Защита сетей с помощью Диспетчера брандмауэра Azure

  • 10 мин

Работа с Диспетчером брандмауэра Azure

Диспетчер брандмауэра Azure — это служба, обеспечивающая централизованное управление маршрутизацией и политиками защиты для облачных периметров безопасности.

Схема диспетчера Брандмауэр Azure, отображающего параметр развертывания безопасного концентратора и концентратора виртуальной сети.

Диспетчер брандмауэра Azure упрощает процесс централизованного определения правил на уровне сети и приложения для фильтрации трафика в нескольких экземплярах Брандмауэра Azure. Вы можете охватывать различные регионы и подписки Azure в звездообразных архитектурах для управления трафиком и защиты.

При управлении несколькими брандмауэрами часто сложно синхронизировать правила брандмауэра. Центральным ИТ-командам нужен способ определения базовых политик брандмауэра и их применения в нескольких бизнес-подразделениях. В то же время группам DevOps нужно создать собственные локальные производные политики брандмауэра для реализации в организациях. Диспетчер брандмауэра Azure помогает решить эти проблемы.

Диспетчер брандмауэра обеспечивает управление безопасностью для двух типов сетевой архитектуры.

  • Защищенный виртуальный концентратор. Это имя присваивается любому центру Azure Виртуальная глобальная сеть с связанными политиками безопасности и маршрутизации. Концентратор Виртуальной глобальной сети Azure — это управляемый корпорацией Майкрософт ресурс, который позволяет легко создавать звездообразные архитектуры.
  • Виртуальная сеть концентратора. Это имя, заданное любой стандартной виртуальной сети Azure с связанными политиками безопасности. Стандартная виртуальная сеть Azure является ресурсом, который вы создаете и которым управляете самостоятельно. Можно также создать периферийные виртуальные сети, содержащие серверы рабочей нагрузки и службы. Вы также можете управлять брандмауэрами в автономных виртуальных сетях, не являющихся одноуровневыми для любого периферийного узла.

Возможности Диспетчера брандмауэра Azure

Ниже приведены основные возможности, предоставляемые Диспетчером брандмауэра Azure:

  • Центральное Брандмауэр Azure развертывания и конфигурации. Вы можете централизованно развертывать и настраивать несколько экземпляров Брандмауэра Azure, охватывающих разные регионы и подписки Azure.

  • Иерархические политики (глобальные и локальные). С помощью Диспетчера брандмауэра Azure можно централизованно управлять политиками Брандмауэра Azure в нескольких защищенных виртуальных концентраторах. Центральный ИТ-отдел может создавать глобальные политики брандмауэра, применяемые в масштабе всей организации. Локально создаваемые политики брандмауэра обеспечивают модель самообслуживания DevOps для повышения гибкости.

  • Интегрирована с сторонним обеспечением безопасности как услуга для расширенной безопасности. Помимо Брандмауэр Azure, вы можете интегрировать сторонних поставщиков безопасности как службы, чтобы обеспечить дополнительную защиту сети для виртуальных сетей и подключений к Интернету филиала. Эта функция доступна только в средах защищенных виртуальных концентраторов.

  • Централизованное управление маршрутами. Вы можете легко направлять трафик в защищенный концентратор для фильтрации и ведения журнала без необходимости вручную настроить определяемые пользователем маршруты (UDR) в периферийных виртуальных сетях. Эта функция доступна только в средах защищенных виртуальных концентраторов.

  • Доступность по регионам. Политики Брандмауэр Azure можно использовать в разных регионах. Например, вы можете создать политику в регионе "Западная часть США" и использовать ее в регионе "Восточная часть США".

  • План защиты от атак DDoS. Вы можете связать свои виртуальные сети с планом защиты от атак DDoS в Диспетчере брандмауэра Azure.

  • Управление политиками Брандмауэра веб-приложений Вы можете централизованно создавать и связывать политики Брандмауэра веб-приложений (WAF) для платформ доставки приложений, включая Azure Front Door и Шлюз приложений Azure.

Политики Диспетчера брандмауэра Azure

Политика брандмауэра — это ресурс Azure, который содержит коллекции правил преобразования сетевых адресов (NAT), сети и приложений, а также параметры аналитики угроз. Это глобальный ресурс для множества экземпляров брандмауэра Azure на защищенных виртуальных концентраторах и в центральных виртуальных сетях. Новые политики могут быть созданы с нуля или унаследованы от существующих. Наследование позволяет DevOps создавать локальные политики брандмауэра поверх обязательных базовых политик организации. Политики работают в разных регионах и подписках.

Вы можете создать политику и связи брандмауэра с помощью Диспетчера брандмауэра Azure. Однако можно также создать политику и управлять ею с помощью REST API, шаблонов, Azure PowerShell и интерфейса командной строки Azure. После создания политики ее можно связать с брандмауэром в виртуальном концентраторе глобальной сети, сделав его защищенным виртуальным концентратором, и (или) связать с брандмауэром в стандартной виртуальной сети Azure, сделав ее виртуальной сетью концентратора.

Схема диспетчера Брандмауэр Azure с тремя брандмауэрами, развернутыми в разных виртуальных сетям концентратора с примененными политиками.

Развертывание Диспетчера брандмауэра Azure для виртуальных сетей концентраторов

Рекомендуемый процесс развертывания диспетчера Брандмауэр Azure для центральных виртуальная сеть:

  1. Создайте политику брандмауэра. Можно создать новую политику, получить базовую политику и настроить локальную политику или импортировать правила из существующего Брандмауэра Azure. Обязательно удалите правила NAT из политик, которые нужно применить к нескольким брандмауэрам.

  2. Создание концентратора и периферийной архитектуры. Либо путем создания концентратора виртуальная сеть с помощью диспетчера Брандмауэр Azure и пиринговых виртуальных сетей. Или создайте виртуальную сеть и добавьте подключения виртуальной сети и пиринговые виртуальные сети в пиринг.

  3. Выберите поставщиков безопасности и свяжите политику брандмауэра. Сейчас поддерживается только один поставщик: Брандмауэр Azure. Создайте концентратор виртуальная сеть или преобразуйте существующую виртуальную сеть в виртуальная сеть Концентратора. Можно преобразовать несколько виртуальных сетей.

  4. Настройте определяемые пользователем маршруты для маршрутизации трафика в брандмауэр центра виртуальная сеть.

Развертывание Диспетчера брандмауэра Azure для защищенных виртуальных концентраторов

Рекомендуемый процесс развертывания Диспетчера брандмауэра Azure для защищенных виртуальных концентраторов выглядит следующим образом:

  1. Создайте звездообразную архитектуру. Создайте защищенный виртуальный концентратор с помощью диспетчера Брандмауэр Azure и добавьте подключения к виртуальной сети. Или создайте центр Виртуальная глобальная сеть и добавьте подключения к виртуальной сети.

  2. Выберите поставщиков безопасности. Создайте защищенный виртуальный концентратор или преобразуйте существующий центр Виртуальная глобальная сеть в безопасный виртуальный концентратор.

  3. Создание политики брандмауэра и связывание ее с концентратором. Применимо только при использовании Брандмауэр Azure. Политики сторонних поставщиков, работающих по модели "безопасность как услуга", настраиваются с помощью интерфейса управления партнерами.

  4. Настройте параметры маршрутизации, чтобы направлять трафик в защищенный виртуальный концентратор. Вы можете легко направить трафик в защищенный концентратор для фильтрации и ведения журнала без определяемых пользователем маршрутов (UDR) в периферийных виртуальных сетях с помощью страницы параметров маршрутов для защищенного виртуального концентратора.

Примечание.

В виртуальной глобальной сети для каждого региона может быть только один концентратор. Если нужно использовать несколько концентраторов, в регион можно добавить несколько виртуальных глобальных сетей. Подключения к концентратору виртуальной сети должны находиться в том же регионе, что и сам концентратор.