Schützen Ihrer Netzwerke mit Azure Firewall Manager

  • 7 Minuten

Arbeiten mit Azure Firewall Manager

Azure Firewall Manager ist ein Sicherheitsverwaltungsdienst, der eine zentrale Sicherheitsrichtlinien- und Routenverwaltung für cloudbasierte Sicherheitsperimeter bereitstellt.

Diagramm von Azure Firewall Manager, das die Option für die Bereitstellung des sicheren Hubs und des Hub-VNet zeigt

Azure Firewall Manager vereinfacht den Prozess der zentralen Definition von Regeln auf Netzwerk- und Anwendungsebene für die Datenverkehrsfilterung über mehrere Azure Firewall-Instanzen hinweg. Sie können verschiedene Azure-Regionen und -Abonnements in Hub-and-Spoke-Architekturen einbeziehen, um Governance und Schutz des Datenverkehrs sicherzustellen.

Bei der Verwaltung mehrerer Firewalls ist es aufgrund von häufigen Änderungen an Firewallregeln bekanntermaßen schwierig, die Firewalls synchron zu halten. Zentrale IT-Teams benötigen eine Möglichkeit, grundlegende Firewallrichtlinien zu definieren und über mehrere Geschäftseinheiten hinweg zu erzwingen. Gleichzeitig möchten die DevOps-Teams eigene lokale, abgeleitete Firewallrichtlinien erstellen, die organisationsübergreifend implementiert werden. Azure Firewall Manager kann dabei helfen, diese Probleme zu lösen.

Firewall Manager bietet eine Sicherheitsverwaltung für zwei Netzwerkarchitekturtypen:

  • Geschützter virtueller Hub: Dies ist der Name, der jedem Azure Virtual WAN-Hub zugewiesen wird, wenn ihm Sicherheits- und Routingrichtlinien zugeordnet wurden. Ein Azure Virtual WAN Hub ist eine von Microsoft verwaltete Ressource, mit der Sie ganz einfach Hub-and-Spoke-Architekturen erstellen können.
  • Virtuelles Hubnetzwerk: Dies ist der Name, der jedem virtuellen Standardnetzwerk von Azure zugewiesen wird, wenn ihm Sicherheitsrichtlinien zugeordnet sind. Ein virtuelles Azure-Standardnetzwerk ist eine Ressource, die Sie selbst erstellen und verwalten. Zurzeit wird nur die Azure Firewall-Richtlinie unterstützt. Sie können virtuelle Spoke-Netzwerke, die Ihre Workloadserver und -dienste enthalten, per Peering verknüpfen. Sie können auch Firewalls in eigenständigen virtuellen Netzwerken verwalten, die nicht per Peering mit einem Spoke verknüpft sind.

Azure Firewall Manager-Features

Die wichtigsten Features von Azure Firewall Manager sind:

  • Zentrale Azure Firewall-Bereitstellung und -Konfiguration

    Sie können zentral mehrere Azure Firewall-Instanzen bereitstellen und konfigurieren, die sich über verschiedene Azure-Regionen und -Abonnements erstrecken.

  • Hierarchische Richtlinien (global und lokal)

    Sie können mit Azure Firewall Manager Azure Firewall-Richtlinien für mehrere geschützte virtuelle Hubs zentral verwalten. Ihre zentralen IT-Teams können globale Firewallrichtlinien erstellen, um organisationsweite und teamübergreifende Firewallrichtlinien zu erzwingen. Lokal erstellte Firewallrichtlinien ermöglichen ein DevOps-Self-Service-Modell für mehr Agilität.

  • Integration von Drittanbieter-SECaaS-Lösungen für höhere Sicherheit

    Zusätzlich zur Azure Firewall können Sie SECaaS-Anbieter (Security-as-a-Service) von Drittanbietern integrieren, um zusätzlichen Netzwerkschutz für Ihre VNet-Verbindungen und Internetverbindungen von Zweigstellen zu erzielen. Dieses Feature ist nur für Bereitstellungen von geschützten virtuellen Hubs verfügbar (siehe oben).

  • Zentralisierte Routenverwaltung

    Sie können den Datenverkehr zur Filterung und Protokollierung einfach an Ihren geschützten Hub weiterleiten, ohne dass Sie manuell benutzerdefinierte Routen (User Defined Routes, UDR) für virtuelle Spoke-Netzwerke einrichten müssen. Dieses Feature ist nur für Bereitstellungen von geschützten virtuellen Hubs verfügbar (siehe oben).

  • Regionale Verfügbarkeit

    Sie können regionsübergreifende Azure Firewall-Richtlinien verwenden. Sie können zum Beispiel eine Richtlinie in der Region „USA, Westen“ erstellen und sie trotzdem in der Region „USA, Osten“ verwenden.

  • DDoS-Schutzplan

    Sie können Ihren virtuellen Netzwerken einen DDoS-Schutzplan in Azure Firewall Manager zuordnen.

  • Verwalten von Web Application Firewall-Richtlinien

    Sie können WAF-Richtlinien (Web Application Firewall) für Ihre Anwendungsbereitstellungsplattformen, beispielsweise Azure Front Door und Azure Application Gateway, zentral erstellen und zuordnen.

Azure Firewall Manager-Richtlinien

Eine Firewallrichtlinie ist eine Azure-Ressource, die Sammlungen von NAT-, Netzwerk- und Anwendungsregeln sowie Threat Intelligence-Einstellungen enthält. Es handelt sich um eine globale Ressource, die über mehrere Azure Firewall-Instanzen hinweg in geschützten virtuellen Hubs und virtuellen Hubnetzwerken verwendet werden kann. Neue Richtlinien können von Grund auf neu erstellt oder von vorhandenen Richtlinien geerbt werden. Die Vererbung ermöglicht DevOps-Teams die Erstellung lokaler Firewallrichtlinien zusätzlich zur obligatorischen Basisrichtlinie der Organisation. Richtlinien funktionieren regions- und abonnementübergreifend.

Sie können Firewallrichtlinien und -zuordnungen mithilfe von Azure Firewall Manager erstellen. Sie können eine Richtlinie aber auch über die REST-API, mit Vorlagen, in Azure PowerShell und über die Azure CLI erstellen und verwalten. Nachdem Sie eine Richtlinie erstellt haben, können Sie sie einer Firewall in einem virtuellen WAN-Hub zuordnen, sodass dieser zu einem geschützten virtuellen Hub wird, und/oder Sie ordnen die Richtlinie einer Firewall in einem virtuellen Azure-Standardnetzwerk zu, wodurch dieses zu einem virtuellen Hubnetzwerk wird.

Diagramm von Azure Firewall Manager mit drei Firewalls, die in verschiedenen Hub-VNets mit angewendeten Richtlinien bereitgestellt werden

Bereitstellen von Azure Firewall Manager für virtuelle Hubnetzwerke

Das empfohlene Verfahren zum Bereitstellen von Azure Firewall Manager für virtuelle Hubnetzwerke sieht wie folgt aus:

  1. Erstellen einer Firewallrichtlinie

    Sie können entweder eine neue Richtlinie erstellen, eine Basisrichtlinie ableiten und eine lokale Richtlinie anpassen oder Regeln aus einer vorhandenen Azure Firewall-Richtlinie importieren. Entfernen Sie unbedingt die NAT-Regeln aus Richtlinien, die auf mehrere Firewalls angewendet werden sollen.

  2. Erstellen Ihrer Hub-and-Spoke-Architektur

    Dazu erstellen Sie entweder ein virtuelles Hubnetzwerk mithilfe von Azure Firewall Manager und führen Peering virtueller Spoke-Netzwerke mithilfe von virtuellem Netzwerkpeering aus, oder Sie erstellen ein virtuelles Netzwerk, fügen virtuelle Netzwerkverbindungen hinzu und führen Peering virtueller Spoke-Netzwerke mithilfe von virtuellem Netzwerkpeering aus.

  3. Auswählen von Sicherheitsanbietern und Zuweisen der Firewallrichtlinie

    Derzeit wird nur Azure Firewall als Anbieter unterstützt. Dies kann beim Erstellen eines virtuellen Hubnetzwerks oder durch Konvertieren eines vorhandenen virtuellen Netzwerks in ein virtuelles Hubnetzwerk erfolgen. Es können auch mehrere virtuelle Netzwerke konvertiert werden.

  4. Konfigurieren von benutzerdefinierten Routen zum Weiterleiten von Datenverkehr an die Firewall Ihres virtuellen Hubnetzwerks

Bereitstellen von Azure Firewall Manager für geschützte virtuelle Hubs

Der empfohlene Prozess zum Bereitstellen von Azure Firewall Manager für geschützte virtuelle Hubs sieht wie folgt aus:

  1. Erstellen Ihrer Hub-and-Spoke-Architektur

    Erstellen Sie hierzu entweder einen geschützten virtuellen Hub mit Azure Firewall Manager und fügen dann virtuelle Netzwerkverbindungen hinzu, oder erstellen Sie einen Virtual WAN-Hub, und fügen Sie virtuelle Netzwerkverbindungen hinzu.

  2. Auswählen von Sicherheitsanbietern

    Dies kann beim Erstellen eines geschützten virtuellen Hubs oder durch Konvertieren eines vorhandenen Virtual WAN-Hubs in einen geschützten virtuellen Hub erfolgen.

  3. Erstellen einer Firewallrichtlinie und Zuordnen zu Ihrem Hub

    Dies gilt nur, wenn Sie Azure Firewall verwenden. Security-as-a-Service-Richtlinien von Drittanbietern werden über die Verwaltungsbenutzeroberfläche von Partnern konfiguriert.

  4. Konfigurieren von Routeneinstellungen, um Datenverkehr an Ihren geschützten virtuellen Hub weiterzuleiten

    Sie können mithilfe der Seite zur Routeneinstellung für geschützte virtuelle Hubs den Datenverkehr zur Filterung und Protokollierung ohne benutzerdefinierte Routen (UDR) auf virtuellen Spoke-Netzwerken einfach an Ihren geschützten Hub weiterleiten.

In jeder Region kann nur ein Hub pro Virtual WAN-Instanz verwendet werden. Sie können jedoch mehrere virtuelle WANs in der Region hinzufügen, um dies zu erreichen.

Überlappende IP-Adressräume für Hubs sind in einem vWAN nicht möglich.

Ihre Hub-VNET-Verbindungen müssen sich in der gleichen Region wie der Hub befinden.