مشاركة عبر

استخدام نهج Azure للمساعدة في تأمين عمليات توزيع Azure Firewall

Azure Policy هي خدمة في Azure تسمح لك بإنشاء النهج وتعيينها وإدارتها. تفرض هذه السياسات قواعد وتأثيرات متنوعة على مواردك، بحيث تظل هذه الموارد متوافقة مع معايير الشركة واتفاقيات مستوى الخدمة. يقوم نهج Azure بذلك من خلال تقييم مواردك لعدم التوافق مع النهج المعينة. على سبيل المثال، يمكن أن يكون لديك نهج للسماح فقط بحجم معين من الأجهزة الظاهرية في بيئتك أو لفرض علامة معينة على الموارد.

يمكن استخدام نهج Azure للتحكم في تكوينات جدار حماية Azure عن طريق تطبيق النهج التي تحدد التكوينات المسموح بها أو غير المسموح بها. يساعد هذا في التأكد من أن إعدادات جدار الحماية متسقة مع متطلبات التوافق التنظيمي وأفضل ممارسات الأمان.

المتطلبات الأساسية

في حال لم يكن لديك اشتراك Azure، فأنشئ حساباً مجانيّاً قبل البدء.

النهج المتوفرة لجدار حماية Azure

تتوفر النهج التالية لجدار حماية Azure:

  • تمكين التحليل الذكي للمخاطر في نهج جدار حماية Azure

    يتأكد هذا النهج من وضع علامة على أي تكوين جدار حماية Azure بدون تمكين intel للمخاطر على أنه غير متوافق.

  • توزيع جدار حماية Azure عبر مناطق توفر متعددة

    يقيد النهج نشر جدار حماية Azure ليتم السماح به فقط مع تكوين منطقة توفر متعددة.

  • ترقية Azure Firewall Standard إلى Premium

    يوصي هذا النهج بترقية Azure Firewall Standard إلى Premium بحيث يمكن استخدام جميع ميزات جدار الحماية المتقدمة لإصدار Premium. وهذا يزيد من تعزيز أمان الشبكة.

  • يجب تمكين تحليلات نهج جدار حماية Azure

    يضمن هذا النهج تمكين تحليلات النهج على جدار الحماية لضبط قواعد جدار الحماية وتحسينها بشكل فعال.

  • يجب أن يسمح جدار حماية Azure بحركة المرور المشفرة فقط

    يحلل هذا النهج القواعد والمنافذ الموجودة في نهج جدار حماية Azure ويدقق نهج جدار الحماية للتأكد من السماح بنسبة استخدام الشبكة المشفرة فقط في البيئة.

  • يجب أن يكون لدى جدار حماية Azure وكيل DNS ممكن

    يضمن هذا النهج تمكين ميزة وكيل DNS في عمليات نشر Azure Firewall.

  • تمكين IDPS في نهج Azure Firewall Premium

    يضمن هذا النهج تمكين ميزة IDPS في عمليات نشر Azure Firewall لحماية البيئة بشكل فعال من التهديدات والثغرات الأمنية المختلفة.

  • تمكين فحص TLS على نهج جدار حماية Azure

    يفرض هذا النهج تمكين فحص TLS للكشف عن النشاط الضار وتنبيهه والتخفيف من حدته في حركة مرور HTTPS.

  • فرض تكوين الوكيل الصريح لنهج جدار الحماية

    يضمن هذا النهج تمكين تكوين الوكيل الصريح لجميع نهج Azure Firewall. يتحقق من وجود explicitProxy.enableExplicitProxy الحقل ويضع علامة على الموارد على أنها غير متوافقة إذا كان هذا الإعداد مفقودا. يساعد هذا في الحفاظ على تكوينات الوكيل المتسقة عبر جميع عمليات نشر جدار الحماية. للحصول على تعريف النهج الكامل، راجع فرض تكوين الوكيل الصريح لنهج جدار الحماية.

  • تمكين تكوين ملف PAC أثناء استخدام الوكيل الصريح على جدار حماية Azure

    يقوم هذا النهج بمراجعة نهج Azure Firewall للتأكد من أنه عند تمكين الوكيل الصريح، يتم أيضا تكوين ملف PAC (التكوين التلقائي للوكيل) بشكل صحيح. يتحقق من صحة أنه إذا explicitProxy.enableExplicitProxy كان صحيحا ، فيجب explicitProxy.enablePacFile أيضا تمكينه لتوفير إمكانات التكوين التلقائي المناسبة للوكيل. للحصول على تعريف النهج الكامل، راجع تمكين تكوين ملف PAC أثناء استخدام الوكيل الصريح على جدار حماية Azure.

  • الترحيل من القواعد الكلاسيكية لجدار حماية Azure إلى نهج جدار الحماية

    يوصي هذا النهج بالترحيل من قواعد جدار الحماية الكلاسيكية إلى نهج جدار الحماية.

  • يجب أن يحتوي VNET مع علامة معينة على Azure Firewall Deployed

    يعثر هذا النهج على جميع الشبكات الظاهرية ذات علامة محددة ويتحقق مما إذا كان هناك جدار حماية Azure تم نشره، ويعلمه على أنه غير متوافق إذا لم يكن هناك جدار حماية Azure.

توضح الخطوات التالية كيف يمكنك إنشاء نهج Azure الذي يفرض جميع نهج جدار الحماية لتمكين ميزة تحليل ذكي للمخاطر (إما التنبيه فقط أو التنبيه والرفض). يتم تعيين نطاق نهج Azure إلى مجموعة الموارد التي تقوم بإنشائها.

إنشاء مجموعة موارد

يتم تعيين مجموعة الموارد هذه كنطاق لنهج Azure، وهو المكان الذي تقوم فيه بإنشاء نهج جدار الحماية.

  1. من مدخل Microsoft Azure، حدد Create a resource.
  2. في مربع البحث، اكتب مجموعة الموارد واضغط على مفتاح الإدخال Enter.
  3. حدد Resource group من نتائج البحث.
  4. حدد إنشاء.
  5. حدد Subscription الخاص بك.
  6. اكتب اسما لمجموعة الموارد الخاصة بك.
  7. حدد المنطقة.
  8. حدد Next : Tags.
  9. حدّد Next : Review + create.
  10. حدد إنشاء.

إنشاء نهج Azure

الآن قم بإنشاء نهج Azure في مجموعة الموارد الجديدة. يضمن هذا النهج تمكين تحليل ذكي للمخاطر لأي نهج جدار حماية.

  1. من مدخل Microsoft Azure، حدد All services.
  2. في مربع عامل التصفية، اكتب النهج واضغط على مفتاح الإدخال Enter.
  3. حدد Policy في نتائج البحث.
  4. في صفحة Policy، حدد Getting started.
  5. ضمن تعيين النهج، حدد عرض التعريفات.
  6. في صفحة التعريفات، اكتب جدار الحماية، في مربع البحث.
  7. حدد Azure Firewall Policy should enable Threat Intelligence.
  8. حدد تعيين نهج.
  9. بالنسبة إلى Scope، حدد you subscription and your new resource group.
  10. حدد تحديد.
  11. حدد التالي.
  12. في صفحة المعلمات ، قم بإلغاء تحديد خانة الاختيار إظهار المعلمات التي تحتاج إلى إدخال أو مراجعة فقط.
  13. بالنسبة إلى Effect، حدد Deny.
  14. حدد "Review + create".
  15. حدد إنشاء.

إنشاء نهج جدار الحماية

الآن تحاول إنشاء نهج جدار حماية مع تعطيل تحليل ذكي للمخاطر.

  1. من مدخل Microsoft Azure، حدد Create a resource.
  2. في مربع البحث، اكتب نهج جدار الحماية واضغط على مفتاح الإدخال Enter.
  3. حدد Firewall Policy في نتائج البحث.
  4. حدد إنشاء.
  5. حدد Subscription الخاص بك.
  6. بالنسبة لمجموعة الموارد، حدد مجموعة الموارد التي قمت بإنشائها مسبقا.
  7. في مربع النص الاسم ، اكتب اسما للنهج الخاص بك.
  8. حدد التالي: إعدادات DNS.
  9. تابع التحديد من خلال إلى صفحة التحليل الذكي للمخاطر.
  10. بالنسبة إلى وضع التحليل الذكي للمخاطر، حدد معطل.
  11. حدد "Review + create".

يجب أن تشاهد خطأ يقول إن النهج لم يسمح بموردك، مما يؤكد أن نهج Azure لا يسمح بنهج جدار الحماية التي تم تعطيل تحليل ذكي للمخاطر.

تعريفات نهج Azure الإضافية

لمزيد من تعريفات نهج Azure المصممة خصيصا لجدار حماية Azure، بما في ذلك نهج تكوين الوكيل الصريح، راجع مستودع GitHub لأمان شبكة Azure. يحتوي هذا المستودع على تعريفات نهج يساهم بها المجتمع والتي يمكنك نشرها في بيئتك.

المحتوى ذو الصلة

  • Last updated on