Entwerfen und Implementieren von Azure Firewall

Abgeschlossen

Azure Firewall ist ein verwalteter, cloudbasierter Netzwerksicherheitsdienst, der Ihre Azure Virtual Network-Ressourcen schützt. Es ist eine vollständig zustandsbehaftete Firewall als ein Dienst mit integrierter Hochverfügbarkeit und uneingeschränkter Cloudskalierbarkeit.

Azure Firewall-Features

Azure Firewall bietet die folgenden Features:

• Integrierte Hochverfügbarkeit: Hochverfügbarkeit ist integriert, sodass keine zusätzlichen Load Balancer erforderlich sind und Sie nichts konfigurieren müssen.
• Uneingeschränkte Cloudskalierbarkeit: Azure Firewall kann entsprechend Ihren Anforderungen aufskaliert werden, um einem sich ändernden Netzwerkdatenverkehr zu entsprechen, sodass Sie nicht für Ihre Spitzenlasten budgetieren müssen.
• FQDN-Filterregeln für Anwendungen: Sie können ausgehenden HTTP/S-Datenverkehr oder Azure SQL-Datenverkehr auf eine angegebene Liste vollqualifizierte Domänennamen (Fully Qualified Domain Names, FQDN) einschließlich Platzhalter einschränken. Für diese Funktion ist kein TLS-Abschluss erforderlich.
• Filterregeln für Netzwerkdatenverkehr: Sie können Netzwerkfilterregeln zum Zulassen oder Verweigern nach Quell- und Ziel-IP-Adresse, Port und Protokoll zentral erstellen. Azure Firewall ist vollständig zustandsbehaftet, sodass zwischen legitimen Paketen für verschiedene Arten von Verbindungen unterschieden werden kann. Regeln werden übergreifend für mehrere Abonnements und virtuelle Netzwerke erzwungen und protokolliert.
• FQDN-Tags: Diese Tags erleichtern es Ihnen, bekannten Netzwerkdatenverkehr des Azure-Diensts über Ihre Firewall zuzulassen. Angenommen, Sie möchten Netzwerkdatenverkehr von Windows Update durch die Firewall zulassen. Sie erstellen eine entsprechende Anwendungsregel, und schließen das Windows Update-Tag ein. Jetzt kann der Netzwerkdatenverkehr von Windows Update durch Ihre Firewall fließen.
• Diensttags: Ein Diensttag stellt eine Gruppe von IP-Adresspräfixen dar, um die Komplexität bei der Erstellung von Sicherheitsregel zu minimieren. Sie können kein eigenes Diensttag erstellen und auch nicht angeben, welche IP-Adressen in einem Tag enthalten sind. Microsoft verwaltet die Adresspräfixe, die mit dem Diensttag abgedeckt werden, und aktualisiert das Diensttag automatisch, wenn sich die Adressen ändern.
• Threat Intelligence: Filter auf Grundlage von Threat Intelligence (IDPS) können für Ihre Firewall aktiviert werden, um Datenverkehr zu verweigern, der von bekannten schädlichen IP-Adressen und Domänen stammt oder an diese gerichtet ist, und um entsprechende Benachrichtigungen auszulösen. Die IP-Adressen und Domänen stammen aus dem Microsoft Threat Intelligence-Feed.
• TLS-Überprüfung: Die Firewall kann ausgehenden Datenverkehr entschlüsseln, die Daten verarbeiten und dann verschlüsseln und an das Ziel senden.
• SNAT-Unterstützung für ausgehenden Datenverkehr: Alle ausgehenden IP-Adressen des virtuellen Netzwerks werden in die öffentliche IP-Adresse von Azure Firewall (Source Network Address Translation, SNAT) übersetzt. Sie können Datenverkehr aus Ihrem virtuellen Netzwerk an Remoteziele im Internet identifizieren und zulassen.
• DNAT-Unterstützung für eingehenden Datenverkehr: Auf ähnliche Weise wird eingehender Internetdatenverkehr an die öffentliche IP-Adresse der Firewall übersetzt und in die privaten IP-Adressen Ihrem virtuellen Netzwerk gefiltert (Destination Network Address Translation, Zielnetzwerkadressenübersetzung).
• Mehrere öffentliche IP-Adressen: Sie können Ihrer Firewall mehrere öffentliche IP-Adressen (bis zu 250) zuordnen, um bestimmte DNAT- und SNAT-Szenarien zu ermöglichen.
• Azure Monitor-Protokollierung: Alle Ereignisse sind in Azure Monitor integriert, sodass Sie Protokolle in einem Speicherkonto archivieren sowie Ereignisse an Ihre Event Hubs streamen oder an Azure Monitor-Protokolle senden können.
• Erzwungenes Tunneln: Sie können Azure Firewall so konfigurieren, dass der gesamte internetgebundene Datenverkehr an einen festgelegten nächsten Hop weitergeleitet wird, anstatt direkt in das Internet zu gelangen. Es kann beispielsweise sein, dass Sie über eine lokale Edgefirewall oder ein anderes virtuelles Netzwerkgerät (Network Virtual Appliance, NVA) verfügen, von der bzw. dem Netzwerkverkehr zunächst verarbeitet wird, bevor er ans Internet übergeben wird.
• Webkategorien: Mithilfe von Webkategorien können Administrator:innen den Benutzerzugriff auf bestimmte Websitekategorien zulassen oder verweigern, z. B. Websites mit Glücksspielen, Websites sozialer Medien und andere. Webkategorien sind in Azure Firewall Standard enthalten. Die Vorschauversion von Azure Firewall Premium bietet jedoch präzisere Anpassungsmöglichkeiten. Im Gegensatz zu den Funktionen für Webkategorien in der Standard-SKU, bei denen der Abgleich der Kategorie anhand des FQDN erfolgt, werden die Kategorien bei der Premium-SKU anhand der gesamten URL abgeglichen (sowohl HTTP- als auch HTTPS-Datenverkehr).
• Zertifizierungen: Azure Firewall ist mit PCI (Payment Card Industry), SOC (Service Organization Controls), ISO (Internationale Organisation für Normung) und ICSA Labs konform.

Regelverarbeitung in Azure Firewall

In Azure Firewall können Sie NAT-Regeln, Netzwerkregeln und Anwendungsregeln konfigurieren. Dies kann entweder mit klassischen Regeln oder mithilfe von Firewallrichtlinien erfolgen. Eine Azure Firewall verweigert standardmäßig den gesamten Datenverkehr, bis Regeln manuell so konfiguriert werden, dass Datenverkehr zugelassen wird.

Regelverarbeitung mit klassischen Regeln

Bei klassischen Regeln werden Regelsammlungen entsprechend dem Regeltyp in Prioritätsreihenfolge verarbeitet: von niedrigen Zahlen zu höheren Zahlen, von 100 bis 65.000. Der Name einer Regelsammlung darf nur Buchstaben, Ziffern, Unterstriche, Punkte oder Bindestriche enthalten. Der Name muss außerdem mit einem Buchstaben oder einer Zahl beginnen und mit einem Buchstaben, einer Zahl oder einem Unterstrich enden. Die maximale Namenslänge ist 80 Zeichen. Es empfiehlt sich, die Prioritätsnummern Ihrer Regelsammlungen zunächst in 100er-Schritten anzuordnen (d. h. 100, 200, 300 usw.), damit Sie bei Bedarf weitere Regelsammlungen hinzufügen können.

Regelverarbeitung mit der Firewallrichtlinie

Mit der Firewallrichtlinie werden Regeln in Regelsammlungen organisiert, die in Regelsammlungsgruppen enthalten sind. Regelauflistungen können einen der folgenden Typen aufweisen:

• DNAT (Destination Network Address Translation, Ziel-Netzwerkadressübersetzung)
• Netzwerk
• Anwendung

Sie können mehrere Regelsammlungstypen innerhalb einer einzelnen Regelsammlungsgruppe definieren, und Sie können null oder mehr Regeln in einer Regelsammlung definieren, aber die Regeln in einer Regelsammlung müssen denselben Typ aufweisen (d. h. DNAT, Netzwerk oder Anwendung).

Bei der Firewallrichtlinie werden Regeln basierend auf der Priorität der Regelsammlungsgruppe und der Regelsammlungspriorität verarbeitet. Die Priorität wird durch eine beliebige Zahl zwischen 100 (höchste Priorität) und 65.000 (niedrigste Priorität) angegeben. Regelsammlungsgruppen mit der höchsten Priorität werden zuerst verarbeitet. Innerhalb einer Regelsammlungsgruppe werden Regelsammlungen mit der höchsten Priorität (d. h. der niedrigsten Zahl) zuerst verarbeitet.

Wenn eine Firewallrichtlinie von einer übergeordneten Richtlinie geerbt wird, besitzen Regelsammlungsgruppen in der übergeordneten Richtlinie unabhängig von der Priorität der untergeordneten Richtlinie immer Vorrang.

Anwendungsregeln werden immer nach Netzwerkregeln verarbeitet, die ihrerseits immer nach DNAT-Regeln verarbeitet werden, und zwar unabhängig von der Regelsammlungsgruppe oder Regelsammlungspriorität und Richtlinienvererbung.

Ausgehende Konnektivität mithilfe von Netzwerkregeln und Anwendungsregeln

Wenn Sie Netzwerkregeln und Anwendungsregeln konfigurieren, werden die Netzwerkregeln in der Prioritätsreihenfolge vor den Anwendungsregeln angewendet. Außerdem werden alle Regeln beendet. Wenn also Übereinstimmung in einer Netzwerkregel gefunden wird, werden danach keine anderen Regeln mehr verarbeitet.

Wenn keine Übereinstimmung für eine Netzwerkregel vorliegt und als Protokoll HTTP, HTTPS oder MSSQL verwendet wird, wird das Paket von den Anwendungsregeln in der Prioritätsreihenfolge ausgewertet. Für HTTP sucht Azure Firewall gemäß dem Hostheader nach einer Übereinstimmung mit einer Anwendungsregel, während Azure Firewall für HTTPS nur nach einer Übereinstimmung mit der Anwendungsregel gemäß SNI (Server Name Indication, Servernamensanzeige) sucht.

Eingehende Konnektivität mit DNAT-Regeln und Netzwerkregeln

Eingehende Internetkonnektivität kann durch Konfigurieren von DNAT aktiviert werden. Wie bereits erwähnt, werden DNAT-Regeln gemäß ihrer Priorität vor Netzwerkregeln angewendet. Wenn sich eine Übereinstimmung ergibt, wird eine implizite entsprechende Netzwerkregel hinzugefügt, um den übersetzten Datenverkehr zuzulassen. Aus Sicherheitsgründen besteht die empfohlene Vorgehensweise darin, eine bestimmte Internetquelle hinzuzufügen, um DNAT-Zugriff auf das Netzwerk zu gewähren und die Verwendung von Platzhaltern zu vermeiden.

Anwendungsregeln werden nicht für eingehende Verbindungen angewendet. Wenn Sie also eingehenden HTTP/S-Datenverkehr filtern möchten, sollten Sie Web Application Firewall (WAF) verwenden.

Wenn Sie aus Sicherheitsgründen eine Regel ändern, um den Zugriff auf zuvor zugelassenen Datenverkehr zu verweigern, werden alle relevanten vorhandenen Sitzungen gelöscht.

Bereitstellen und Konfigurieren von Azure Firewall

Beachten Sie beim Bereitstellen von Azure Firewall Folgendes:

• Diese Lösung kann Richtlinien zur Anwendungs- und Netzwerkkonnektivität übergreifend für Abonnements und virtuelle Netzwerke zentral erstellen, erzwingen und protokollieren.
• Sie verwendet eine statische öffentliche IP-Adresse für Ihre virtuellen Netzwerkressourcen. Dadurch können externe Firewalls Datenverkehr aus Ihrem virtuellen Netzwerk identifizieren.
• Sie ist für Protokollierung und Analysen vollständig in Azure Monitor integriert.
• Beim Erstellen von Firewallregeln ist es am besten, die FQDN-Tags zu verwenden.

Die wichtigsten Phasen der Bereitstellung und Konfiguration von Azure Firewall lauten wie folgt:

• Erstellen einer Ressourcengruppe
• Erstellen eines virtuellen Netzwerks und der Subnetze
• Erstellen einer Workload-VM in einem Subnetz
• Bereitstellen der Firewall und Richtlinie im virtuellen Netzwerk
• Erstellen einer ausgehenden Standardroute
• Konfigurieren einer Anwendungsregel
• Konfigurieren einer Netzwerkregel
• Konfigurieren einer NAT-Zielregel (DNAT)
• Testen der Firewall

Bereitstellen von Azure Firewall mit Verfügbarkeitszonen

Eines der wichtigsten Features von Azure Firewall sind Verfügbarkeitszonen.

Beim Bereitstellen von Azure Firewall können Sie die Lösung so konfigurieren, dass sie mehrere Verfügbarkeitszonen für erhöhte Verfügbarkeit umfasst. Wenn Sie Azure Firewall so konfigurieren, erhöht sich die Verfügbarkeit auf eine Uptime von 99,99 %. Die SLA für 99,99 % Betriebszeit wird angeboten, wenn zwei oder mehr Verfügbarkeitszonen ausgewählt werden.

Unter Verwendung der Standard-SLA des Diensts von 99,95 % können Sie Azure Firewall außerdem aus Gründen der Nähe einer bestimmten Zone zuordnen.

Weitere Informationen finden Sie unter Vereinbarung zum Servicelevel (SLA) für Azure Firewall.

Für eine Firewall, die in einer Verfügbarkeitszone bereitgestellt wird, fallen keine zusätzlichen Kosten an. Es fallen jedoch zusätzliche Kosten für die ein- und ausgehenden Datenübertragungen an, die mit Verfügbarkeitszonen verbunden sind.

Weitere Informationen finden Sie unter Preisübersicht Bandbreite.

Azure Firewall-Verfügbarkeitszonen sind nur in Regionen verfügbar, die Verfügbarkeitszonen unterstützen.

Verfügbarkeitszonen können nur während der Firewallbereitstellung konfiguriert werden. Sie können keine vorhandene Firewall so konfigurieren, dass sie Verfügbarkeitszonen einschließt.

Methoden zum Bereitstellen einer Azure Firewall-Instanz mit Verfügbarkeitszonen

Sie können mehrere Methoden zum Bereitstellen Ihrer Azure Firewall-Instanz mithilfe von Verfügbarkeitszonen verwenden.

• Azure-Portal
• Azure PowerShell: siehe Bereitstellen einer Azure Firewall-Instanz mit Verfügbarkeitszonen mit Azure PowerShell
• Azure Resource Manager-Vorlage: siehe Schnellstart: Bereitstellen von Azure Firewall mit Verfügbarkeitszonen – Azure Resource Manager-Vorlage

Überprüfen Sie Ihr Wissen

1.

Das Filtern welcher Richtung des Datenverkehrs unterstützt Azure Firewall?

Nur ausgehend.

Nur eingehend

Eingehend und ausgehend.

2.

Welche der folgenden Prioritätsebenen gilt für eine Sicherheitsregel als höchste Ebene?

0

100

110

Sie müssen alle Fragen beantworten, bevor Sie Ihre Arbeit überprüfen können.