توصيات Zero Trust لجدار حماية Azure

يوفر جدار الحماية من Azure تطبيق سياسات أمن الشبكات المركزية وتسجيل البيانات عبر شبكاتك الافتراضية. تساعدك التوصيات التالية على التحقق من أن ميزات الحماية الرئيسية نشطة ومضبوطة بشكل صحيح.

للحصول على ملخص لجميع توصيات أمان شبكة Azure Zero Trust، راجع توصيات أمان شبكة Azure Zero Trust.

التوصيات

يتم توجيه حركة المرور الصادرة من أحمال العمل المدمجة في VNet عبر جدار حماية Azure

جدار الحماية أزور هو خدمة أمن شبكة سحابية أصلية توفر تفتشا مركزيا وتسجيلا وإنفاذ حركة المرور الصادرة. في بنية الشبكة الآمنة، يجب توجيه حركة المرور الصادرة من أحمال العمل المدمجة في VNet مثل الأجهزة الافتراضية، عناقيد AKS، خدمة التطبيقات، والوظائف بشكل صريح عبر جدار حماية Azure قبل الوصول إلى الخدمات الخارجية. يضمن هذا التوجيه تطبيق فحص الأمن الصادر — بما في ذلك تصفية استخبارات التهديد، واكتشاف ومنع التسلل، وفحص TLS، وتطبيق سياسة الخروج — على جميع التدفقات الصادرة. بدون هذا التوجيه، تتجاوز حركة المرور الصادرة جدار الحماية بالكامل، مما يترك البيئة مكشوفة لاستخراج البيانات والتواصل بنظام القيادة والتحكم. يتحقق هذا الفحص من أن الشبكة الفعالة توجه حركة المرور الصادرة مباشرة إلى عنوان IP الخاص بجدار الحماية لأحمال العمل المؤهلة عبر جميع الاشتراكات.

بالنسبة لأحمال العمل عالية الحركة التي تخاطر بنفاد منافذ SNAT، فكر في نشر Azure NAT Gateway جنبا إلى جنب مع جدار الحماية Azure. توفر بوابة NAT ما يصل إلى 64,512 منفذ SNAT لكل عنوان IP عام مقارنة ب 2,496 منفذ SNAT لكل عنوان IP عام لكل نسخة. عند ربطها بشبكة AzureFirewallSubnet، تتولى بوابة NAT الترجمة الصادرة بينما يستمر جدار الحماية في Azure في فحص حركة المرور — دون وجود NAT مزدوج.

إجراءات الإصلاح

• Configure Azure Firewall routing
• إدارة جداول المسارات والمسارات
• Control App Service outbound traffic with Azure Firewall
• قواعد Azure Firewall Security rules

يتم تفعيل ذكاء التهديدات في وضع الرفض على جدار حماية Azure

تنبيهات تصفية وحرمان حركة مرور البيانات من وإلى عناوين IP الخبيثة المعروفة، وأسماء النطاقات المؤهلة بالكامل (FQDNs)، وعناوين URL المستمدة من تغذية استخبارات التهديدات في مايكروسوفت. عند تفعيلها، يقوم جدار الحماية Azure بتقييم حركة المرور مقابل قواعد استخبارات التهديدات قبل تطبيق قواعد ترجمة عناوين الشبكة (NAT)، أو قواعد الشبكة، أو التطبيقات. يتحقق هذا الفحص من تفعيل ذكاء التهديدات في وضع "تنبيه ورفض" في سياسة جدار الحماية الخاص بأزور. بدون تفعيل هذه الميزة، يظل الوضع مكشوفا لعناوين IP وخادرات وعناوين URL خبيثة معروفة، مما يخلق خطر الاختراق أو تسرب البيانات.

ملحوظة

وضع "تنبيه ورفض" يتطلب Azure Firewall Standard أو Premium. يدعم Azure Firewall Basic وضع التنبيه فقط. لمقارنة الميزات الكاملة، انظر اختيار ملف جدار الحماية المناسب لمنطقة Azure.

إجراءات الإصلاح

• Azure Firewall Threat intelligence configuration

تم تفعيل فحص IDPS في وضع الرفض على جدار حماية Azure

يقدم Azure Firewall Premium نظام كشف ومنع التسلل القائم على التوقيع (IDPS) لاكتشاف الهجمات من خلال تحديد أنماط محددة مثل تسلسلات البايتات في حركة المرور الشبكية أو تسلسلات التعليمات الخبيثة المعروفة التي تستخدمها البرمجيات الخبيثة. تنطبق توقيعات IDPS على كل من حركة المرور على مستوى التطبيق والشبكة في الطبقات 3-7، وهي مدارة بالكامل ويتم تحديثها باستمرار، ويمكن تطبيقها على حركة المرور الواردة، وحركة المرور الصادرة، وحركة المرور المتكلمة إلى الكلمات، والصادرة بما في ذلك الحركة من وإلى الشبكات المحلية. يتحقق هذا الفحص من تفعيل IDPS في وضع "تنبيه ورفض" في سياسة جدار الحماية Azure. إذا كان IDPS معطلا أو في وضع "تنبيه" فقط، فإن الأنماط الخبيثة في حركة المرور على الشبكة لا يتم حجبها بشكل نشط.

إجراءات الإصلاح

• دليل تنفيذ ميزات Azure Firewall Premium
• ميزات Azure Firewall حسب SKU

يتم تفعيل فحص حركة TLS الصادرة على جدار الحماية Azure

يوفر Azure Firewall Premium فحص أمان طبقة النقل (TLS) لفك تشفير وفحص وإعادة تشفير حركة المرور المشفرة من الشرق إلى الغرب باستخدام شهادة سلطة الشهادات (CA) المقدمة من العميل المخزنة في Azure Key Vault. يتيح فحص TLS قدرات أمنية متقدمة تشمل نظام كشف ومنع التسلل (IDPS) وتصفية عناوين URL لتحليل حركة المرور المشفرة وتحديد التهديدات التي تستخدم القنوات المشفرة لتجنب الكشف. بدون تفعيل فحص TLS، لا يمكن للجدار الناري فحص الحمولات المشفرة، مما يحد بشكل كبير من رؤية التهديدات التي تستفيد من TLS لتجاوز ضوابط الأمان التقليدية.

إجراءات الإصلاح

• تفعيل فحص TLS في Azure Firewall Premium
• نشر شهادات مع CA المؤسسي لفحص Azure Firewall Premium TLS
• إنشاء وتكوين شهادات CA وسيطة لفحص TLS
• تخزين شهادات في Azure Key Vault لفحص TLS
• تكوين قواعد التطبيق باستخدام فحص TLS في سياسة جدار الحماية Azure
• ميزات Azure Firewall حسب SKU

تم تفعيل تسجيل التشخيص في جدار الحماية Azure

يعالج جدار الحماية Azure جميع حركة المرور الداخلة والصادرة على الشبكة لأحمال العمل المحمية، مما يجعله نقطة تحكم حاسمة لمراقبة الأمان. عندما لا يتم تفعيل تسجيل التشخيص، تفقد فرق الأمن الرؤية لأنماط المرور، ومحاولات الاتصال المرفوضة، ومطابقات استخبارات التهديدات، واكتشافات توقيع نظام كشف ومنع التسلل (IDPS). بدون تسجيل الأحداث، يمكن للجهات المهددة التي تحصل على الوصول التحرك جانبيا دون اكتشاف، ولا يمكن للمستجيبين للحوادث بناء جداول زمنية للهجوم. يوفر جدار الحماية من Azure عدة فئات سجلات تشمل سجلات قواعد التطبيقات، سجلات قواعد الشبكة، سجلات ترجمة عناوين الشبكة (NAT)، سجلات استخبارات التهديدات، سجلات توقيع IDPS، وسجلات وكيل DNS التي يجب توجيهها إلى وجهة مثل تحليلات السجلات، أو حساب التخزين، أو مركز الأحداث لمراقبة الأمان والتحليل الجنائي.

إجراءات الإصلاح

• إنشاء مساحة عمل Log Analytics
• إنشاء إعدادات تشخيصية في Azure Monitor
• سجلات Azure Firewall المهيكلة
• كتاب عمل Azure Firewall
• مراقبة Azure Firewall

المحتوى ذو الصلة

• توصيات Azure Network Security Zero Trust
• نظرة عامة على Azure Firewall
• ميزات Azure Firewall Premium