Sdílet prostřednictvím


Funkce služby Azure Firewall Premium

Logo certifikace PCI

Azure Firewall Premium poskytuje pokročilou ochranu před hrozbami, která splňuje potřeby vysoce citlivých a regulovaných prostředí, jako jsou platby a zdravotnictví.

Organizace můžou používat funkce jednotek skladových zásob (SKU) úrovně Premium, jako je kontrola IDPS a TLS, aby se zabránilo šíření malwaru a virů mezi sítěmi v laterálních i horizontálních směrech. Ke splnění zvýšených požadavků na výkon kontroly ZPS a TLS používá Azure Firewall Premium výkonnější skladovou položku virtuálního počítače. Stejně jako skladová položka Standard může skladová položka Premium bezproblémově škálovat až 100 Gb/s a integrovat se zónami dostupnosti, aby podporovala smlouvu o úrovni služeb (SLA) o 99,99 procentech. Skladová položka Premium vyhovuje potřebám prostředí PCI DSS (Payment Card Industry Data Security Standard).

Diagram přehledu služby Azure Firewall Premium

Azure Firewall Premium zahrnuje následující funkce:

  • Kontrola protokolu TLS – dešifruje odchozí provoz, zpracuje data, pak data zašifruje a odešle je do cíle.
  • IDPS – Systém detekce a prevence neoprávněných vniknutí sítě (IDPS) umožňuje monitorovat síťové aktivity pro škodlivou aktivitu, protokolovat informace o této aktivitě, hlásit ho a volitelně se ho pokoušet blokovat.
  • Filtrování adres URL – rozšiřuje funkci filtrování plně kvalifikovaného názvu domény služby Azure Firewall, aby zvážila celou adresu URL spolu s další cestou. Například místo www.contoso.com/a/cwww.contoso.com.
  • Webové kategorie – správci můžou povolit nebo odepřít přístup uživatelů k kategoriím webů, jako jsou například weby s hazardem, weby sociálních médií a další.

Porovnání funkcí služby Azure Firewall pro všechny skladové položky brány firewall najdete v tématu Volba správné skladové položky služby Azure Firewall podle vašich potřeb.

Kontrola protokolu TLS

Protokol TLS (Transport Layer Security) primárně poskytuje kryptografii pro ochranu osobních údajů, integritu a pravost pomocí certifikátů mezi dvěma nebo více komunikujícími aplikacemi. Běží v aplikační vrstvě a běžně se používá k šifrování protokolu HTTP.

Šifrovaný provoz má možné bezpečnostní riziko a může skrýt neoprávněnou aktivitu uživatelů a škodlivý provoz. Azure Firewall bez kontroly protokolu TLS (jak je znázorněno v následujícím diagramu) nemá přehled o datech, která proudí v šifrovaného tunelu TLS, takže nemůže poskytovat pokrytí úplné ochrany.

Druhý diagram ukazuje, jak Azure Firewall Premium ukončí a zkontroluje připojení TLS, aby zjistila, upozorňovala a zmírňovala škodlivou aktivitu v PROTOKOLU HTTPS. Brána firewall vytvoří dvě vyhrazená připojení TLS: jedno s webovým serverem (contoso.com) a další připojení s klientem. Pomocí certifikátu certifikační autority poskytnutého zákazníkem vygeneruje zachytávací certifikát, který nahrazuje certifikát webového serveru a sdílí ho s klientem za účelem navázání připojení TLS mezi bránou firewall a klientem.

Azure Firewall bez kontroly protokolu TLS: Kompletní tls pro Azure Firewall Standard

Azure Firewall s kontrolou protokolu TLS: TLS se službou Azure Firewall Premium

Azure Firewall podporuje následující případy použití:

  • Kontrola odchozího protokolu TLS

    Ochrana před škodlivým provozem odesílaným z interního klienta hostovaného v Azure na internet.

  • Kontrola protokolu TLS – východ –západ (zahrnuje provoz, který přechází z/do místní sítě)

    Pokud chcete chránit úlohy Azure před potenciálním škodlivým provozem odesílaným z Azure.

Azure Web Application Firewall ve službě Aplikace Azure Gateway podporuje následující případ použití:

Tip

Protokoly TLS 1.0 a 1.1 jsou zastaralé a nebudou podporovány. Zjistilo se, že verze TLS 1.0 a 1.1 protokolu TLS/Secure Sockets Layer (SSL) jsou zranitelné, a přestože stále pracují na zajištění zpětné kompatibility, nedoporučuje se. Co nejdříve migrujte na protokol TLS 1.2.

Další informace o požadavcích na certifikáty zprostředkující certifikační autority služby Azure Firewall Premium najdete v tématu Certifikáty Služby Azure Firewall Premium.

Další informace o kontrole protokolu TLS najdete v tématu Vytvoření POC pro kontrolu protokolu TLS ve službě Azure Firewall.

IDPS

Systém pro detekci a prevenci neoprávněných vniknutí v síti umožňuje monitorovat škodlivou aktivitu, protokolovat informace o této aktivitě, hlásit ji a volitelně se ji pokusit zablokovat.

Azure Firewall Premium poskytuje protokol IDPS založený na podpisu, který umožňuje rychlou detekci útoků vyhledáním konkrétních vzorů, jako jsou sekvence bajtů v síťovém provozu nebo známé škodlivé sekvence instrukcí používané malwarem. Podpisy IDPS platí pro provoz na úrovni aplikace i sítě (vrstvy 3–7). Jsou plně spravované a průběžně aktualizované. PROTOKOL IDPS se dá použít u příchozího, paprskového-paprskového (east-west) a odchozího provozu. Paprskové paprsky (East-West) zahrnují provoz, který přechází z místní sítě do místní sítě. Rozsahy privátních IP adres IDPS můžete nakonfigurovat pomocí funkce Rozsahy privátních IP adres. Další informace najdete v tématu Rozsahy privátních IP adres IDPS.

Mezi podpisy a sady pravidel služby Azure Firewall patří:

  • Důraz na otisky prstů skutečného malwaru, příkazů a řízení, zneužití sad a v divoké škodlivé aktivitě vynechané tradičními metodami prevence.
  • Více než 67 000 pravidel ve více než 50 kategoriích
    • Mezi tyto kategorie patří příkazy a řízení malwaru, phishing, trojské koně, botnety, informační události, zneužití, ohrožení zabezpečení, síťové protokoly SCADA, aktivita exploit kit a další.
  • Každý den se vydává 20 až 40 nových pravidel.
  • Nízké falešně pozitivní hodnocení pomocí nejmodernějších technik detekce malwaru, jako je například globální smyčka zpětné vazby ze sítě snímačů.

IDPS umožňuje detekovat útoky ve všech portech a protokolech pro nešifrovaný provoz. Pokud je ale potřeba zkontrolovat provoz HTTPS, azure Firewall může k dešifrování provozu a lepší detekci škodlivých aktivit použít funkci kontroly protokolu TLS.

Seznam obejití IDPS je konfigurace, která umožňuje nefiltrovat provoz na žádné IP adresy, rozsahy a podsítě zadané v seznamu obejití. Seznam obejití IDPS není určen jako způsob, jak zvýšit výkon propustnosti, protože brána firewall stále podléhá výkonu přidruženému k vašemu případu použití. Další informace najdete v tématu Výkon služby Azure Firewall.

Snímek obrazovky se seznamem obejití IDPS

Rozsahy privátních IP adres IDPS

Ve službě Azure Firewall Premium SE rozsahy privátních IP adres používají k identifikaci, jestli je provoz příchozí, odchozí nebo interní (east-west). Každý podpis se použije pro konkrétní směr provozu, jak je uvedeno v tabulce pravidel signatur. Ve výchozím nastavení se za privátní IP adresy považují pouze rozsahy definované IANA RFC 1918. Provoz odesílaný z rozsahu privátních IP adres do rozsahu privátních IP adres se proto považuje za interní. Pokud chcete upravit privátní IP adresy, můžete teď podle potřeby snadno upravit, odebrat nebo přidat rozsahy.

Snímek obrazovky znázorňující rozsahy privátních IP adres IDPS

Pravidla podpisu IDPS

Pravidla podpisu IDPS umožňují:

  • Přizpůsobte jeden nebo více podpisů a změňte jejich režim na Zakázáno, Výstraha nebo Upozornění a Zamítnutí. Maximální počet přizpůsobených pravidel IDPS by neměl překročit 10 000.

    Pokud například obdržíte falešně pozitivní zprávu, kdy služba Azure Firewall blokuje legitimní požadavek kvůli chybnému podpisu, můžete použít ID podpisu z protokolů pravidel sítě a nastavit jeho režim IDPS na vypnuto. Díky tomu se bude chybný podpis ignorovat a problém s falešně pozitivními výsledky se tím vyřeší.

  • Stejný postup ladění můžete použít i u podpisů, které vytvářejí příliš velké množství upozornění s nízkou prioritou a tím narušují viditelnost upozornění s vysokou prioritou.

  • Získejte holistické zobrazení více než 67 000 podpisů

  • Inteligentní hledání

    Tato akce umožňuje prohledávat celou databázi podpisů podle libovolného typu atributu. Můžete například vyhledat konkrétní CVE-ID a zjistit, které podpisy se o tento CVE stará, zadáním ID do vyhledávacího panelu.

Pravidla podpisu IDPS mají následující vlastnosti:

Sloupec Popis
ID podpisu Interní ID každého podpisu. Toto ID se také zobrazí v protokolech pravidel sítě služby Azure Firewall.
Režim Určuje, jestli je podpis aktivní nebo ne, a jestli brána firewall po odpovídajícím provozu zahodí nebo upozorní. Následující režim podpisu může přepsat režim IDPS.
- Zakázáno: Podpis není ve vaší bráně firewall povolený.
- Upozornění: Při zjištění podezřelého provozu obdržíte výstrahy.
- Výstraha a zamítnutí: Obdržíte upozornění a podezřelý provoz se zablokuje. Několik kategorií podpisů je definováno jako "Pouze výstrahy", proto ve výchozím nastavení není provoz odpovídající jejich podpisům blokovaný, i když je režim IDPS nastavený na "Výstraha a zamítnutí". Můžete to přepsat přizpůsobením těchto konkrétních podpisů do režimu upozornění a zamítnutí .

Režim podpisu IDPS je určen jedním z následujících důvodů:

1. Definovaný režimem zásad – režim podpisu je odvozen z režimu IDPS existující zásady.
2. Definovaný nadřazenou zásadou – režim podpisu je odvozen z režimu IDPS nadřazené zásady.
3. Přepsání – Můžete přepsat a přizpůsobit režim podpisu.
4. Definovaný systémem – režim podpisu je nastaven na výstrahu pouze systémem z důvodu jeho kategorie. Tento režim podpisu můžete přepsat.

Poznámka: Upozornění IDPS jsou k dispozici na portálu prostřednictvím dotazu protokolu pravidel sítě.
Závažnost Každý podpis má přidruženou úroveň závažnosti a přiřazenou prioritu, která označuje pravděpodobnost, že podpis je skutečným útokem.
- Nízká (priorita 3): Neobvyklá událost je událost, která se obvykle neprovádí v síti nebo jsou protokolovány informační události. Pravděpodobnost útoku je nízká.
- Střední (priorita 2):: Podpis označuje útok podezřelé povahy. Správce by měl provést další šetření.
- Vysoká (priorita 1):: Podpisy útoku indikují, že se spouští útok závažné povahy. Existuje malá pravděpodobnost, že pakety mají legitimní účel.
Směr Směr provozu, pro který se podpis použije.

- Příchozí: Podpis se použije jenom u přenosů přicházejících z internetu a určených do nakonfigurovaného rozsahu privátních IP adres.
- Odchozí: Podpis se použije jenom u provozu odesílaných z nakonfigurovaného rozsahu privátních IP adres do internetu.
- Interní: Podpis se použije jenom u provozu odesílaného a určeného do nakonfigurovaného rozsahu privátních IP adres.
- Interní/příchozí: Podpis se použije u provozu přicházejícího z nakonfigurovaného rozsahu privátních IP adres nebo z internetu a určený do nakonfigurovaného rozsahu privátních IP adres.
- Interní/odchozí: Podpis se použije pro provoz odesílaný z nakonfigurovaného rozsahu privátních IP adres a určený do nakonfigurovaného rozsahu privátních IP adres nebo do internetu.
- Libovolná: Podpis se vždy použije u libovolného směru provozu.
Seskupit Název skupiny, do které podpis patří.
Popis Strukturováno z následujících tří částí:
- Název kategorie: Název kategorie, do které podpis patří, jak je popsáno v kategoriích pravidel podpisu IDPS služby Azure Firewall.
- Popis podpisu na vysoké úrovni
- CVE-ID (volitelné) v případě, že je podpis přidružený ke konkrétnímu CVE.
Protokol Protokol přidružený k tomuto podpisu.
Zdrojové a cílové porty Porty přidružené k tomuto podpisu.
Naposledy aktualizované Poslední datum, kdy byl tento podpis zaveden nebo změněn.

Snímek obrazovky zobrazující sloupce pravidel podpisu IDPS

Další informace o sadě IDPS naleznete v tématu Převzetí IDPS brány Azure Firewall na testovací jednotce.

Filtrování adres URL

Filtrování adres URL rozšiřuje funkci filtrování plně kvalifikovaného názvu domény služby Azure Firewall, aby zvážila celou adresu URL. Například místo www.contoso.com/a/cwww.contoso.com.

Filtrování adres URL se dá použít jak u provozu HTTP, tak https. Při kontrole provozu HTTPS může Azure Firewall Premium použít funkci kontroly protokolu TLS k dešifrování provozu a extrahování cílové adresy URL k ověření, jestli je povolený přístup. Kontrola protokolu TLS vyžaduje souhlas na úrovni pravidla aplikace. Po povolení můžete použít adresy URL k filtrování pomocí protokolu HTTPS.

Kategorie webů

Webové kategorie umožňují správcům povolit nebo odepřít přístup uživatelů k kategoriím webů, jako jsou weby s hazardem, weby sociálních médií a další. Webové kategorie jsou také zahrnuté ve službě Azure Firewall Standard, ale v Azure Firewall Premium je to jemněji vyladěné. Na rozdíl od funkce webových kategorií ve skladové posílané jednotce Standard, která odpovídá kategorii založené na plně kvalifikovaném názvu domény, odpovídá skladová položka Premium kategorii podle celé adresy URL provozu HTTP i HTTPS.

Webové kategorie služby Azure Firewall Premium jsou dostupné jenom v zásadách brány firewall. Ujistěte se, že skladová položka zásad odpovídá SKU vaší instance brány firewall. Pokud máte například instanci brány firewall Premium, musíte použít zásadu Firewall Premium.

Pokud například Azure Firewall zachytí požadavek HTTPS, www.google.com/newsočekává se následující kategorizace:

  • Standard brány firewall – zkoumá se pouze část plně kvalifikovaného názvu domény, takže www.google.com je kategorizována jako vyhledávací web.

  • Brána firewall Premium – úplná adresa URL je prozkoumána, takže www.google.com/news je zařazena do kategorií jako Zprávy.

Kategorie jsou uspořádány na základě závažnosti v rámci Odpovědnosti, Vysoká šířka pásma, Obchodní použití, Ztráta produktivity, Obecné Surfování a Nezařazeno. Podrobný popis webových kategorií najdete ve webových kategoriích služby Azure Firewall.

Protokolování webových kategorií

V protokolech aplikace můžete zobrazit provoz filtrovaný podle kategorií webu . Pole Webové kategorie se zobrazí jenom v případě, že je explicitně nakonfigurované v pravidlech aplikace zásad brány firewall. Pokud například nemáte pravidlo, které explicitně odmítne vyhledávací weby, a uživatel požádá o přechod na www.bing.com, zobrazí se na rozdíl od zprávy webové kategorie pouze výchozí zpráva o zamítnutí. Důvodem je to, že webová kategorie nebyla explicitně nakonfigurována.

Výjimky kategorií

Můžete vytvářet výjimky pravidel kategorií webu. Vytvořte samostatnou kolekci pravidel povolení nebo zamítnutí s vyšší prioritou v rámci skupiny kolekcí pravidel. Můžete například nakonfigurovat kolekci pravidel, která umožňuje www.linkedin.com s prioritou 100, s kolekcí pravidel, která zakazuje sociální sítě s prioritou 200. Tím se vytvoří výjimka pro předdefinovanou webovou kategorii sociálních sítí .

Pomocí funkce Kontrola webových kategorií můžete zjistit, jakou kategorii má daná plně kvalifikovaný název domény nebo adresa URL. Pokud to chcete použít, vyberte kartu Webové kategorie v části Zásady brány firewall Nastavení. To je užitečné při definování pravidel aplikace pro cílový provoz.

Dialogové okno hledání kategorií brány firewall

Důležité

Pokud chcete použít funkci Kontrola kategorie webu, musí mít uživatel přístup microsoft.Network/azureWebCategories/* pro úroveň předplatného , nikoli úroveň skupiny prostředků.

Změna kategorie

Na kartě Webové kategorie v zásadách brány firewall Nastavení můžete požádat o změnu kategorie, pokud:

  • si myslíte, že plně kvalifikovaný název domény nebo adresa URL by měly být pod jinou kategorií.

    nebo

  • mají navrženou kategorii pro nezařazený plně kvalifikovaný název domény nebo adresu URL.

Jakmile odešlete sestavu změn kategorií, dostanete token v oznámeních, která indikují, že jsme obdrželi žádost o zpracování. Zadáním tokenu do vyhledávacího panelu můžete zkontrolovat, jestli žádost probíhá, odepřena nebo schválená. Nezapomeňte uložit ID tokenu, abyste to udělali.

Dialogové okno sestavy kategorií brány firewall

Webové kategorie, které nepodporují ukončení protokolu TLS

Kvůli ochraně osobních údajů a dodržování předpisů není možné určité webové přenosy, které jsou šifrované, dešifrovat pomocí ukončení protokolu TLS. Například data o stavu zaměstnanců přenášená přes webový provoz přes podnikovou síť by neměla být ukončena kvůli ochraně osobních údajů.

V důsledku toho následující webové kategorie nepodporují ukončení protokolu TLS:

  • Vzdělávání
  • Finance
  • Státní správa
  • Zdraví a lékařství

Alternativním řešením je, že pokud chcete, aby konkrétní adresa URL podporovala ukončení protokolu TLS, můžete ručně přidat jednu nebo více adres URL s ukončením protokolu TLS v pravidlech aplikace. Můžete například přidat www.princeton.edu pravidla aplikace, která povolí tento web.

Podporované oblasti

Podporované oblasti služby Azure Firewall najdete v tématu Produkty Azure dostupné v jednotlivých oblastech.

Další kroky