SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

SB C&S

【3分で分かるFortinet】【第13回】AzureへFortiAnalyzerのデプロイ

Fortinet
2020.09.30

皆さんこんにちは!SB C&Sで Fortinet 製品のプリセールスを担当している長谷川です。

Fortinet製品は、FortiGateを中心にFortiMailやFortiManagerなどの姉妹製品についてもクラウド環境へ導入することが可能です。

Azure環境へデプロイする方法として、リソースグループ、仮想ネットワーク、FortiAnalyzerなどのリソースのデプロイの3つの要素が必要となりますが、今回は、最低限の設定でBYOL版FortiAnalyzer-VMを、Azure環境へデプロイする方法を紹介いたします。

※前提条件として、Azureアカウントがあり、FortiAnalyzerのBYOL用ライセンスファイルを入手しているものとします。

リソースグループの作成

Azureの管理画面より、リソースグループを作成します。

リソースグループを押下します。

Resource pool (1).png

追加を押下します。

Resource pool (2).png

リソースグループ名を入力し、デプロイするリージョンを選択します。

Resource pool (3).png

リソースグループが作成できました。

Resource pool (4).png

Resource pool (5).png

仮想ネットワークの作成

トップ画面にリンクがないため、その他のサービスから仮想ネットワークを作成します。

vNetwork (1).png

仮想ネットワークを押下します。

vNetwork (2).png

前述で作成したリソースグループを割り当てます。

IPについては、グローバルIPを利用するため、直接利用することはありませんが、環境に合わせ指定します。

vNetwork (4).png

サブネット名やアドレス範囲を作成します。

vNetwork (5).png

vNetwork (6).png

vNetwork (7).png

仮想ネットワークが作成できました。

vNetwork (8).png

FortiAnalyzerのデプロイ

リソースの作成を押下します。

FAZ-Deploy (1).png

Fortinetと入力して、Fortinet製品でフィルタします。

FAZ-Deploy (2).png

FortiAnalyzer Centralized Log Analytics を選択します。

FAZ-Deploy (3).png

作成を押下し、デプロイ情報を入力していきます。

FAZ-Deploy (4).png

作成したリソースグループを適用し、FortiAnalyzerへ管理アクセスするユーザを指定します。

FortiAnalyzerのバージョンは、環境に合わせて指定します。

デプロイ後にバージョンのアップグレードについては、可能となっています。

FAZ-Deploy (11).png

作成した仮想ネットワークを適用します。

FAZ-Deploy (12).png

パブリックIPについては、契約状況に合わせて指定します。

動的IPを利用する場合は、グローバルIPが変わる可能性がありますので、DDNSなどを併用します。

FAZ-Deploy (13).png

FAZ-Deploy (14).png

FortiAnalyzerのデプロイが完了します。

FAZ-Deploy (15).png

Virtual MachiMachinesより、デプロイしたFortiAnalyzerを選択すると、パブリックIPアドレス(グローバルIP)が確認できるので、こちらをメモしておきます。

FAZ-Deploy (16).png

FortiAnalyzerのライセンスアクティベーション

販売店より入手済みのライセンスファイルをローカルPC上に用意しておきます。

FAZ-Setup (7).png

ブラウザを利用し、

https://[パブリックIPアドレス]

へアクセスを行います。

BYOL版のFortiAnalyzerでは、管理画面をログインする前に、ライセンスファイルのアップロードを行います。

FAZ-Setup (1).png

FAZ-Setup (2).png

しばらく待つと、ログイン画面が表示されるため、作成済みのアカウントでログインします。

FAZ-Setup (3).png

ログインができました。

FAZ-Setup (4).png

システム設定より、ファームウェアの更新が可能です。

※ファームウェアについては販売店より入手してください。

FAZ-Setup (5).png

FAZ-Setup (6).png

FortiGateのFortiAnalyzer設定

WebUIより、ログ&レポート >> ログ設定を展開し、リモートロギングとアーカイブから、Azure上のFortiAnalyzerのIPを指定します。

FortiGate-40F (1).png

FortiAnalyzerへ接続がうまくいくと、証明書のダウンロードが行われます。

シリアル番号があっているか確認し、許可を行います。

FortiGate-40F (2).png

FortiGate-40F (3).png

FortiAnalyzer側でFortiGateの許可

FortiGate側からログが送られても初期設定のFortiAnalyzerではFortiGateの登録は手動作業となります。

デバイスマネージャから未登録のFortiGateを登録します。

FAZ-Activate (1).png

FAZ-Activate (2).png

FAZ-Activate (3).png

FAZ-Activate (4).png

FAZ-Activate (5).png

オンプレミスのFortiGateと、Azure上のFortiAnalyzerの連携が完了しました。

FAZ-Activate (6).png

クラウド環境への利用が、今まで以上に拡大していくものと想定されます。

今回はAzureへの登録について実施してみましたが、初期設定ではセキュリティがあまり高くないため、ログインパスワードを強固にしたり、トラストホストの設定などを利用することを推奨いたします。

以上、ご拝読ありがとうございました。

著者紹介

SB C&S株式会社
技術統括部 第2技術部 1課
長谷川 聡