使用 Azure 防火牆管理員的時機
在這裡,我們會分析這些準則以協助您決定防火牆管理員是否為組織的正確選擇:
- 複雜度。
- 集中式管理的需求。
- 虛擬網路數目。
決策準則
必須協助保護多個 Azure 虛擬網路的管理員會使用規則來控制整個周邊網路的流量。 當虛擬網路基礎結構成長時,管理的工作可能會變得更複雜。 管理員可利用防火牆管理員來集中設定 Azure 防火牆規則和設定。 以下這些因素可協助您決定防火牆管理員是否可讓貴組織受益。
| 準則 | 分析 |
|---|---|
| 簡化 | 如果您考慮防火牆管理員是「我的組織的防火牆和安全性需求有多複雜?」如果您有具有有限防火牆的簡單虛擬網路結構,您可能不需要防火牆管理員。 |
| 集中式管理的需求 | 接下來要問的問題是:「我可以利用更集中的方式來管理我的虛擬網路和防火牆嗎?」若答案為肯定,請考慮實作防火牆管理員。 |
| 虛擬網路數目 | 您有數個包含許多不同 Azure 防火牆的虛擬網路嗎? 防火牆管理員可讓貴組織獲益。 相反地,您只有幾個虛擬網路嗎? 防火牆管理員可能對您沒有幫助。 |
套用準則
防火牆管理員可集中管理您的防火牆安全性原則,以及雲端式安全界限的路由。 您是否要決定貴組織是否能受益於使用防火牆管理員? 您的 Azure 基礎結構複雜度有助於判斷您的答案。
基本上,您有兩個選擇。 您可以:
- 選擇以個別且不同的實體來管理每個 Azure 防火牆和其相關聯的規則。
- 實作防火牆管理員來集中設定。
如果您的 Azure 基礎結構只有一兩個不需要不同流量篩選條件的虛擬網路,您可能不需要實作防火牆管理員。
不過,您可以考慮使用防火牆管理員來:
- 在多個具有階層原則的 Azure 防火牆執行個體之間管理安全性原則設定和記錄。
- 在安全的虛擬中樞和中樞虛擬網路部署之間集中管理 Azure 防火牆。
- 在安全的虛擬中樞內自動進行安全性篩選的流量路由。
- 與協力廠商安全性合作夥伴進行整合,以獲得進階的保護。