Zabezpečení sítí pomocí Azure Firewall Manageru

  • 10 min

Práce s Azure Firewall Managerem

Azure Firewall Manager je služba pro správu zabezpečení, která nabízí centrální zásady zabezpečení a správu směrování pro cloudové bezpečnostní perimetry.

Diagram Azure Firewall Manageru znázorňující možnost nasazení zabezpečeného centra a virtuální sítě centra

Azure Firewall Manager zjednodušuje proces centrálního definování pravidel na úrovni sítě a aplikací pro filtrování provozu napříč několika instancemi služby Azure Firewall. V hvězdicových architekturách můžete využít různé oblasti a předplatná Azure pro zásady správného řízení a ochranu provozu.

Pokud spravujete více bran firewall, je často obtížné udržovat pravidla brány firewall synchronizovaná. Centrální IT týmy potřebují způsob, jak definovat základní zásady brány firewall a vynucovat je napříč několika obchodními jednotkami. Týmy DevOps zároveň chtějí vytvořit vlastní místní odvozené zásady brány firewall, které jsou implementované napříč organizacemi. Azure Firewall Manager vám může pomoct tyto problémy vyřešit.

Firewall Manager poskytuje správu zabezpečení pro dva typy síťové architektury:

  • Zabezpečené virtuální centrum. Tento název se přidělí libovolnému centru Azure Virtual WAN s přidruženými zásadami zabezpečení a směrování. Centrum Azure Virtual WAN je prostředek spravovaný Microsoftem, který vám umožňuje snadno vytvářet hvězdicové architektury.
  • Hub Virtual Network. Tento název se přidělí jakékoli standardní virtuální síti Azure s přidruženými zásadami zabezpečení. Standardní virtuální síť Azure je prostředek, který vytvoříte a spravujete sami. Můžete peer spoke virtuální sítě, které obsahují vaše servery a služby úloh. Brány firewall můžete spravovat také v samostatných virtuálních sítích, které nejsou v partnerském vztahu k žádnému paprsku.

Funkce Azure Firewall Manageru

Mezi klíčové funkce, které nabízí Azure Firewall Manager, patří:

  • Centrální nasazení a konfigurace služby Azure Firewall Můžete centrálně nasadit a nakonfigurovat několik instancí služby Azure Firewall, které pokrývají různé oblasti Azure a předplatná.

  • Hierarchické zásady (globální a místní) Pomocí Azure Firewall Manageru můžete centrálně spravovat zásady služby Azure Firewall napříč několika zabezpečenými virtuálními rozbočovači. Centrální IT týmy můžou vytvářet globální zásady brány firewall, které vynucuje zásady brány firewall pro celou organizaci napříč týmy. Zásady brány firewall vytvořené místně umožňují samoobslužný model DevOps pro lepší flexibilitu.

  • Integrované s zabezpečením třetích stran jako služba pro pokročilé zabezpečení. Kromě služby Azure Firewall můžete integrovat poskytovatele zabezpečení jako služby třetích stran a zajistit tak dodatečnou ochranu sítě pro vaše virtuální síť a připojení k internetu větví. Tato funkce je dostupná jenom se zabezpečenými nasazeními virtuálních center.

  • Centralizovaná správa tras Provoz můžete snadno směrovat do zabezpečeného centra pro filtrování a protokolování bez nutnosti ručního nastavení tras definovaných uživatelem (UDR) v paprskových virtuálních sítích. Tato funkce je dostupná jenom se zabezpečenými nasazeními virtuálních center.

  • Dostupnost v oblastech: Zásady služby Azure Firewall můžete používat napříč oblastmi. Můžete například vytvořit zásadu v oblasti USA – západ a přesto ji použít v oblasti USA – východ.

  • Plán ochrany před útoky DDoS Virtuální sítě můžete přidružit k plánu ochrany před útoky DDoS v azure Firewall Manageru.

  • Správa zásad firewallu webových aplikací Zásady firewallu webových aplikací (WAF) můžete centrálně vytvářet a přidružit pro platformy pro doručování aplikací, včetně služby Azure Front Door a Aplikace Azure lication Gateway.

Zásady Azure Firewall Manageru

Zásada brány firewall je prostředek Azure, který obsahuje kolekce pravidel překladu adres (NAT), sítě a pravidel aplikací a nastavení analýzy hrozeb. Jedná se o globální prostředek, který je možné použít napříč několika instancemi služby Azure Firewall v zabezpečených virtuálních centrech a virtuálních sítích centra. Nové zásady je možné vytvořit úplně od začátku nebo zdědit z existujících zásad. Dědičnost umožňuje DevOps vytvářet místní zásady brány firewall nad rámec základních zásad v organizaci. Zásady fungují napříč oblastmi a předplatnými.

Můžete vytvořit zásady brány firewall a přidružení ke službě Azure Firewall Manager. Zásady ale můžete vytvářet a spravovat také pomocí rozhraní REST API, šablon, Azure PowerShellu a Azure CLI. Jakmile vytvoříte zásadu, můžete ji přidružit k bráně firewall v centru virtual WAN, aby byla zabezpečená virtuální centrum a/nebo ji přidružit k bráně firewall ve standardní virtuální síti Azure, aby byla virtuální sítí centra.

Diagram Azure Firewall Manageru se třemi branami firewall nasazenými do různých virtuálních sítí centra s použitými zásadami

Nasazení Azure Firewall Manageru pro virtuální sítě centra

Doporučený postup nasazení Azure Firewall Manageru pro virtuální sítě centra je:

  1. Vytvořte zásadu brány firewall. Můžete buď vytvořit novou zásadu, odvodit základní zásadu a přizpůsobit místní zásady, nebo importovat pravidla z existující brány Azure Firewall. Ujistěte se, že ze zásad odeberete pravidla překladu adres (NAT), která by se měla použít napříč několika branami firewall.

  2. Vytvořte hvězdicovou architekturu. Buď vytvořením virtuální sítě centra pomocí Azure Firewall Manageru a paprskových virtuálních sítí v partnerském vztahu. Nebo vytvořte virtuální síť a přidejte do partnerského vztahu připojení virtuálních sítí a paprskové virtuální sítě peeringu.

  3. Vyberte zprostředkovatele zabezpečení a přidružte zásady brány firewall. V současné době je podporovaným poskytovatelem pouze Azure Firewall. Vytvořte virtuální síť centra nebo převeďte existující virtuální síť na virtuální síť centra. Je možné převést více virtuálních sítí.

  4. Nakonfigurujte trasy definované uživatelem pro směrování provozu do brány firewall virtuální sítě centra.

Nasazení Azure Firewall Manageru pro zabezpečené virtuální rozbočovače

Doporučený postup nasazení Azure Firewall Manageru pro zabezpečené virtuální rozbočovače je následující:

  1. Vytvořte hvězdicovou architekturu. Buď vytvořte zabezpečené virtuální centrum pomocí Azure Firewall Manageru a přidejte připojení virtuální sítě. Nebo vytvořte centrum Virtual WAN a přidejte připojení k virtuální síti.

  2. Vyberte zprostředkovatele zabezpečení. Vytvořte zabezpečené virtuální centrum nebo převeďte existující centrum Virtual WAN na zabezpečené virtuální centrum.

  3. Vytvořte zásadu brány firewall a přidružte ji k centru. Platí jenom v případě, že používáte Azure Firewall. Zásady zabezpečení jako služby třetích stran se konfigurují prostřednictvím prostředí pro správu partnerů.

  4. Nakonfigurujte nastavení trasy pro směrování provozu do zabezpečeného virtuálního centra. Provoz můžete snadno směrovat do zabezpečeného centra pro filtrování a protokolování bez tras definovaných uživatelem (UDR) v paprskových virtuálních sítích pomocí stránky Nastavení trasy zabezpečeného virtuálního centra.

Poznámka:

Pro dosažení tohoto cíle nemůžete mít více než jedno centrum na virtuální síť WAN pro každou oblast, ale můžete do této oblasti přidat více virtuálních sítí WAN. Připojení virtuální sítě centra musí být ve stejné oblasti jako centrum.