.63.129.16
end

この構成は、Smart Licensing を設定し、専用の DNS サーバーをセットアップしていない場合に使用できます。

Microsoft Azure に ASAv を導入できます。

• 標準的な Azure パブリッククラウドおよび Azure Government 環境で、Azure Resource Manager を使用してスタンドアロン ファイアウォールとして ASAv を導入します。「Azure Resource Manager からの ASAv の導入」を参照してください。