Uw netwerken beveiligen met Azure Firewall Manager

  • 10 minuten

Werken met Azure Firewall Manager

Azure Firewall Manager is een service voor beveiligingsbeheer die centraal beveiligingsbeleid en routebeheer biedt voor op cloud gebaseerde beveiligingsperimeters.

Diagram van Azure Firewall Manager met de optie VNet-implementatie van beveiligde hub en hub.

Azure Firewall Manager vereenvoudigt het proces van het centraal definiëren van regels op netwerk- en toepassingsniveau voor het filteren van verkeer in meerdere Azure Firewall-exemplaren. U kunt verschillende Azure-regio's en -abonnementen omvatten in hub- en spoke-architecturen voor verkeerbeheer en -beveiliging.

Als u meerdere firewalls beheert, is het vaak moeilijk om de firewallregels gesynchroniseerd te houden. Centrale IT-teams hebben een manier nodig om basisfirewallbeleid te definiëren en af te dwingen voor meerdere bedrijfseenheden. Tegelijkertijd willen DevOps-teams hun eigen lokale afgeleide firewallbeleid maken dat in organisaties wordt geïmplementeerd. Azure Firewall Manager kan helpen deze problemen op te lossen.

Firewall Manager biedt beveiligingsbeheer voor twee soorten netwerkarchitectuur:

  • Beveiligde virtuele hub. Deze naam wordt gegeven aan elke Azure Virtual WAN-hub met gekoppeld beveiligings- en routeringsbeleid. Een Azure Virtual WAN-hub is een door Microsoft beheerde resource waarmee u eenvoudig sterarchitecturen kunt maken.
  • Hub Virtual Network. Deze naam wordt gegeven aan elk standaard virtueel Azure-netwerk met gekoppeld beveiligingsbeleid. Een standaard virtueel Azure-netwerk is een resource die u zelf maakt en beheert. U kunt virtuele spaaknetwerken met uw workloadservers en services via peering verbinden. U kunt ook firewalls beheren in zelfstandige virtuele netwerken die niet aan een spaak zijn gekoppeld.

Functies van Azure Firewall Manager

De belangrijkste functies van Azure Firewall Manager zijn:

  • Central Azure Firewall-implementatie en -configuratie. U kunt meerdere Azure Firewall-instanties die over verschillende Azure-regio's en abonnementen zijn verspreid, centraal implementeren en configureren.

  • Hiërarchisch beleid (globaal en lokaal). U kunt Azure Firewall Manager gebruiken om Azure Firewall-beleidsregels centraal te beheren via meerdere beveiligde virtuele hubs. Uw centrale IT-teams kunnen globale firewallbeleidsregels opstellen om organisatiebreed firewallbeleid af te dwingen voor alle teams. Met lokaal opgestelde firewallbeleidsregels kan een DevOps-selfservicemodel worden gebruikt voor betere flexibiliteit.

  • Geïntegreerd met beveiliging als een service van derden voor geavanceerde beveiliging. Naast Azure Firewall kunt u externe beveiligings-as-a-serviceproviders integreren om extra netwerkbeveiliging te bieden voor uw VNet- en vertakkingsinternetverbindingen. Deze functie is alleen beschikbaar voor implementaties van beveiligde virtuele hubs.

  • Gecentraliseerd routebeheer. U kunt eenvoudig verkeer routeren naar uw beveiligde hub voor filteren en logboekregistratie zonder dat u handmatig UDR (User Defined Routes) hoeft in te stellen op virtuele spoke-netwerken. Deze functie is alleen beschikbaar voor implementaties van beveiligde virtuele hubs.

  • Beschikbaarheid in regio’s. U kunt Azure Firewall-beleid in verschillende regio's gebruiken. U kunt bijvoorbeeld een beleid maken in de regio VS - west en dit beleid nog steeds gebruiken in de regio VS - oost.

  • DDoS-beveiligingsplan. U kunt uw virtuele netwerken koppelen aan een DDoS-beveiligingsplan in Azure Firewall Manager.

  • Web Application Firewall-beleid beheren. U kunt centraal WAF-beleid (Web Application Firewall) maken en koppelen voor uw platformen voor het leveren van toepassingen, waaronder Azure Front Door en Azure-toepassing Gateway.

Azure Firewall Manager-beleid

Een firewallbeleid is een Azure-resource die NAT-, netwerk- en toepassingsregelverzamelingen en bedreigingsinformatie-instellingen bevat. Het is een globale resource die kan worden gebruikt in verschillende Azure Firewall-exemplaren in Beveiligde virtuele hubs en virtuele netwerken voor hubs. Beleid kan helemaal nieuw worden gemaakt of worden overgenomen van bestaand beleid. Overname stelt DevOps in staat om lokaal firewallbeleid te maken boven op het basisbeleid dat verplicht is in de organisatie. Beleidsregels werken in verschillende regio’s en abonnementen.

U kunt firewallbeleid en koppelingen maken met Azure Firewall Manager. U kunt echter ook een beleid maken en beheren met behulp van REST API, sjablonen, Azure PowerShell en de Azure CLI. Zodra u een beleid hebt gemaakt, kunt u het koppelen aan een firewall in een virtuele WAN-hub, waardoor het een beveiligde virtuele hub is en/of deze koppelt aan een firewall in een standaard virtueel Azure-netwerk, waardoor het een virtueel hubnetwerk wordt.

Diagram van Azure Firewall Manager met drie firewalls die zijn geïmplementeerd in verschillende hub-VNET's met toegepast beleid.

Azure Firewall Manager implementeren voor virtuele hubnetwerken

Het aanbevolen proces voor het implementeren van Azure Firewall Manager voor virtuele hubnetwerken is:

  1. Maak een firewallbeleid. U kunt een nieuw beleid maken, een basisbeleid afleiden en een lokaal beleid aanpassen of regels importeren vanuit een bestaande Azure Firewall. Zorg ervoor dat u NAT-regels verwijdert uit beleidsregels die moeten worden toegepast op meerdere firewalls.

  2. Maak een hub- en spoke-architectuur. Ofwel door een virtueel hubnetwerk te maken met behulp van Azure Firewall Manager en virtuele peering-netwerken voor spoke-netwerken. Of maak een virtueel netwerk en voeg virtuele netwerkverbindingen en peering spoke-netwerken toe aan de peering.

  3. Selecteer beveiligingsproviders en koppel firewallbeleid. Momenteel is alleen Azure Firewall een ondersteunde provider. Maak een virtueel hubnetwerk of converteer een bestaand virtueel netwerk naar een virtueel hubnetwerk. Het is mogelijk om meerdere virtuele netwerken te converteren.

  4. Configureer door de gebruiker gedefinieerde routes om verkeer te routeren naar de firewall van het virtuele hubnetwerk.

Azure Firewall Manager implementeren voor beveiligde virtuele hubs

Het aanbevolen proces voor het implementeren van Azure Firewall Manager voor beveiligde virtuele hubs is als volgt:

  1. Maak uw hub- en spoke-architectuur. Maak een beveiligde virtuele hub met behulp van Azure Firewall Manager en voeg virtuele netwerkverbindingen toe. Of maak een Virtual WAN-hub en voeg virtuele netwerkverbindingen toe.

  2. Selecteer beveiligingsproviders. Maak een beveiligde virtuele hub of converteer een bestaande Virtual WAN-hub naar een beveiligde virtuele hub.

  3. Maak een firewallbeleid en koppel dit aan uw hub. Alleen van toepassing als u Azure Firewall gebruikt. Beveiligingsbeleid van derden als een servicebeleid wordt geconfigureerd via de beheerervaring van partners.

  4. Configureer route-instellingen om verkeer naar uw beveiligde virtuele hub te routeren. U kunt verkeer eenvoudig routeren naar uw beveiligde hub voor filteren en logboekregistratie zonder door de gebruiker gedefinieerde routes (UDR) in virtuele spoke-netwerken met behulp van de pagina Beveiligde virtuele hubroute-instelling.

Notitie

U kunt niet meer dan één hub per virtual WAN per regio hebben, maar u kunt meerdere virtuele WAN's in de regio toevoegen om dit te bereiken. De VNet-verbindingen voor uw hub moeten zich in dezelfde regio bevinden als de hub.