Описание Брандмауэра Azure

  • 2 мин

Брандмауэр — это устройство безопасности, оборудование, программное обеспечение или сочетание обоих, которое отслеживает входящие и исходящие сетевые трафикы на основе предопределенных правил безопасности. Ее основной целью является создание барьера между доверенной внутренней сетью и ненадежными внешними сетями, такими как Интернет, для защиты внутренней сети от вредоносных атак.

Брандмауэр Azure — это управляемая облачная служба безопасности сети, которая обеспечивает защиту от угроз для облачных рабочих нагрузок и ресурсов, работающих в Azure.

Брандмауэр Azure можно развернуть в любой виртуальной сети, но лучшим подходом является использование его в централизованной виртуальной сети. Все остальные виртуальные и локальные сети будут перенаправлены через него. Преимуществом этой модели является возможность централизованного управления сетевым трафиком для всех виртуальных сетей в разных подписках.

Схема, показывающая, как Брандмауэр Azure работает в централизованной виртуальной сети, может защитить как облачные виртуальные сети, так и локальную сеть.

Брандмауэр Azure Firewall может увеличивать масштаб настолько, насколько это необходимо для изменения потоков сетевого трафика, поэтому нет необходимости выделять бюджет для пикового трафика. Сетевой трафик подчиняется настроенным правилам брандмауэра при его маршрутизации в брандмауэр в качестве шлюза по умолчанию для подсети.

Основные возможности Брандмауэра Azure

Приведенный ниже список содержит краткое описание некоторых основных возможностей Брандмауэр Azure.

  • Брандмауэр с отслеживанием состояния. Брандмауэр Azure — это брандмауэр с отслеживанием состояния, то есть он может отслеживать состояние активных подключений и принимать решения на основе контекста трафика.

  • Встроенные зоны высокого уровня доступности и доступности: Брандмауэр Azure имеет встроенную высокую доступность, что означает, что она предназначена для обеспечения непрерывной работы и минимального простоя, даже в случае сбоев или высокой нагрузки трафика. Брандмауэр Azure можно настроить так, чтобы задействовать несколько зон доступности, каждая из которых будет состоять из одного или нескольких центров обработки данных, оснащенных независимыми системами электроснабжения, охлаждения и сетевого взаимодействия. Поддержка зон доступности в брандмауэре Azure обеспечивает более высокую доступность и надежность за счет распределения ресурсов между этими отдельными зонами.

  • Фильтрация на уровне сети и приложения. Брандмауэр Azure позволяет создавать и применять правила фильтрации сетевого трафика как для входящего, так и для исходящего трафика. Правила можно определять на основе IP-адресов, портов и протоколов. Брандмауэр Azure может фильтровать трафик на основе протоколов уровня приложений, таких как HTTP/S. Это означает, что вы можете управлять доступом к полным доменным именам (FQDN).

  • Преобразование сетевых адресов источника и назначения (NAT): преобразование сетевых адресов — это метод перенаправки IP-адреса на другой IP-адрес для управления и безопасного сетевого трафика. Брандмауэр Azure поддерживает преобразование исходных сетевых адресов (SNAT). SNAT преобразует частный IP-адрес сетевого ресурса (источника) в общедоступный IP-адрес Azure. Таким образом выполняется идентификация и разрешение трафика, исходящего из виртуальной сети в пункты назначения в Интернете. Аналогичным образом, брандмауэр Azure поддерживает преобразование сетевых адресов назначения (DNAT). С DNAT общедоступный IP-адрес, используемый для доступа к определенным службам в сети, преобразуется и фильтруется по частным IP-адресам ресурса в виртуальной сети (назначение). Это позволяет трафику, исходящему из Интернета, достигать частных ресурсов.

  • Аналитика угроз. Брандмауэр Azure интегрируется с предоставляемым корпорацией Майкрософт веб-каналом аналитики угроз для оповещения об известных вредоносных IP-адресах и доменах, помогая защитить сеть от угроз. Фильтрация на основе Microsoft Threat Intelligence может быть включена в брандмауэре с целю создания оповещений и запрета трафика, поступающего с известных вредоносных IP-адресов и доменов, а также передающегося на них.

  • Ведение журнала и мониторинг. В брандмауэре Azure реализована возможность ведения журнала и мониторинга с целью отслеживания действий брандмауэра и диагностики проблем. Журналы могут быть отправлены в Azure Monitor, службу анализа журналов или центры событий для дальнейшего анализа.

  • Интеграция со службами Azure. Брандмауэр легко интегрируется с другими службами Azure, такими как виртуальные сети Azure, Политика Azure и Центр безопасности Azure, предлагая таким образом согласованное решение для обеспечения безопасности облачной инфраструктуры.

Брандмауэр Azure предлагается в трех ценовых категориях (SKU): "Стандартный", "Премиум" и "Базовый". Подробные сведения о функциях, включенных для каждого из доступных номеров SKU (цен. категория "Стандартный", "Премиум" и "Базовый") приведены в разделе "Дополнительные сведения" в разделе сводки и ресурсов.

Интеграция с Безопасностью Copilot

Брандмауэр Azure интегрирован с Microsoft Security Copilot.

Для организаций, подключенных к Microsoft Security Copilot, пользователи могут столкнуться с интеграцией Copilot через автономный интерфейс.

Интеграция Брандмауэр Azure помогает аналитикам выполнять подробные исследования вредоносного трафика, перехватаемого системой обнаружения и предотвращения сетевых вторжений (доступных в стандартных и премиум-Брандмауэр Azure SKU) и (или) функций аналитики угроз, используя вопросы естественного языка в автономном интерфейсе Безопасности Copilot.

Чтобы использовать интеграцию Брандмауэр Azure с Copilot, выполните следующие действия.

  • Брандмауэр Azure, которые следует использовать с безопасностью Copilot, необходимо настроить с помощью структурированных журналов ресурсов для поставщиков удостоверений, и эти журналы должны быть отправлены в рабочую область Log Analytics.
  • Пользователи должны иметь разрешения на роль для использования Microsoft Security Copilot и должны иметь соответствующие роли управления доступом на основе ролей Azure (RBAC) для доступа к брандмауэру и связанной рабочей области Log Analytics.
  • Подключаемый модуль Брандмауэр Azure в Security Copilot должен быть включен.

Снимок экрана подключаемого модуля Брандмауэр Azure.

Брандмауэр Azure возможности в Copilot — это встроенные запросы, которые можно использовать, но вы также можете ввести собственные запросы на основе поддерживаемых возможностей.

Снимок экрана Брандмауэр Azure возможностей, которые можно запускать в автономном интерфейсе.

Сводка и единица ресурсов этого модуля содержит ссылку на более подробные сведения об интеграции Брандмауэр Azure в Microsoft Security Copilot.