Sdílet prostřednictvím

Zabezpečení nasazení služby Azure Firewall pomocí služby Azure Policy

  • Článek

Azure Policy je služba v Azure, která umožňuje vytvářet, přiřazovat a spravovat zásady. Tyto zásady vynucují na vašich prostředcích různá pravidla a účinky, aby tyto prostředky zůstaly kompatibilní s vašimi firemními standardy a smlouvami o úrovni služeb. Azure Policy to dělá vyhodnocením toho, že vaše prostředky nedodržuje přiřazené zásady. Můžete mít například zásadu, která ve vašem prostředí povolí jenom určitou velikost virtuálních počítačů nebo vynucuje konkrétní značku prostředků.

Azure Policy se dá použít k řízení konfigurací služby Azure Firewall použitím zásad, které definují, které konfigurace jsou povolené nebo zakázané. To pomáhá zajistit, aby nastavení brány firewall odpovídalo požadavkům organizace na dodržování předpisů a osvědčeným postupům zabezpečení.

Požadavky

Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.

Dostupné zásady pro Azure Firewall

Pro Službu Azure Firewall jsou k dispozici následující zásady:

  • Povolení analýzy hrozeb ve službě Azure Firewall Policy

    Tato zásada zajišťuje, aby všechny konfigurace služby Azure Firewall bez povolených informací o hrozbách byly označeny jako nevyhovující.

  • Nasazení služby Azure Firewall napříč několika Zóny dostupnosti

    Zásady omezují nasazení služby Azure Firewall jenom s konfigurací více zón dostupnosti.

  • Upgrade služby Azure Firewall Standard na Premium

    Tato zásada doporučuje upgradovat Azure Firewall Standard na Premium, aby bylo možné použít všechny pokročilé funkce brány firewall verze Premium. Tím se dále zvyšuje zabezpečení sítě.

  • Služba Azure Firewall Policy Analytics by měla být povolená.

    Tato zásada zajišťuje, že je v bráně firewall povolená analýza zásad, aby bylo možné efektivně ladit a optimalizovat pravidla brány firewall.

  • Azure Firewall by měl povolit jenom šifrovaný provoz.

    Tato zásada analyzuje stávající pravidla a porty v zásadách brány firewall Azure a audituje zásady brány firewall, aby se zajistilo, že do prostředí je povolený jenom šifrovaný provoz.

  • Azure Firewall by měl mít povolený proxy server DNS.

    Tato zásada zajišťuje, že je v nasazeních služby Azure Firewall povolená funkce proxy serveru DNS.

  • Povolení ZPROSTŘEDKOVATELE IDENTITY ve službě Azure Firewall Premium Policy

    Tato zásada zajišťuje, že je funkce IDPS povolená v nasazeních služby Azure Firewall, aby bylo možné efektivně chránit prostředí před různými hrozbami a ohroženími zabezpečení.

  • Povolení kontroly protokolu TLS ve službě Azure Firewall Policy

    Tato zásada vyžaduje, aby kontrola protokolu TLS byla povolena k detekci, upozorňování a zmírnění škodlivých aktivit v provozu HTTPS.

  • Migrace z klasických pravidel služby Azure Firewall na zásady brány firewall

    Tato zásada doporučuje migraci z klasických pravidel brány firewall na zásady brány firewall.

  • Virtuální síť s konkrétní značkou musí mít nasazenou službu Azure Firewall.

    Tato zásada najde všechny virtuální sítě se zadanou značkou a zkontroluje, jestli je nasazená brána Azure Firewall, a označí ji jako nevyhovující, pokud žádná služba Azure Firewall neexistuje.

Následující kroky ukazují, jak můžete vytvořit službu Azure Policy, která vynucuje všechny zásady brány firewall, aby byla povolena funkce Analýza hrozeb (buď jenom výstraha, nebo upozornění a zamítnutí). Obor Azure Policy je nastavený na skupinu prostředků, kterou vytvoříte.

Vytvoření skupiny zdrojů

Tato skupina prostředků je nastavená jako obor služby Azure Policy a je tam, kde vytváříte zásady brány firewall.

  1. Na webu Azure Portal vyberte Vytvořit prostředek.
  2. Do vyhledávacího pole zadejte skupinu prostředků a stiskněte Enter.
  3. Ve výsledcích hledání vyberte skupinu prostředků.
  4. Vyberte Vytvořit.
  5. Vyberte své předplatné.
  6. Zadejte název skupiny prostředků.
  7. Vyberte oblast.
  8. Vyberte Další: Značky.
  9. Vyberte Další: Zkontrolovat a vytvořit.
  10. Vyberte Vytvořit.

Vytvoření služby Azure Policy

Teď ve vaší nové skupině prostředků vytvořte Azure Policy. Tato zásada zajišťuje, že všechny zásady brány firewall musí mít povolenou analýzu hrozeb.

  1. Na webu Azure Portal vyberte Všechny služby.
  2. Do pole filtru zadejte zásadu a stiskněte Enter.
  3. Ve výsledcích hledání vyberte zásadu .
  4. Na stránce Zásady vyberte Začínáme.
  5. V části Přiřadit zásady vyberte Zobrazit definice.
  6. Na stránce Definice zadejte do vyhledávacího pole bránu firewall.
  7. Vyberte zásady služby Azure Firewall, které by měly povolit analýzu hrozeb.
  8. Vyberte Přiřadit zásadu.
  9. V části Obor vyberte předplatné a novou skupinu prostředků.
  10. Zvolte Zvolit.
  11. Vyberte Další.
  12. Na stránce Parametry zrušte zaškrtnutí políčka Zobrazit pouze parametry, které potřebují zadat nebo zkontrolovat.
  13. V případě efektu vyberte Odepřít.
  14. Vyberte Zkontrolovat a vytvořit.
  15. Vyberte Vytvořit.

Vytvoření zásad brány firewall

Teď se pokusíte vytvořit zásadu brány firewall se zakázanými analýzami hrozeb.

  1. Na webu Azure Portal vyberte Vytvořit prostředek.
  2. Do vyhledávacího pole zadejte zásady brány firewall a stiskněte Enter.
  3. Ve výsledcích hledání vyberte zásady brány firewall.
  4. Vyberte Vytvořit.
  5. Vyberte své předplatné.
  6. V části Skupina prostředků vyberte skupinu prostředků, kterou jste vytvořili dříve.
  7. Do textového pole Název zadejte název zásady.
  8. Vyberte Další: Nastavení DNS.
  9. Pokračujte v výběru na stránku Analýza hrozeb.
  10. V případě režimu analýzy hrozeb vyberte Zakázáno.
  11. Vyberte Zkontrolovat a vytvořit.

Měla by se zobrazit chyba s informací, že zásady nepovolily váš prostředek. Tím se potvrdí, že služba Azure Policy nepovoluje zásady brány firewall, které mají zakázané analýzy hrozeb.

Související obsah