Quand utiliser le Pare-feu Azure Premium
Les organisations peuvent utiliser les fonctionnalités du Pare-feu Azure Premium, comme le système de détection et de prévention des intrusions et l’inspection TLS, pour empêcher les programmes malveillants et les virus de se répandre sur les réseaux dans des directions latérales et horizontales. Pour répondre aux demandes du système de détection et de prévention des intrusions et de l’inspection TLS en termes de performances, le Pare-feu Azure Premium utilise une référence SKU de machine virtuelle plus puissante. À l’instar de la référence SKU Standard, la référence SKU Premium peut évoluer en toute transparence jusqu’à 30 Gbit/s et s’intégrer avec les zones de disponibilité pour prendre en charge le contrat de niveau de service (SLA) de 99,99 %. La référence SKU Premium est conforme aux besoins des environnements PCI DSS (Payment Card Industry Data Security Standard).
Pour vous aider à déterminer si le Pare-feu Azure Premium est adapté à votre organisation, considérez les scénarios suivants :
Vous voulez inspecter le trafic réseau chiffré TLS sortant
L’inspection TLS du Pare-feu Azure Premium peut déchiffrer le trafic sortant, traiter les données, puis chiffrer les données et les envoyer vers la destination.
Le Pare-feu Azure Premium met fin aux connexions TLS sortantes et Est-Ouest. L’inspection TLS entrante est prise en charge avec Azure Application Gateway, ce qui permet un chiffrement de bout en bout. Le Pare-feu Azure effectue les fonctions de sécurité à valeur ajoutée requises et chiffre à nouveau le trafic envoyé à la destination d’origine.
Vous souhaitez protéger votre réseau en utilisant la détection de trafic malveillant basé sur des signatures
Un système de détection et de prévention des intrusions réseau (IDPS) vous permet de surveiller votre réseau pour détecter toute activité malveillante. Il vous permet également de journaliser des informations sur cette activité, de la signaler et éventuellement de tenter de la bloquer.
Le Pare-feu Azure Premium propose un système IDPS basé sur les signatures pour permettre une détection rapide des attaques en recherchant des modèles spécifiques, tels que des séquences d’octets dans le trafic réseau ou des séquences d’instructions malveillantes connues utilisées par un programme malveillant. Les signatures IDPS s’appliquent au trafic au niveau de l’application et du réseau (couches 4-7). Elles sont complètement managées et mises à jour en permanence. Vous pouvez appliquer IDPS au trafic entrant, spoke-to-spoke (Est-Ouest) et sortant.
Les signatures/ensembles de règles du Pare-feu Azure incluent les éléments suivants :
- Accent mis sur la prise d’empreinte numérique des logiciels malveillants, des centres de commande et de contrôle, des kits de code malveillant exploitant une faille de sécurité et des diverses activités malveillantes manquées par les méthodes de protection traditionnelles
- Plus de 55 000 règles dans plus de 50 catégories
- Exemples de catégories : commande et contrôle des logiciels malveillants, attaques DoS, botnets, événements d’information, code malveillant exploitant une faille de sécurité, vulnérabilités, protocoles réseau SCADA, activité des kits de code malveillant
- Entre 20 et 40 nouvelles règles publiées quotidiennement
- Faible classification de faux positifs grâce à un bac à sable (sandbox) de pointe et à une boucle de rétroaction du réseau de capteurs globaux.
Le système IDPS vous permet de détecter des attaques dans tous les ports et protocoles pour le trafic non chiffré. Cela étant, lorsque le trafic HTTPS doit être inspecté, le Pare-feu Azure peut utiliser sa fonction d’inspection TLS pour déchiffrer le trafic et mieux détecter les activités malveillantes.
La liste de contournement IDPS vous permet de ne pas filtrer le trafic vers les adresses IP, les plages et les sous-réseaux spécifiés dans cette liste.
Vous pouvez également utiliser des règles de signature lorsque le mode IDPS est défini sur Alerte. Toutefois, il existe une ou plusieurs signatures spécifiques que vous souhaitez bloquer, y compris leur trafic associé. Dans ce cas, vous pouvez ajouter de nouvelles règles de signature en définissant le mode d’inspection TLS sur refuser.
Vous voulez étendre la fonctionnalité de filtrage de nom de domaine complet du Pare-feu Azure pour prendre en compte une URL entière
Le Pare-feu Azure Premium peut filtrer sur une URL entière. Par exemple, www.contoso.com/a/c
plutôt que www.contoso.com
.
Le filtrage d’URL peut être appliqué au trafic HTTP et HTTPS. Lorsque le trafic HTTPS est inspecté, le Pare-feu Azure Premium peut utiliser sa fonctionnalité d’inspection TLS pour déchiffrer le trafic et extraire l’URL cible afin de vérifier si l’accès est autorisé. L’inspection TLS nécessite un consentement au niveau de la règle d’application. Après activation, vous pouvez utiliser des URL pour le filtrage avec HTTPS.
Vous souhaitez autoriser ou refuser l’accès en fonction de catégories
La fonctionnalité Catégories web permet aux administrateurs d’autoriser ou de refuser l’accès des utilisateurs à des catégories de sites web telles que les sites de jeux d’argent, les sites de réseaux sociaux et autres. Les catégories web sont également incluses dans le niveau tarifaire Standard du service Pare-feu Azure, mais elles sont mieux ajustées dans niveau tarifaire Premium de ce service. Contrairement à la fonctionnalité de catégories web de la référence SKU Standard qui correspond à la catégorie basée sur un nom de domaine complet, la référence SKU Premium correspond à la catégorie en fonction de l’URL complète pour le trafic HTTP et HTTPS.
Par exemple, si le Pare-feu Azure intercepte une requête HTTPS pour www.google.com/news, la catégorisation suivante est attendue :
- Pare-feu Standard : seule la partie du nom de domaine complet est examinée et www.google.com est donc catégorisé comme Moteur de recherche.
- Pare-feu Premium : l’URL complète est examinée et www.google.com/news est catégorisé comme Actualités.
Les catégories sont organisées en fonction de leur gravité sous Responsabilité, Bande passante élevée, Utilisation métier, Perte de productivité, Navigation générale et Sans catégorie.