Popis služby Azure Firewall

  • 2 min

Brána firewall je bezpečnostní zařízení( hardware, software nebo kombinace obojího), které monitoruje a řídí příchozí a odchozí síťový provoz na základě předem určených pravidel zabezpečení. Jejím primárním účelem je vytvořit bariéru mezi důvěryhodnou interní sítí a nedůvěryhodnými externími sítěmi, jako je internet, k ochraně interní sítě před škodlivými útoky.

Azure Firewall je spravovaná cloudová služba zabezpečení sítě, která poskytuje ochranu před hrozbami pro cloudové úlohy a prostředky spuštěné v Azure.

Azure Firewall můžete nasadit na libovolnou virtuální síť, ale nejlepší je použít ji v centralizované virtuální síti. Všechny ostatní virtuální a místní sítě se pak budou směrovat přes ni. Výhodou tohoto modelu je možnost centrálně řídit síťový provoz pro všechny virtuální sítě napříč různými předplatnými.

Diagram znázorňující, jak služba Azure Firewall běží v centralizované virtuální síti, může chránit cloudové virtuální sítě i vaši místní síť.

Pomocí služby Azure Firewall můžete vertikálně navýšit kapacitu využití tak, aby vyhovovalo měnícím se tokům síťového provozu, abyste nemuseli vytvářet rozpočet na špičku provozu. Síťový provoz podléhá nakonfigurovaným pravidlům brány firewall při směrování do brány firewall jako výchozí brány podsítě.

Klíčové funkce služby Azure Firewall

Následující seznam obsahuje stručný popis některých základních funkcí služby Azure Firewall.

  • Stavová brána firewall: Azure Firewall je stavová brána firewall, což znamená, že dokáže sledovat stav aktivních připojení a rozhodovat se na základě kontextu provozu.

  • Integrovaná vysoká dostupnost a zóny dostupnosti: Azure Firewall má integrovanou vysokou dostupnost, což znamená, že je navržená tak, aby zajistila nepřetržitou provoz a minimální prostoje, a to i v případě selhání nebo vysokého zatížení provozu. Bránu Azure Firewall je možné nakonfigurovat tak, aby přesahovala více zón dostupnosti, kde se každá zóna dostupnosti skládá z jednoho nebo více datacenter vybavených nezávislým napájením, chlazením a sítěmi. Podpora služby Azure Firewall pro zóny dostupnosti zajišťuje vyšší dostupnost a odolnost tím, že distribuuje prostředky mezi tyto samostatné zóny.

  • Filtrování na úrovni sítě a aplikace: Azure Firewall umožňuje vytvářet a vynucovat pravidla filtrování síťového provozu pro příchozí i odchozí provoz. Pravidla můžete definovat na základě IP adres, portů a protokolů. Azure Firewall může filtrovat provoz na základě protokolů aplikační vrstvy, jako je HTTP/S. To znamená, že můžete řídit přístup k plně kvalifikovaným názvům domén.

  • Překlad zdrojových a cílových síťových adres (NAT): Překlad síťových adres je metoda přemapování IP adresy na jinou IP adresu pro správu a zabezpečení síťového provozu. Azure Firewall podporuje překlad zdrojových síťových adres (SNAT). SNAT překládá privátní IP adresu síťového prostředku (zdroj) na veřejnou IP adresu Azure. Tato funkce identifikuje a umožňuje provoz pocházející z virtuální sítě do cílových míst internetu. Podobně Azure Firewall podporuje překlad adres cílové sítě (DNAT). U DNAT se veřejná IP adresa používaná pro přístup ke konkrétním službám ve vaší síti přeloží a vyfiltruje se na privátní IP adresy prostředku ve virtuální síti (cíl). To umožňuje provoz pocházející z internetu pro přístup k vašim privátním prostředkům.

  • Analýza hrozeb: Azure Firewall se integruje s informačním kanálem Analýzy hrozeb Od Microsoftu, který vás upozorní na známé škodlivé IP adresy a domény a pomáhá chránit vaši síť před hrozbami. Pro bránu firewall můžete povolit filtrování na základě analýzy hrozeb, které umožňuje upozorňovat na provoz ze známých škodlivých IP adres a domén nebo z nich a zamítat ho.

  • Protokolování a monitorování: Azure Firewall poskytuje možnosti protokolování a monitorování, které vám pomůžou sledovat aktivity brány firewall a diagnostikovat problémy. Protokoly je možné odesílat do služby Azure Monitor, Log Analytics nebo Event Hubs pro další analýzu.

  • Integrace se službami Azure: Bezproblémově se integruje s dalšími službami Azure, jako jsou Azure Virtual Networks, Azure Policy a Azure Security Center, a poskytuje ucelené řešení zabezpečení pro vaši cloudovou infrastrukturu.

Azure Firewall se nabízí ve třech SKU: Standard, Premium a Basic. Podrobné informace o funkcích zahrnutých pro jednotlivé dostupné skladové položky (Standard, Premium a Basic) najdete v části Další informace v lekci souhrnu a zdrojů.

Integrace se službou Security Copilot

Služba Azure Firewall je integrovaná se službou Microsoft Security Copilot.

Pro organizace, které jsou zaregistrované do Microsoft Security Copilotu, můžou uživatelé využít integraci Copilotu prostřednictvím samostatného prostředí.

Integrace služby Azure Firewall pomáhá analytikům provádět podrobné šetření škodlivého provozu zachyceného systémem detekce a prevence neoprávněných vniknutí sítě (dostupných ve standardních a prémiových cenových úrovních služby Azure Firewall) a/nebo funkcí analýzy hrozeb pomocí otázek v přirozeném jazyce v samostatném prostředí Security Copilot.

Použití integrace služby Azure Firewall s Copilotem:

  • Brány Azure Firewall, které se mají používat se službou Security Copilot, musí být nakonfigurované s strukturovanými protokoly pro IDPS specifické pro prostředky a tyto protokoly se musí odesílat do pracovního prostoru služby Log Analytics.
  • Uživatelé musí mít oprávnění role k používání Microsoft Security Copilotu a musí mít příslušné role řízení přístupu na základě role v Azure (RBAC) pro přístup k bráně firewall a přidruženému pracovnímu prostoru služby Log Analytics.
  • Modul plug-in Azure Firewall ve funkci Security Copilot musí být zapnutý.

Snímek obrazovky modulu plug-in Azure Firewall

Možnosti služby Azure Firewall ve Copilotu jsou integrované výzvy, které můžete použít, ale můžete také zadat vlastní výzvy založené na podporovaných možnostech.

Snímek obrazovky možností služby Azure Firewall, které je možné spouštět v samostatném prostředí

Souhrnná jednotka a prostředky tohoto modulu poskytuje odkaz na podrobnější informace o integraci služby Azure Firewall v Microsoft Security Copilotu.