Kiedy używać usługi Azure Firewall — wersja Premium
Organizacje mogą używać funkcji usługi Azure Firewall Premium, takich jak idPS i inspekcja protokołu TLS, aby zapobiec rozprzestrzenianiu się złośliwego oprogramowania i wirusów między sieciami zarówno w kierunku bocznym, jak i poziomym. Aby sprostać zwiększonym wymaganiom dotyczącym wydajności inspekcji dostawcy tożsamości i protokołu TLS, usługa Azure Firewall Premium korzysta z bardziej wydajnej jednostki SKU maszyny wirtualnej. Podobnie jak jednostka SKU w warstwie Standardowa, jednostka SKU w warstwie Premium może bezproblemowo skalować do 30 Gb/s i integrować się ze strefami dostępności, aby obsługiwać umowę dotyczącą poziomu usług (SLA) na poziomie 99,99%. Jednostka SKU Premium jest zgodna ze standardem PCI DSS (Payment Card Industry Data Security Standard).
Aby ułatwić podjęcie decyzji, czy usługa Azure Firewall Premium jest odpowiednia dla Twojej organizacji, rozważ następujące scenariusze:
Chcesz sprawdzić wychodzący ruch sieciowy zaszyfrowany przy użyciu protokołu TLS
Inspekcja protokołu TLS usługi Azure Firewall w warstwie Premium umożliwia odszyfrowywanie ruchu wychodzącego, przetwarzanie danych, a następnie szyfrowanie danych i wysyłanie ich do miejsca docelowego.
Usługa Azure Firewall Premium kończy połączenia wychodzące i połączenia TLS ze wschodnim zachodem. Inspekcja przychodzącego protokołu TLS jest obsługiwana w przypadku bramy aplikacja systemu Azure, która umożliwia kompleksowe szyfrowanie. Usługa Azure Firewall wykonuje wymagane funkcje zabezpieczeń dodane przez wartość i ponownie szyfruje ruch wysyłany do oryginalnego miejsca docelowego.
Chcesz chronić sieć przy użyciu złośliwego wykrywania ruchu opartego na podpisach
System wykrywania i zapobiegania włamaniom do sieci (IDPS) umożliwia monitorowanie sieci pod kątem złośliwych działań. Pozwala również rejestrować informacje o tym działaniu, zgłaszać je i opcjonalnie próbować je zablokować.
Usługa Azure Firewall Premium udostępnia dostawcę tożsamości opartego na sygnaturach, aby umożliwić szybkie wykrywanie ataków, wyszukując określone wzorce, takie jak sekwencje bajtów w ruchu sieciowym lub znane złośliwe sekwencje instrukcji używane przez złośliwe oprogramowanie. Podpisy IDPS mają zastosowanie zarówno dla ruchu na poziomie aplikacji, jak i sieci (warstwy 4–7). Są one w pełni zarządzane i stale aktualizowane. Adresy IP można stosować do ruchu przychodzącego, szprychowego (Wschód-Zachód) i ruchu wychodzącego.
Podpisy/zestawy reguł usługi Azure Firewall obejmują:
- Nacisk na odcisk palca rzeczywistego złośliwego oprogramowania, poleceń i kontroli, zestawów wykorzystujących luki w zabezpieczeniach oraz w dzikiej złośliwej aktywności pominiętej przez tradycyjne metody zapobiegania.
- Ponad 55 000 reguł w ponad 50 kategoriach.
- Kategorie obejmują polecenia i kontrolę złośliwego oprogramowania, ataki DoS, botnety, zdarzenia informacyjne, luki w zabezpieczeniach, protokoły sieciowe SCADA, działanie zestawu wykorzystującego luki w zabezpieczeniach i nie tylko.
- Codziennie są wydawane od 20 do 40 nowych reguł.
- Niska ocena fałszywie dodatnia przy użyciu najnowocześniejszej piaskownicy złośliwego oprogramowania i globalnej pętli opinii sieci czujników.
Usługa IDPS umożliwia wykrywanie ataków we wszystkich portach i protokołach dla niezaszyfrowanego ruchu. Jednak po sprawdzeniu ruchu HTTPS usługa Azure Firewall może użyć funkcji inspekcji protokołu TLS, aby odszyfrować ruch i lepiej wykryć złośliwe działania.
Lista obejść idPS pozwala nie filtrować ruchu do żadnego z adresów IP, zakresów i podsieci określonych na liście obejścia.
Możesz również użyć reguł podpisu, gdy tryb IDPS jest ustawiony na Alert. Istnieje jednak co najmniej jeden konkretny podpis, który chcesz zablokować, w tym powiązany ruch. W takim przypadku można dodać nowe reguły podpisów, ustawiając tryb inspekcji protokołu TLS na odmowę.
Chcesz rozszerzyć funkcję filtrowania nazw FQDN usługi Azure Firewall, aby uwzględnić cały adres URL
Usługa Azure Firewall — wersja Premium może filtrować cały adres URL. Na przykład www.contoso.com/a/c zamiast www.contoso.com.
Filtrowanie adresów URL można zastosować zarówno w przypadku ruchu HTTP, jak i HTTPS. Gdy ruch HTTPS jest sprawdzany, usługa Azure Firewall Premium może używać funkcji inspekcji protokołu TLS do odszyfrowywania ruchu i wyodrębniania docelowego adresu URL w celu sprawdzenia, czy dostęp jest dozwolony. Inspekcja protokołu TLS wymaga zgody na poziomie reguły aplikacji. Po włączeniu można używać adresów URL do filtrowania za pomocą protokołu HTTPS.
Chcesz zezwolić lub odmówić dostępu na podstawie kategorii
Funkcja Kategorie sieci Web umożliwia administratorom zezwalanie lub odmawianie dostępu użytkowników do kategorii witryn internetowych, takich jak witryny hazardowe, witryny internetowe mediów społecznościowych i inne. Kategorie sieci Web są również uwzględniane w usłudze Azure Firewall w warstwie Standardowa, ale jest ona bardziej dostrojona w usłudze Azure Firewall Premium. W przeciwieństwie do możliwości kategorii sieci Web w jednostce SKU w warstwie Standardowa, która pasuje do kategorii opartej na nazwie FQDN, jednostka SKU Premium odpowiada kategorii zgodnie z całym adresem URL zarówno dla ruchu HTTP, jak i HTTPS.
Jeśli na przykład usługa Azure Firewall przechwytuje żądanie HTTPS dla www.google.com/news, oczekiwana jest następująca kategoryzacja:
- Zapora w warstwie Standardowa — badana jest tylko część FQDN, więc www.google.com jest klasyfikowana jako wyszukiwarka.
- Zapora Premium — pełny adres URL jest badany, dlatego www.google.com/news jest skategoryzowany jako Wiadomości.
Kategorie są zorganizowane na podstawie ważności pod kątem odpowiedzialności, wysokiej przepustowości, użycia biznesowego, utraty produktywności, ogólnego surfingu i bez kategorii.