Sdílet prostřednictvím


Perspektiva architektury s dobře navrženou architekturou Azure ve službě Azure Firewall

Azure Firewall je cloudová nativní a inteligentní služba zabezpečení brány firewall sítě, která poskytuje nejlepší ochranu před hrozbami pro vaše cloudové úlohy, které běží v Azure. Jedná se o plně stavovou službu spravované brány firewall, která má integrovanou vysokou dostupnost a neomezenou cloudovou škálovatelnost. Azure Firewall poskytuje kontrolu provozu mezi východem a západem i severojižní kontrolou provozu.

Tento článek předpokládá, že jako architekt jste si prostudovali možnosti zabezpečení virtuální sítě a jako službu zabezpečení sítě pro vaši úlohu zvolili službu Azure Firewall. Pokyny v tomto článku poskytují doporučení architektury, která jsou namapovaná na principy pilířů architektury Azure Well-Architected Framework.

Důležité

Jak používat tohoto průvodce

Každá část obsahuje kontrolní seznam návrhu, který představuje oblasti zájmu architektury spolu se strategiemi návrhu lokalizovanými do oboru technologie.

Zahrnuté jsou také doporučení týkající se technologických možností, které můžou pomoct tyto strategie materializovat. Doporučení nepředstavují vyčerpávající seznam všech konfigurací dostupných pro službu Azure Firewall a její závislosti. Místo toho zobrazí seznam klíčových doporučení mapovaných na perspektivy návrhu. Pomocí doporučení můžete vytvořit testování konceptu nebo optimalizovat vaše stávající prostředí.

Základní architektura, která demonstruje klíčová doporučení: hvězdicová síťová topologie v Azure

Rozsah technologií

Tato kontrola se zaměřuje na vzájemně nesouvisející rozhodnutí pro následující prostředky Azure:

  • Azure Firewall
  • Azure Firewall Manager

Spolehlivost

Účelem pilíře spolehlivosti je poskytovat nepřetržitou funkčnost tím, že vytváří dostatečnou odolnost a schopnost rychle se zotavit ze selhání.

Principy návrhu spolehlivosti poskytují strategii návrhu vysoké úrovně použité pro jednotlivé komponenty, systémové toky a systém jako celek.

Kontrolní seznam návrhu

Zahajte strategii návrhu na základě kontrolního seznamu pro kontrolu návrhu pro spolehlivost. Určete její význam pro vaše obchodní požadavky a přitom mějte na paměti zásady a typ architektury, kterou používáte. Rozšiřte strategii tak, aby podle potřeby zahrnovala více přístupů.

  • Projděte si seznam známých problémů se službou Azure Firewall. Produkty Azure Firewall udržují aktualizovaný seznam známých problémů. Tento seznam obsahuje důležité informace o chování při návrhu, opravách při konstrukci, omezeních platformy a možných alternativních řešeních nebo strategiích pro zmírnění rizik.

  • Ujistěte se, že zásady služby Azure Firewall dodržují limity a doporučení služby Azure Firewall. Struktura zásad má omezení, včetně počtu pravidel a skupin kolekcí pravidel, celkové velikosti zásad, zdrojových cílů a cílových cílů. Nezapomeňte vytvořit zásadu a zůstat pod zdokumentovanými prahovými hodnotami.

  • Nasazení služby Azure Firewall napříč několika zónami dostupnosti pro vyšší smlouvu o úrovni služeb (SLA). Azure Firewall poskytuje různé smlouvy SLA v závislosti na tom, jestli službu nasadíte v jedné zóně dostupnosti nebo v několika zónách. Další informace najdete v tématu Smlouvy SLA pro online služby.

  • Nasaďte instanci služby Azure Firewall v každé oblasti v prostředích s více oblastmi. Informace o tradičních hvězdicových architekturách najdete v tématu Aspekty více oblastí. Pro zabezpečená centra Azure Virtual WAN nakonfigurujte záměr směrování a zásady pro zabezpečení komunikace mezi centry a pobočkami. V případě úloh odolných proti chybám a odolným proti chybám zvažte instance služby Azure Firewall a služby Azure Virtual Network jako regionální prostředky.

  • Monitorujte metriky služby Azure Firewall a stav prostředku. Azure Firewall se integruje se službou Azure Resource Health. Pomocí kontroly služby Resource Health zobrazte stav služby Azure Firewall a vyřešte problémy se službami, které můžou ovlivnit váš prostředek služby Azure Firewall.

  • Nasaďte službu Azure Firewall ve virtuálních sítích centra centra nebo jako součást center Virtual WAN.

Poznámka:

Dostupnost síťových služeb se liší od tradičního hvězdicového modelu a modelu zabezpečených center spravovaných službou Virtual WAN. Například v centru Virtual WAN nemůže veřejná IP adresa služby Azure Firewall pocházet z předpony veřejné IP adresy a nemůže mít povolenou službu Azure DDoS Protection. Při výběru modelu zvažte své požadavky ve všech pěti pilířích dobře architektuře.

Doporučení

Doporučení Výhoda
Nasaďte Službu Azure Firewall napříč několika zónami dostupnosti. Nasaďte službu Azure Firewall napříč několika zónami dostupnosti, abyste zachovali určitou úroveň odolnosti. Pokud dojde k výpadku jedné zóny, bude dál obsluhovat provoz jiná zóna.
Monitorujte metriky služby Azure Firewall v pracovním prostoru služby Log Analytics. Pečlivě monitorujte metriky, které označují stav služby Azure Firewall, jako je propustnost, stav brány firewall, využití portů SNAT a metriky sondy latence AZFW.

Pomocí služby Azure Service Health můžete monitorovat stav služby Azure Firewall.
Monitorujte metriky prostředků a stav služby, abyste mohli zjistit, kdy se stav služby sníží, a přijmout proaktivní opatření, abyste zabránili selháním.

Zabezpečení

Účelem pilíře zabezpečení je poskytnout úlohu záruky důvěrnosti, integrity a dostupnosti .

Principy návrhu zabezpečení poskytují strategii návrhu vysoké úrovně pro dosažení těchto cílů použitím přístupů k technickému návrhu služby Azure Firewall.

Kontrolní seznam návrhu

Zahajte strategii návrhu na základě kontrolního seznamu pro kontrolu návrhu zabezpečení. Identifikujte ohrožení zabezpečení a kontrolní mechanismy, abyste zlepšili stav zabezpečení. Rozšiřte strategii tak, aby podle potřeby zahrnovala více přístupů.

  • Posílat veškerý internetový provoz z vaší úlohy přes bránu firewall nebo síťové virtuální zařízení (NVA) za účelem zjištění a blokování hrozeb. Nakonfigurujte trasy definované uživatelem tak, aby vynutily provoz přes Azure Firewall. U webového provozu zvažte použití služby Azure Firewall jako explicitního proxy serveru.

    Pokud chcete tyto poskytovatele použít k ochraně odchozích připojení, nakonfigurujte v rámci Správce brány firewall podporovaného partnerského softwaru jako služby (SaaS).

    Omezte využití veřejných IP adres , které jsou přímo svázané s virtuálními počítači, aby provoz nemohl obejít bránu firewall. Model architektury přechodu na cloud Azure přiřadí konkrétní zásady Azure skupině pro správu CORP.

    Pokud vaše potřeby zabezpečení vyžadují implementaci nulová důvěra (Zero Trust) pro webové aplikace, jako je přidání kontroly a šifrování, postupujte podle nulová důvěra (Zero Trust) průvodce konfigurací služby Azure Firewall a Application Gateway. Podle této příručky můžete integrovat Azure Firewall a Application Gateway pro tradiční scénáře hvězdicové i virtuální sítě WAN.

    Další informace najdete v tématu Použití bran firewall na hraničních zařízeních.

  • Vytvořte hraniční sítě jako součást strategie segmentace úloh za účelem řízení poloměru výbuchu, obfuskace prostředků úloh a blokování neočekávaného, zakázaného a nebezpečného přístupu. Vytvořte pravidla pro zásady služby Azure Firewall na základě kritérií přístupu s nejnižšími oprávněními.

    Při konfiguraci služby Azure Firewall v režimu vynuceného tunelování nastavte veřejnou IP adresu na Hodnotu Žádná . Tento přístup se nevztahuje na Virtual WAN.

    Při definování pravidel sítě pro zjednodušení správy používejte plně kvalifikované názvy domén a značky služeb.

  • Pomocí mechanismů detekce pečlivě monitorujte hrozby a známky zneužití. Využijte mechanismy a míry detekce poskytované platformou. Povolte systém detekce a prevence neoprávněných vniknutí (IDPS). Přidružte plán služby Azure DDoS Protection k virtuální síti centra.

    Další informace naleznete v tématu Zjišťování zneužití.

Doporučení

Doporučení Výhoda
Pokud potřebujete směrovat veškerý internetový provoz do určeného dalšího segmentu směrování místo přímo na internet, nakonfigurujte azure Firewall v režimu vynuceného tunelování. Toto doporučení se nevztahuje na Virtual WAN.

Služba Azure Firewall musí mít přímé připojení k internetu. Pokud se ve vaší službě AzureFirewallSubnet dozvíte výchozí trasu do vaší místní sítě přes protokol Border Gateway Protocol, musíte nakonfigurovat bránu Azure Firewall v režimu vynuceného tunelování. Pomocí funkce vynuceného tunelování můžete přidat další adresní prostor /26 pro podsíť správy brány Azure Firewall. Pojmenujte podsíť AzureFirewallManagementSubnet. Pokud máte existující instanci služby Azure Firewall, kterou nemůžete překonfigurovat v režimu vynuceného tunelování, vytvořte trasu definovanou uživatelem s trasou 0.0.0.0/0. Nastavte hodnotu NextHopType na Internet. Pokud chcete zachovat připojení k internetu, přidružte trasu definovanou uživatelem k AzureFirewallSubnetu.

Při konfiguraci služby Azure Firewall v režimu vynuceného tunelování nastavte veřejnou IP adresu na Hodnotu Žádná . Ale rovina správy stále vyžaduje veřejnou IP adresu pouze pro účely správy. Interní provoz z virtuálních a místních sítí nepoužívá tuto veřejnou IP adresu.
Použijte vynucené tunelování, abyste prostředky Azure nezpřístupnili přímo na internetu. Tento přístup snižuje prostor pro útok a minimalizuje riziko externích hrozeb. Pokud chcete vynutit podnikové zásady a požadavky na dodržování předpisů efektivněji, směrujte veškerý provoz směřující na internet přes místní bránu firewall nebo síťové virtuální zařízení.
Vytvořte pravidla pro zásady brány firewall v hierarchické struktuře pro překrytí centrálních základních zásad. Další informace najdete v tématu Použití zásad služby Azure Firewall ke zpracování pravidel.

Vytvoření pravidel na základě zásad přístupu s nejnižšími oprávněními nulová důvěra (Zero Trust)
Uspořádejte pravidla v hierarchické struktuře, aby podrobné zásady mohly splňovat požadavky konkrétních oblastí. Každá zásada může obsahovat různé sady pravidel pro překlad adres cílové sítě (DNAT), sítě a aplikace, která mají specifické priority, akce a zpracování objednávek.
Nakonfigurujte podporované poskytovatele partnerů zabezpečení v rámci Firewall Manageru pro ochranu odchozích připojení.

Tento scénář vyžaduje virtual WAN s bránou S2S VPN v centru, protože k připojení k infrastruktuře poskytovatele používá tunel IPsec. Poskytovatelé spravovaných služeb zabezpečení můžou účtovat další poplatky za licence a omezit propustnost připojení IPsec. Můžete také použít alternativní řešení, jako je Zscaler Cloud Connector.
Umožněte poskytovatelům partnerů zabezpečení ve službě Azure Firewall využívat nejlepší nabídky cloudového zabezpečení, které poskytují pokročilou ochranu internetového provozu. Tito poskytovatelé nabízejí specializované funkce filtrování s podporou uživatelů a komplexní možnosti detekce hrozeb, které zlepšují celkový stav zabezpečení.
Povolte konfiguraci proxy serveru DNS služby Azure Firewall.

Nakonfigurujte také službu Azure Firewall tak, aby pro předávání dotazů DNS používala vlastní DNS.
Tuto funkci povolte, aby klienti ve virtuálních sítích odkazovat na Službu Azure Firewall jako server DNS. Tato funkce chrání interní infrastrukturu DNS, která není přímo přístupná a vystavená.
Nakonfigurujte trasy definované uživatelem tak, aby vynutily provoz prostřednictvím služby Azure Firewall v tradiční hvězdicové architektuře pro paprskové a paprskové připojení mezi paprsky a hybridní připojení.

Ve službě Virtual WAN nakonfigurujte záměr směrování a zásady pro přesměrování privátního provozu nebo internetového provozu prostřednictvím instance služby Azure Firewall, která je integrovaná do centra.

Pokud nemůžete použít trasu definovanou uživatelem a potřebujete jenom přesměrování webového provozu, použijte azure Firewall jako explicitní proxy server na odchozí cestě. Nastavení proxy serveru můžete nakonfigurovat v odesílající aplikaci, jako je webový prohlížeč, při konfiguraci služby Azure Firewall jako proxy serveru.
Odesílání provozu přes bránu firewall za účelem kontroly provozu a pomoc s identifikací a blokováním škodlivého provozu

Azure Firewall použijte jako explicitní proxy server pro odchozí provoz, aby webový provoz dosáhl privátní IP adresy brány firewall, a proto výchozí přenos dat přímo z brány firewall bez použití trasy definované uživatelem. Tato funkce také usnadňuje použití více bran firewall beze změny stávajících síťových tras.
Použijte filtrování plně kvalifikovaného názvu domény v pravidlech sítě. Musíte povolit konfiguraci proxy serveru DNS služby Azure Firewall, aby používala plně kvalifikované názvy domén ve vašich pravidlech sítě. V pravidlech sítě služby Azure Firewall používejte plně kvalifikované názvy domén, aby správci mohli spravovat názvy domén místo několika IP adres, což zjednodušuje správu. Toto dynamické řešení zajišťuje, aby se pravidla brány firewall automaticky aktualizovala při změně IP adres domény.
Pomocí značek služeb Azure Firewall místo konkrétních IP adres můžete poskytovat selektivní přístup ke konkrétním službám v Azure, Microsoft Dynamics 365 a Microsoftu 365. Značky služeb používejte v pravidlech sítě, abyste mohli definovat řízení přístupu na základě názvů služeb místo konkrétních IP adres, což zjednodušuje správu zabezpečení. Microsoft tyto značky spravuje a aktualizuje automaticky při změně IP adres. Tato metoda zajišťuje, že pravidla brány firewall zůstanou přesná a efektivní bez ručního zásahu.
Pomocí značek plně kvalifikovaného názvu domény v pravidlech aplikace můžete poskytovat selektivní přístup ke konkrétním služby Microsoft.

Pomocí značky plně kvalifikovaného názvu domény v pravidlech aplikací můžete povolit požadovaný odchozí síťový provoz přes bránu firewall pro konkrétní služby Azure, jako jsou Microsoft 365, Windows 365 a Microsoft Intune.
Značky plně kvalifikovaného názvu domény v pravidlech aplikace služby Azure Firewall představují skupinu plně kvalifikovaných názvů domén přidružených k dobře známým služby Microsoft. Tato metoda zjednodušuje správu pravidel zabezpečení sítě.
Povolení analýzy hrozeb ve službě Azure Firewall v režimu upozornění a zamítnutí Využijte analýzu hrozeb k zajištění ochrany před vznikajícími hrozbami v reálném čase, což snižuje riziko kybernetických útoků. Tato funkce používá informační kanál Microsoftu pro analýzu hrozeb k automatickému upozorňování a blokování provozu ze známých škodlivých IP adres, domén a adres URL.
Povolte IDPS v režimu výstrahy nebo výstrahy a zamítnutí. Zvažte dopad této funkce na výkon. Povolení filtrování IDPS ve službě Azure Firewall poskytuje monitorování a analýzu síťového provozu v reálném čase za účelem detekce a prevence škodlivých aktivit. Tato funkce používá detekci založenou na podpisech k rychlé identifikaci známých hrozeb a jejich blokování před tím, než způsobí škodu.

Další informace naleznete v tématu Zjišťování zneužití.
K vygenerování certifikátů při kontrole protokolu TLS se službou Azure Firewall Premium použijte interní certifikační autoritu (CA). Certifikáty podepsané svým držitelem používejte jenom pro účely testování a testování konceptu (PoC). Povolte kontrolu protokolu TLS, aby služba Azure Firewall Premium ukončila a kontroluje připojení TLS, aby zjistila, upozorňovala a zmírňovala škodlivou aktivitu v protokolu HTTPS.
Pomocí Správce brány firewall vytvořte a přidružte plán služby Azure DDoS Protection k virtuální síti centra. Tento přístup se nevztahuje na Virtual WAN. Nakonfigurujte plán služby Azure DDoS Protection, abyste mohli centrálně spravovat ochranu před útoky DDoS společně se zásadami brány firewall. Tento přístup zjednodušuje správu zabezpečení sítě a zjednodušuje nasazování a monitorování procesů.

Optimalizace nákladů

Optimalizace nákladů se zaměřuje na zjišťování vzorců výdajů, stanovení priorit investic do kritických oblastí a optimalizaci v jiných oblastech, aby splňovaly rozpočet organizace při plnění obchodních požadavků.

Principy návrhu optimalizace nákladů poskytují strategii návrhu vysoké úrovně pro dosažení těchto cílů a dosažení kompromisů v technickém návrhu souvisejícím se službou Azure Firewall a jeho prostředím.

Kontrolní seznam návrhu

Zahajte strategii návrhu na základě kontrolního seznamu pro kontrolu návrhu pro optimalizaci nákladů pro investice. Dolaďte návrh tak, aby úloha byla v souladu s rozpočtem přiděleným pro danou úlohu. Váš návrh by měl využívat správné možnosti Azure, monitorovat investice a hledat příležitosti k optimalizaci v průběhu času.

  • Vyberte skladovou položku služby Azure Firewall, která se má nasadit. Vyberte si ze tří skladových položek služby Azure Firewall: Basic, Standard a Premium. Azure Firewall Premium použijte k zabezpečení vysoce citlivých aplikací, jako je zpracování plateb. Azure Firewall Standard použijte, pokud vaše úloha potřebuje bránu firewall vrstvy 3 až 7 a potřebuje automatické škálování pro zpracování období špičky provozu až 30 Gb/s. Azure Firewall Basic použijte, pokud používáte protokol SMB a vyžadujete propustnost až 250 Mb/s. Můžete downgradovat nebo upgradovat mezi skladovými položkami Standard a Premium. Další informace najdete v tématu Volba správné skladové položky služby Azure Firewall.

  • Odeberte nepoužívané nasazení brány firewall a optimalizujte nevyužitá nasazení. Zastavte nasazení služby Azure Firewall, která není potřeba nepřetržitě spouštět. Identifikace a odstranění nepoužívaných nasazení služby Azure Firewall Pokud chcete snížit provozní náklady, monitorovat a optimalizovat využití instancí brány firewall, konfiguraci zásad Azure Firewall Manageru a počet veřejných IP adres a zásad, které používáte.

  • Sdílejte stejnou instanci služby Azure Firewall. Můžete použít centrální instanci služby Azure Firewall ve virtuální síti centra nebo zabezpečeném centru Virtual WAN a sdílet stejnou instanci služby Azure Firewall napříč paprskovými virtuálními sítěmi, které se připojují ke stejnému centru ze stejné oblasti. Ujistěte se, že v hvězdicové topologii nemáte neočekávaný provoz mezi oblastmi.

  • Optimalizujte provoz přes bránu firewall. Pravidelně kontrolujte provoz, který azure firewall zpracovává. Najděte příležitosti ke snížení objemu provozu, který prochází bránou firewall.

  • Snižte množství uložených dat protokolu. Azure Firewall může pomocí služby Azure Event Hubs komplexně protokolovat metadata provozu a odesílat je do pracovních prostorů služby Log Analytics, Azure Storage nebo řešení jiných společností než Microsoft. Všechna řešení protokolování účtují náklady na zpracování dat a poskytování úložiště. Velké objemy dat můžou mít značné náklady. Zvažte nákladově efektivní přístup a alternativu ke službě Log Analytics a odhadněte náklady. Zvažte, jestli potřebujete protokolovat metadata provozu pro všechny kategorie protokolování.

Doporučení

Doporučení Výhoda
Zastavte nasazení služby Azure Firewall, která není potřeba nepřetržitě spouštět. Možná máte vývojová nebo testovací prostředí, která používáte jenom během pracovní doby. Další informace najdete v tématu Uvolnění a přidělení služby Azure Firewall. Tato nasazení můžete vypnout v době mimo špičku nebo při nečinnosti, aby se snížily zbytečné výdaje, ale během kritických časů udržovat zabezpečení a výkon.
Pravidelně kontrolujte provoz, který zpracovává Azure Firewall, a najděte původní optimalizace úloh. Protokol hlavních toků, označovaný také jako protokol toků tuku, zobrazuje horní připojení, která přispívají k nejvyšší propustnosti přes bránu firewall. Optimalizujte úlohy, které generují největší provoz přes bránu firewall, aby se snížil objem provozu, což snižuje zatížení brány firewall a minimalizuje náklady na zpracování dat a šířku pásma.
Identifikace a odstranění nepoužívaných nasazení služby Azure Firewall Analyzujte metriky monitorování a trasy definované uživatelem, které jsou přidružené k podsítím odkazovaným na privátní IP adresu brány firewall. Zvažte také další ověřování a interní dokumentaci týkající se vašeho prostředí a nasazení. Analyzujte například všechna klasická pravidla překladu adres (NAT), sítě a aplikací pro Službu Azure Firewall. A zvažte nastavení. Můžete například nakonfigurovat nastavení proxy serveru DNS na Zakázáno.

Další informace najdete v tématu Monitorování služby Azure Firewall.
Tento přístup použijte k detekci nákladově efektivních nasazení v průběhu času a odstranění nepoužívaných prostředků, což brání zbytečným nákladům.
Pečlivě zkontrolujte zásady, přidružení a dědičnost brány firewall a optimalizujte náklady. Zásady se účtují na základě přidružení brány firewall. Zásada s nulovým nebo jedním přidružením brány firewall je bezplatná. Zásady s více přidruženími brány firewall se účtují pevným tempem.

Další informace najdete v tématu o cenách firewall Manageru.
Správně používat Správce brány firewall a jeho zásady ke snížení provozních nákladů, zvýšení efektivity a snížení režie na správu.
Zkontrolujte všechny veřejné IP adresy v konfiguraci a zrušte přidružení a odstraňte ty, které nepoužíváte. Než odeberete všechny IP adresy, vyhodnoťte využití portů překladu zdrojových síťových adres (SNAT).

Další informace najdete v tématu Monitorování protokolů a metrik brány Azure Firewall a využití portů SNAT.
Odstraňte nepoužívané IP adresy, abyste snížili náklady.

Efektivita provozu

Efektivita provozu se primárně zaměřuje na postupy vývoje , pozorovatelnost a správu verzí.

Principy návrhu efektivity provozu poskytují strategii návrhu vysoké úrovně pro dosažení těchto cílů pro provozní požadavky úlohy.

Kontrolní seznam návrhu

Zahajte strategii návrhu založenou na kontrolním seznamu pro kontrolu návrhu pro efektivitu provozu pro definování procesů pozorovatelnosti, testování a nasazení souvisejících se službou Azure Firewall.

  • K nasazení a správě instancí služby Azure Firewall použijte Správce brány firewall s tradičními topologiemi hvězdicové topologie nebo topologie sítě Virtual WAN. K vytváření hvězdicových a přechodných architektur použijte nativní služby zabezpečení pro zásady správného řízení provozu a ochranu provozu. Další informace najdete v tématu Topologie sítě a připojení.

    Migrujte klasická pravidla služby Azure Firewall do zásad Firewall Manageru pro existující nasazení. Pomocí Správce brány firewall můžete centrálně spravovat brány firewall a zásady. Další informace najdete v tématu Migrace na Azure Firewall Premium.

  • Udržujte pravidelné zálohy artefaktů Azure Policy. Pokud k údržbě služby Azure Firewall a všech závislostí používáte přístup typu infrastruktura jako kód, měli byste mít zavedené zásady služby Azure Firewall a jejich zálohování a správu verzí. Pokud ne, můžete nasadit doprovodný mechanismus založený na externí aplikaci logiky, který poskytuje efektivní automatizované řešení.

  • Monitorování protokolů a metrik služby Azure Firewall Využijte diagnostické protokoly pro monitorování brány firewall a řešení potíží a protokoly aktivit pro operace auditování.

  • Analyzujte data monitorování a vyhodnoťte celkový stav systému. Použijte integrovaný monitorovací sešit služby Azure Firewall, seznamte se s dotazy dotazovací jazyk Kusto (KQL) a pomocí řídicího panelu analýzy zásad identifikujte potenciální problémy.

  • Definujte výstrahy pro klíčové události , aby na ně operátory mohly rychle reagovat.

  • Využijte mechanismy detekce poskytované platformou v Azure k detekci zneužití. Pokud je to možné, integrujte Azure Firewall s Microsoft Defenderem pro cloud a Microsoft Sentinel . Integrace s defenderem pro cloud, abyste mohli vizualizovat stav síťové infrastruktury a zabezpečení sítě na jednom místě, včetně zabezpečení sítě Azure ve všech virtuálních sítích a virtuálních centrech v různých oblastech v Azure. Integrace se službou Microsoft Sentinel za účelem zajištění možností detekce hrozeb a prevence

Doporučení

Doporučení Výhoda
Povolte diagnostické protokoly pro Azure Firewall. K monitorování služby Azure Firewall použijte protokoly brány firewall nebo sešity. K auditu operací na prostředcích brány Azure Firewall můžete také použít protokoly aktivit.

Použijte formát protokolů strukturované brány firewall. Použijte pouze předchozí formát diagnostických protokolů, pokud máte existující nástroj, který ho vyžaduje. Nepovolujte oba formáty protokolování současně.
Povolte diagnostické protokoly pro optimalizaci monitorovacích nástrojů a strategií pro Azure Firewall.

Pomocí strukturovaných protokolů brány firewall můžete strukturovat data protokolů, aby bylo snadné prohledávat, filtrovat a analyzovat. Nejnovější monitorovací nástroje jsou založené na tomto typu protokolu, takže se často jedná o předpoklad.
Použijte integrovaný sešit služby Azure Firewall. Pomocí sešitu služby Azure Firewall můžete extrahovat cenné přehledy z událostí služby Azure Firewall, analyzovat aplikace a pravidla sítě a zkoumat statistiky aktivit brány firewall napříč adresami URL, porty a adresami.
Monitorujte protokoly a metriky služby Azure Firewall a vytvářejte výstrahy pro kapacitu služby Azure Firewall. Vytvořte upozornění pro monitorování propustnosti, stavu brány firewall, využití portů SNAT a metrik sondy latence AZFW. Nastavte výstrahy pro klíčové události, které operátory upozorní dříve, než nastanou potenciální problémy, pomáhají zabránit přerušení a zahájit rychlé úpravy kapacity.
Pravidelně kontrolujte řídicí panel analýzy zásad a identifikujte potenciální problémy. Analýza zásad vám umožní analyzovat dopad zásad služby Azure Firewall. Identifikujte potenciální problémy v zásadách, jako jsou limity zásad schůzek, nesprávná pravidla a nesprávné využití skupin IP adres. Získejte doporučení ke zlepšení stavu zabezpečení a výkonu zpracování pravidel.
Seznamte se s dotazy KQL, abyste mohli pomocí protokolů služby Azure Firewall rychle analyzovat a řešit problémy. Azure Firewall poskytuje ukázkové dotazy. Pomocí dotazů KQL můžete rychle identifikovat události v bráně firewall a zkontrolovat, které pravidlo se aktivuje nebo které pravidlo povoluje nebo blokuje požadavek.

Efektivita výkonu

Efektivita výkonu se týká zachování uživatelského prostředí i v případě, že se zvyšuje zatížení díky správě kapacity. Strategie zahrnuje škálování prostředků, identifikaci a optimalizaci potenciálních kritických bodů a optimalizaci výkonu ve špičce.

Principy návrhu efektivity výkonu poskytují strategii návrhu vysoké úrovně pro dosažení těchto cílů kapacity proti očekávanému využití.

Kontrolní seznam návrhu

Zahajte strategii návrhu na základě kontrolního seznamu pro kontrolu návrhu týkajícího se efektivity výkonu. Definujte směrný plán založený na klíčových ukazatelích výkonu pro Azure Firewall.

  • Optimalizujte konfiguraci služby Azure Firewall v souladu s doporučeními dobře navržená architektura pro optimalizaci kódu a infrastruktury a zajištění provozu ve špičce. Pokud chcete udržovat efektivní a zabezpečenou síť, pravidelně kontrolujte a optimalizujte pravidla brány firewall. Tento postup pomáhá zajistit, aby konfigurace brány firewall zůstaly efektivní a aktuální s nejnovějšími bezpečnostními hrozbami.

    Vyhodnoťte požadavky zásad a najděte příležitosti ke shrnutí rozsahů IP adres a seznamů adres URL. Pomocí webových kategorií můžete hromadně povolit nebo odepřít odchozí přístup, aby se zjednodušila správa a zlepšila zabezpečení. Vyhodnoťte dopad protokolu IDPS v režimu upozornění a zamítnutí , protože tato konfigurace může mít vliv na latenci a propustnost sítě. Nakonfigurujte veřejné IP adresy tak, aby podporovaly požadavky na porty SNAT. Pokud chcete vytvořit robustní a škálovatelnou infrastrukturu zabezpečení sítě, postupujte podle těchto postupů.

  • Nepoužívejte Azure Firewall pro řízení provozu uvnitř virtuální sítě. Pomocí služby Azure Firewall můžete řídit následující typy provozu:

    • Provoz napříč virtuálními sítěmi
    • Provoz mezi virtuálními sítěmi a místními sítěmi
    • Odchozí provoz do internetu
    • Příchozí provoz mimo HTTP nebo jiný provoz než HTTPS

    Pro řízení provozu v rámci virtuální sítě použijte skupiny zabezpečení sítě.

  • Před testy výkonnosti správně zahřejte službu Azure Firewall. Vytvořte počáteční provoz, který není součástí zátěžových testů 20 minut před testy. Pomocí nastavení diagnostiky můžete zaznamenávat události vertikálního navýšení a snížení kapacity. Službu Azure Load Testing můžete použít ke generování počátečního provozu, abyste mohli vertikálně navýšit kapacitu služby Azure Firewall na maximální počet instancí.

  • Nakonfigurujte podsíť služby Azure Firewall s adresními prostory /26. Potřebujete vyhrazenou podsíť pro Azure Firewall. Azure Firewall zřídí větší kapacitu při škálování. Adresní prostor /26 zajišťuje, že brána firewall má k dispozici dostatek IP adres pro přizpůsobení škálování. Azure Firewall nevyžaduje podsíť, která je větší než /26. Pojmenujte podsíť AzureFirewallSubnet služby Azure Firewall.

  • Pokud ho nepotřebujete, nepovolujte rozšířené protokolování. Azure Firewall nabízí několik pokročilých možností protokolování, které můžou znamenat značné náklady, aby zůstaly aktivní. Místo toho můžete tyto funkce použít pouze pro účely řešení potíží a pro omezené množství času. Zakažte možnosti, když je nepotřebujete. Hlavní toky a protokoly trasování toků jsou například nákladné a můžou způsobit nadměrné využití procesoru a úložiště v infrastruktuře služby Azure Firewall.

Doporučení

Doporučení Výhoda
Pomocí řídicího panelu analýzy zásad identifikujte způsoby optimalizace zásad služby Azure Firewall. Využijte analýzu zásad k identifikaci potenciálních problémů v zásadách, jako jsou limity zásad schůzek, nesprávná pravidla a používání nesprávných skupin IP adres. Získejte doporučení ke zlepšení stavu zabezpečení a výkonu zpracování pravidel.
Často používaná pravidla umístěte včas do skupiny za účelem optimalizace latence pro zásady služby Azure Firewall, které mají velké sady pravidel.

Další informace najdete v tématu Použití zásad služby Azure Firewall ke zpracování pravidel.
Často používaná pravidla umístěte do sady pravidel, která optimalizují latenci zpracování. Azure Firewall zpracovává pravidla na základě typu pravidla, dědičnosti, priority skupiny kolekce pravidel a priority kolekce pravidel. Azure Firewall nejprve zpracovává skupiny kolekcí pravidel s vysokou prioritou. Ve skupině kolekcí pravidel zpracovává Azure Firewall kolekce pravidel, které mají nejvyšší prioritu.
Pomocí skupin IP adres můžete shrnout rozsahy IP adres a vyhnout se překročení limitu jedinečných zdrojových nebo jedinečných cílových pravidel sítě. Azure Firewall považuje skupinu IP adres za jednu adresu při vytváření pravidel sítě. Tento přístup efektivně zvyšuje počet IP adres, které můžete pokrýt bez překročení limitu. Pro každé pravidlo Azure vynásobí porty podle IP adres. Pokud tedy jedno pravidlo obsahuje čtyři rozsahy IP adres a pět portů, využíváte 20 síťových pravidel.
Webové kategorie služby Azure Firewall můžete použít k hromadnému povolení nebo zamítnutí odchozího přístupu místo explicitního vytváření a údržby dlouhého seznamu veřejných internetových webů. Tato funkce dynamicky kategorizuje webový obsah a umožňuje vytvářet kompaktní pravidla aplikací, což snižuje provozní režii.
Vyhodnoťte dopad idPS na výkon v režimu výstrah a zamítnutí . Další informace najdete v tématu Výkon služby Azure Firewall. Povolte IDPS v režimu výstrah a zamítnutí , abyste zjistili a zabránili škodlivé síťové aktivitě. Tato funkce může představovat snížení výkonu. Porozumíte vlivu na úlohu, abyste mohli odpovídajícím způsobem plánovat.
Nakonfigurujte nasazení služby Azure Firewall s minimálně pěti veřejnými IP adresami pro nasazení, která jsou náchylná k vyčerpání portů SNAT. Azure Firewall podporuje 2 496 portů pro každou veřejnou IP adresu, kterou každá back-endová instance služby Azure Virtual Machine Scale Sets používá. Tato konfigurace zvýší dostupné porty SNAT o pětkrát.

Azure Firewall ve výchozím nastavení nasazuje dvě instance služby Virtual Machine Scale Sets, které podporují 4 992 portů pro každou cílovou IP adresu toku, cílový port a protokol TCP nebo UDP. Brána firewall se škáluje na maximálně 20 instancí.

Zásady Azure

Azure poskytuje rozsáhlou sadu předdefinovaných zásad souvisejících se službou Azure Firewall a jejími závislostmi. Některé z předchozích doporučení je možné auditovat prostřednictvím služby Azure Policy. Můžete například zkontrolovat, jestli:

  • Síťová rozhraní by neměla mít veřejné IP adresy. Tato zásada zakazuje síťová rozhraní nakonfigurovaná s veřejnou IP adresou. Veřejné IP adresy umožňují internetovým prostředkům komunikovat příchozí s prostředky Azure a prostředky Azure můžou komunikovat odchozí s internetem.

  • Veškerý internetový provoz by se měl směrovat přes nasazenou instanci služby Azure Firewall. Azure Security Center identifikuje, že některé z vašich podsítí nejsou chráněné bránou firewall nové generace. Chraňte své podsítě před potenciálními hrozbami. Pomocí služby Azure Firewall nebo podporované brány firewall nové generace omezte přístup k vašim podsítím.

Komplexní zásady správného řízení najdete v předdefinovaných definicích služby Azure Policy pro Azure Firewall a další zásady, které by mohly ovlivnit zabezpečení sítě.

Doporučení Azure Advisoru

Azure Advisor je přizpůsobený cloudový konzultant, který pomáhá dodržovat osvědčené postupy pro optimalizaci nasazení Azure. Tady je několik doporučení, která vám pomůžou zlepšit spolehlivost, zabezpečení, nákladovou efektivitu, výkon a efektivitu provozu služby Azure Firewall.

Další kroky

Projděte si následující zdroje informací, které ukazují doporučení v tomto článku.