Когда следует использовать Брандмауэр Azure уровня "Премиум"
Организации могут использовать функции Брандмауэр Azure Premium, такие как проверка IDPS и TLS, чтобы предотвратить распространение вредоносных программ и вирусов между сетями в боковом и горизонтальном направлениях. Чтобы удовлетворить повышенные требования к производительности для IDPS и проверки TLS, Брандмауэр Azure уровня "Премиум" использует номер SKU виртуальной машины с увеличенной мощностью. Как и SKU уровня "Стандартный", "Премиум" можно легко масштабировать до 30 Гбит/с и интегрировать с зонами доступности для поддержки соглашения об уровне обслуживания (SLA) 99,99%. SKU "Премиум" соответствует требованиям стандарта PCI DSS для отрасли платежных карт.
Чтобы решить, подходит ли Брандмауэр Azure уровня "Премиум" для вашей организации, рассмотрите следующие сценарии:
Вы хотите проверить исходящий трафик с шифрованием TLS.
Брандмауэр Azure проверка TLS класса Premium может расшифровать исходящий трафик, обработать данные, затем зашифровать данные и отправить его в место назначения.
Брандмауэр Azure уровня "Премиум" прерывает исходящие и подключения TLS и подключения TLS "восток-запад". Проверка входящего трафика TLS поддерживается Шлюзом приложений Azure, обеспечивающим сквозное шифрование. Брандмауэр Azure выполняет необходимые функции обеспечения безопасности и повторно шифрует трафик, отправляемый в исходное место назначения.
Вы хотите защитить сеть, используя обнаружение вредоносных трафика на основе сигнатур.
Система обнаружения и предотвращения сетевых вторжений (IDPS) позволяет отслеживать сеть для вредоносных действий. Кроме того, он позволяет регистрировать сведения об этом действии, сообщать о нем и при необходимости пытаться заблокировать его.
Брандмауэр Azure уровня "Премиум" предоставляет поставщиков удостоверений на основе подписей, чтобы обеспечить быстрое обнаружение атак путем поиска конкретных шаблонов, например последовательностей байтов в сетевом трафике или известных вредоносных инструкций, используемых вредоносными программами. Подписи IDPS применимы как для трафика приложения, так и для сетевого уровня (уровни 4-7). Они полностью управляются и постоянно обновляются. Вы можете применить поставщики удостоверений для входящего, периферийного (восточно-западного) и исходящего трафика.
Подписи и наборы правил брандмауэра Azure включают:
- Особое внимание уделяется цифровым отпечаткам реальных вредоносных программ, управлению и контролю, пакетам эксплойтов и вредоносным действиям в естественных условиях, пропущенным традиционными методами предотвращения.
- Более 55 000 правил в более чем 50 категориях.
- К категориям относятся управление и контроль с помощью вредоносных программ, атаки типа "отказ в обслуживании", ботнеты, информационные события, эксплойты, уязвимости, сетевые протоколы SCADA, действия пакетов эксплойтов и многое другое.
- 20–40 и более новых правил выпускаются каждый день.
- Низкий уровень ложноположительных результатов за счет использования первоклассной "песочницы" для вредоносных программ и цикла обратной связи глобальной сети датчиков.
IdPS позволяет обнаруживать атаки во всех портах и протоколах для нешифрованного трафика. Однако при необходимости проверки трафика HTTPS, Брандмауэр Azure может использовать свою возможность проверки TLS для расшифровки трафика и лучшего обнаружения вредоносных действий.
Список обхода IDPS позволяет не фильтровать трафик по каким-либо IP-адресам, диапазонам и подсетям, указанным в списке обхода.
Вы также можете использовать правила подписи, если для режима IDPS задано значение Alert. Но существует одна или несколько конкретных подписей, которые необходимо заблокировать, включая связанный трафик. В этом случае можно добавить новые правила подписи, задав для режима проверки TLS значение Запретить.
Вы хотите расширить возможности фильтрации FQDN Брандмауэра Azure, чтобы учитывать весь URL-адрес.
Брандмауэр Azure уровня "Премиум" может выполнять фильтрацию по всему URL-адресу. Например, www.contoso.com/a/c вместо www.contoso.com.
Фильтрацию URL-адресов можно применять как на HTTP-трафике, так и на HTTPS. При проверке HTTPS-трафика Брандмауэр Azure уровня "Премиум" может использовать свою возможность проверки TLS для расшифровки трафика и извлечения целевого URL, чтобы проверить, разрешен ли доступ. Проверка TLS требует согласия на уровне правила приложения. После включения можно использовать URL-адреса для фильтрации по протоколу HTTPS.
Вы хотите разрешить или запретить доступ на основе категорий.
Функция веб-категорий позволяет администраторам разрешать или запрещать доступ пользователей к категориям веб-сайтов, таким как азартные игры, веб-сайты социальных сетей и другие. Веб-категории также включены в Брандмауэр Azure Standard, но это более точно настроено в Брандмауэр Azure Premium. В отличие от веб-категории в службе уровня "Стандарт" SKU включается в категорию на основе полного доменного имени, а на уровне "Премиум", SKU включается в категорию по всему URL-адресу для трафика HTTP и HTTPS.
Например, если Брандмауэр Azure перехватывает HTTPS-запрос для www.google.com/news, ожидается следующая классификация:
- Брандмауэр "Стандартный" — проверяется только часть полного доменного имени, поэтому www.google.com классифицируется как поисковая система.
- Брандмауэр Premium — проверяется полный URL-адрес, поэтому www.google.com/news классифицируется как новости.
Категории организованы по уровню важности: "Ответственность", "Высокая пропускная способность", "Использование для бизнеса", "Снижение продуктивности", "Общее", "Без категории".