Co to jest usługa Azure Firewall Manager?

Ukończone

Zacznijmy od definicji i omówienia podstawowych funkcji programu Firewall Manager. To omówienie powinno pomóc w podjęciu decyzji, kiedy należy użyć Menedżera zapory i czy jest to dobre rozwiązanie dla wymagań organizacji.

Co to jest scentralizowane zarządzanie zaporą?

Scentralizowane zarządzanie zaporą oznacza jednoczesne zarządzanie wieloma zaporami. Utrzymanie wielu zapór osobno może być trudne. W miarę zmiany potrzeb związanych z zabezpieczeniami może być konieczne ponowne skonfigurowanie wszystkich zapór, aby upewnić się, że ich ustawienia są zsynchronizowane. Podobnie, jeśli zabezpieczenia muszą zostać rozwinięte, może być konieczne zaktualizowanie wszystkich zapór. Korzystanie z usługi Firewall Manager upraszcza zarządzanie zaporą.

Definicja menedżera zapory

Usługa Azure Firewall Manager umożliwia scentralizowanie zarządzania wieloma wystąpieniami usługi Azure Firewall. Azure Firewall to oparta na chmurze usługa zabezpieczeń sieci, która jest w pełni zarządzana. Implementując usługę Azure Firewall, możesz pomóc w ochronie zasobów platformy Azure.

Zespół ds. zabezpieczeń musi skonfigurować i obsługiwać reguły sieci i aplikacji na potrzeby filtrowania ruchu. Jeśli twoja organizacja ma wiele wystąpień usługi Azure Firewall, możesz skorzystać z scentralizowanej konfiguracji. Usługa Firewall Manager umożliwia:

  • Scentralizowane zarządzanie zaporą.
  • Obejmuje wiele subskrypcji platformy Azure.
  • Obejmuje różne regiony świadczenia usługi Azure.
  • Zaimplementuj architektury piasty i szprych w celu zapewnienia ładu i ochrony ruchu.

Zasady zapory

Zasady zapory to podstawowy blok konstrukcyjny menedżera zapory. Zasady zapory mogą składać się z następujących elementów:

  • Ustawienia translatora adresów sieciowych.
  • Kolekcje reguł sieciowych.
  • Kolekcje reguł aplikacji.
  • Ustawienia analizy zagrożeń.

Zasady zapory są stosowane do zapór. Po utworzeniu zasad można je skojarzyć z co najmniej jedną siecią wirtualną lub koncentratorami wirtualnymi.

Napiwek

Zasady usługi Azure Firewall można tworzyć i zarządzać nimi przy użyciu witryny Azure Portal, interfejsu API REST, szablonów, programu Azure PowerShell i interfejsu wiersza polecenia platformy Azure.

Jak centralnie zarządzać zaporami

Aby centralnie zarządzać usługą Azure Firewalls, wdróż menedżera zapory. Oferuje ono następujące funkcje:

  • Scentralizowane wdrażanie i konfiguracja
    Umożliwia skonfigurowanie wielu wystąpień usługi Azure Firewall. Te wiele wystąpień potencjalnie może obejmować subskrypcje i regiony platformy Azure.

  • Scentralizowane zarządzanie trasami
    Pomija wymaganie ręcznego tworzenia tras zdefiniowanych przez użytkownika w sieciach wirtualnych szprych.

    Ważne

    Scentralizowane zarządzanie trasami jest dostępne tylko w zabezpieczonej architekturze koncentratora wirtualnego.

  • Zasady hierarchiczne
    Umożliwiają one centralne zarządzanie zasadami usługi Azure Firewall w wielu zabezpieczonych koncentratorach wirtualnych. Zespół ds. zabezpieczeń IT może następnie utworzyć globalne zasady zapory i zastosować je w całej organizacji.

  • Integracja innej firmy
    Obsługuje to integrację zabezpieczeń innych firm jako dostawcą usług.

  • Dostępność między regionami
    Umożliwia tworzenie zasad usługi Azure Firewall w jednym regionie i stosowanie ich w innych regionach.

  • Plan ochrony przed atakami DDoS
    Sieci wirtualne można skojarzyć z planem ochrony przed atakami DDoS w usłudze Azure Firewall Manager.

  • Zarządzanie zasadami zapory aplikacji internetowej
    Możesz centralnie tworzyć i kojarzyć zasady zapory aplikacji internetowej (WAF) dla platform dostarczania aplikacji, w tym usług Azure Front Door i aplikacja systemu Azure Gateway.

Menedżer zapory można zaimplementować w jednej z dwóch architektur, które opisano w poniższej tabeli.

Typ architektury opis
Sieć wirtualna koncentratora Standardowa sieć wirtualna platformy Azure, którą tworzysz i zarządzasz. Po skojarzeniu zasad zapory z tym typem koncentratora tworzysz sieć wirtualną koncentratora. Podstawowy zasób tej architektury jest siecią wirtualną.
Bezpieczny koncentrator wirtualny Zasób zarządzany przez firmę Microsoft, który umożliwia łatwe tworzenie architektur piasty i szprych. Po skojarzeniu zasad używasz zabezpieczonego koncentratora wirtualnego. Podstawowym zasobem jest koncentrator wirtualnej sieci WAN.

Na poniższym diagramie przedstawiono każdy z tych typów architektury. Administrator przedsiębiorstwa ma nadrzędną kontrolę zasad nad zasadami zabezpieczeń organizacji. Administrator lokalny ma pewną kontrolę nad zasadami skojarzonymi z siecią wirtualną koncentratora.

Architektura programu Firewall Manager przedstawiająca dwa scenariusze: zabezpieczone koncentrator wirtualny i sieć wirtualną koncentratora.