Azure Well-Architected Framework-Bewertung – Azure Firewall
Dieser Artikel enthält Architekturempfehlungen für Azure Firewall. Die Anleitung basiert auf den fünf Säulen der Architekturexzellenz:
- Zuverlässigkeit
- Sicherheit
- Kostenoptimierung
- Optimaler Betrieb
- Effiziente Leistung
Wir gehen davon aus, dass Sie mit Azure Firewall vertraut sind und mit den Features vertraut sind. Weitere Informationen finden Sie unter Azure Firewall Übersicht.
Voraussetzungen
- Das Verständnis der Säulen von Azure Well-Architected Framework kann dazu beitragen, eine qualitativ hochwertige, stabile und effiziente Cloudarchitektur zu erstellen. Überprüfen Sie Ihre Workload mithilfe der Bewertung des Gut-Architected Framework .
- Verwenden Sie eine Referenzarchitektur, um die Überlegungen basierend auf den Anleitungen in diesem Artikel zu überprüfen. Beginnen Sie mit einer netzwerkbasierten Webanwendung mit privater Konnektivität mit PaaS-Datenspeichern , und implementieren Sie ein sicheres Hybridnetzwerk.
Zuverlässigkeit
Informationen dazu, wie Azure Firewall Workloads zuverlässig unterstützt, finden Sie in den folgenden Artikeln:
- Einführung in Azure Firewall
- Schnellstart: Bereitstellen von Azure Firewall mit Verfügbarkeitszonen
- Konfigurieren von Azure Firewall in einem Virtual WAN-Hub
Prüfliste für den Entwurf
Überprüfen Sie beim Treffen von Entwurfsentscheidungen für Azure Firewall die Entwurfsprinzipien auf Zuverlässigkeit.
- Stellen Sie Azure Firewall in virtuellen Hubnetzwerken oder als Teil von Azure Virtual WAN Hubs bereit.
- Nutzen Sie Verfügbarkeitszonen Resilienz.
- Erstellen Sie Azure Firewall Richtlinienstruktur.
- Überprüfen Sie die Liste Bekannte Probleme.
- Überwachen sie Azure Firewall Integritätsstatus.
Hinweis
Es gibt Unterschiede in der Verfügbarkeit von Netzwerkdiensten zwischen dem herkömmlichen Hub & Spoke-Modell und Virtual WAN verwalteten geschützten Hubs. Beispielsweise kann in einem Virtual WAN Hub die Azure Firewall öffentliche IP-Adresse nicht aus einem Präfix für öffentliche IP-Adressen übernommen werden und DDoS-Schutz kann nicht aktiviert sein. Bei der Auswahl des einen oder anderen Modells müssen Anforderungen für alle fünf Säulen des Well-Architected Frameworks berücksichtigt werden.
Empfehlungen
Sehen Sie sich die folgende Tabelle mit Empfehlungen an, um Ihre Azure Firewall Konfiguration auf Zuverlässigkeit zu optimieren.
| Empfehlung | Vorteil |
|---|---|
| Verwenden Sie Azure Firewall Manager mit herkömmlichen Hub & Spokes oder Azure Virtual WAN-Netzwerktopologien, um Instanzen von Azure Firewall bereitzustellen und zu verwalten. | Erstellen Sie problemlos Hub-and-Spoke- und transitive Architekturen mit nativen Sicherheitsdiensten für Traffic Governance und -Schutz. Weitere Informationen zu Netzwerktopologien finden Sie in der Dokumentation zu Azure Cloud Adoption Framework. |
| Erstellen Sie Azure Firewall Richtlinien, um den Sicherheitsstatus in globalen Netzwerkumgebungen zu steuern. Weisen Sie allen Instanzen von Azure Firewall Richtlinien zu. | Azure Firewall Richtlinien können in einer hierarchischen Struktur angeordnet werden, um eine zentrale Basisrichtlinie zu überlagern. Ermöglichen Sie präzise Richtlinien, um die Anforderungen bestimmter Regionen zu erfüllen. Delegieren Sie inkrementelle Firewallrichtlinien über die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) an lokale Sicherheitsteams. Einige Einstellungen sind für instance spezifisch, z. B. DNAT-Regeln und DNS-Konfiguration, dann sind möglicherweise mehrere spezialisierte Richtlinien erforderlich. |
| Migrieren Sie Azure Firewall klassischen Regeln zu Azure Firewall Manager-Richtlinien für vorhandene Bereitstellungen. | Migrieren Sie für vorhandene Bereitstellungen Azure Firewall Regeln zu Azure Firewall Manager-Richtlinien. Verwenden Sie Azure Firewall Manager, um Ihre Firewalls und Richtlinien zentral zu verwalten. Weitere Informationen finden Sie unter Migrieren zu Azure Firewall Premium. |
| Überprüfen Sie die Liste der Azure Firewall bekannten Probleme. | Azure Firewall Produktgruppe verwaltet eine aktualisierte Liste bekannter Probleme an diesem Standort. Diese Liste enthält wichtige Informationen zum By-Design-Verhalten, Korrekturen im Aufbau, Plattformbeschränkungen sowie mögliche Problemumgehungen oder Entschärfungen. |
| Stellen Sie sicher, dass Ihre Azure Firewall-Richtlinie Azure Firewall Grenzwerte und Empfehlungen einhält. | Es gibt Grenzwerte für die Richtlinienstruktur, einschließlich der Anzahl von Regeln und Regelsammlungsgruppen, gesamter Richtliniengröße, Quell-/Zielzielen. Stellen Sie sicher, dass Sie Ihre Richtlinie erstellen und hinter den dokumentierten Schwellenwerten bleiben. |
| Stellen Sie Azure Firewall über mehrere Verfügbarkeitszonen hinweg für eine höhere Vereinbarung zum Servicelevel (SLA) bereit. | Azure Firewall bietet unterschiedliche SLAs, wenn sie in einer einzelnen Verfügbarkeitszone und in mehreren Zonen bereitgestellt werden. Weitere Informationen finden Sie unter SLA für Azure Firewall. Informationen zu allen Azure SLAs finden Sie unter SLA-Zusammenfassung für Azure-Dienste. |
| Stellen Sie in Umgebungen mit mehreren Regionen eine Azure Firewall instance pro Region bereit. | Für herkömmliche Hub & Spokes-Architekturen werden in diesem Artikel Details zu mehreren Regionen erläutert. Für geschützte virtuelle Hubs (Azure Virtual WAN) müssen Routingabsichten und -richtlinien konfiguriert werden, um die Kommunikation zwischen Hubs und Branch-to-Branch zu sichern. Für Workloads, die als fehlerresistent und fehlertolerant konzipiert sind, sollten Sie berücksichtigen, dass Instanzen von Azure Firewall und Azure als regionale Ressourcen Virtual Network. |
| Überwachen Sie Azure Firewall Metriken und Resource Health Zustand. | Überwachen Sie den Schlüsselmetrikenindikator für Azure Firewall Integritätsstatus, z. B. Durchsatz, Firewallintegritätsstatus, SNAT-Portauslastung und AZFW-Latenztestmetriken. Darüber hinaus ist Azure Firewall jetzt in Azure Resource Health integriert. Mit der Azure Firewall Resource Health-Überprüfung können Sie jetzt die Integritäts-status Ihrer Azure Firewall anzeigen und Dienstprobleme beheben, die sich auf Ihre Azure Firewall Ressource auswirken können. |
Der Azure Advisor hilft Ihnen, die ununterbrochene Verfügbarkeit Ihrer unternehmenskritischen Anwendungen zu gewährleisten und zu verbessern. Lesen Sie die Azure Advisor-Empfehlungen.
Sicherheit
Sicherheit ist einer der wichtigsten Aspekte jeder Architektur. Azure Firewall ist ein intelligenter Firewallsicherheitsdienst, der Bedrohungsschutz für Ihre in Azure ausgeführten Cloudworkloads bietet.
Prüfliste für den Entwurf
Überprüfen Sie beim Treffen von Entwurfsentscheidungen für Azure Firewall die Entwurfsprinzipien für die Sicherheit.
- Ermitteln Sie, ob Sie erzwungenes Tunneling benötigen.
- Erstellen Sie Regeln für Richtlinien basierend auf den Kriterien für den Zugriff auf die geringsten Rechte.
- Nutzen Sie Threat Intelligence.
- Aktivieren Sie Azure Firewall DNS-Proxy.
- Direkter Netzwerkdatenverkehr über Azure Firewall.
- Ermitteln Sie, ob Sie Security-as-a-Service-Anbieter (SECaaS) von Drittanbietern verwenden möchten.
- Schützen Sie Ihre Azure Firewall öffentlichen IP-Adressen mit DDoS.
Empfehlungen
Sehen Sie sich die folgende Tabelle mit Empfehlungen an, um Ihre Azure Firewall Konfiguration für die Sicherheit zu optimieren.
| Empfehlung | Vorteil |
|---|---|
| Wenn erforderlich, um den gesamten internetgebundenen Datenverkehr an einen angegebenen nächsten Hop weiterzuleiten, anstatt direkt ins Internet zu wechseln, konfigurieren Sie Azure Firewall im Modus für erzwungenes Tunneling (gilt nicht für Azure Virtual WAN). | Azure Firewall muss über eine direkte Internetverbindung verfügen. Wenn Ihr AzureFirewallSubnet über das Border Gateway Protocol eine Standardroute zu Ihrem lokalen Netzwerk lernt, müssen Sie Azure Firewall im Modus für erzwungenes Tunneling konfigurieren. Mit der Funktion zum erzwungenen Tunneling benötigen Sie einen weiteren Adressraum /26 für das subnetz Azure Firewall Management. Sie müssen ihr den Namen AzureFirewallManagementSubnet geben. Wenn es sich um eine vorhandene Azure Firewall instance handelt, die im Modus für erzwungene Tunnel nicht neu konfiguriert werden kann, erstellen Sie eine UDR mit einer Route 0.0.0.0/0. Legen Sie den Wert NextHopType auf Internet fest. Ordnen Sie es AzureFirewallSubnet zu, um die Internetverbindung zu gewährleisten. |
| Legen Sie die öffentliche IP-Adresse auf Keine fest, um eine vollständig private Datenebene bereitzustellen, wenn Sie Azure Firewall im Modus für erzwungene Tunneling konfigurieren (gilt nicht für Azure Virtual WAN). | Wenn Sie eine neue Azure Firewall instance bereitstellen, können Sie die öffentliche IP-Adresse auf Keine festlegen, um eine vollständig private Datenebene bereitzustellen. Für die Verwaltungsebene ist jedoch nur zu Verwaltungszwecken eine öffentliche IP-Adresse erforderlich. Der interne Datenverkehr aus virtuellen und lokalen Netzwerken verwendet diese öffentliche IP-Adresse nicht. Weitere Informationen zum erzwungenen Tunneling finden Sie unter Azure Firewall erzwungenem Tunneling. |
| Erstellen Sie Regeln für Firewallrichtlinien basierend auf den Kriterien für den Zugriff auf die geringsten Rechte. | Azure Firewall Richtlinien können in einer hierarchischen Struktur angeordnet werden, um eine zentrale Basisrichtlinie zu überlagern. Ermöglichen Sie präzise Richtlinien, um die Anforderungen bestimmter Regionen zu erfüllen. Jede Richtlinie kann unterschiedliche Sätze von DNAT-, Netzwerk- und Anwendungsregeln mit spezifischer Priorität, Aktion und Verarbeitungsreihenfolge enthalten. Erstellen Sie Ihre Regeln auf Der Grundlage des Zugriffs mit den geringsten Rechten Zero Trust Prinzip . Wie Regeln verarbeitet werden, wird in diesem Artikel erläutert. |
| Aktivieren Sie Threat Intelligence auf Azure Firewall im Warnungs- und Ablehnungsmodus. | Sie können die Threat Intelligence-gestützte Filterung für Ihre Firewall aktivieren, damit Sie über Datenverkehr an oder von unbekannte(n) IP-Adressen und Domänen informiert werden und dieser blockiert wird. Die IP-Adressen und Domänen stammen aus dem Microsoft Threat Intelligence-Feed. Intelligent Security Graph unterstützt Microsoft Threat Intelligence und wird von mehreren Diensten verwendet, einschließlich Microsoft Defender für Cloud. |
| Aktivieren Sie IDPS im Warnungs- oder Warnungs- und Ablehnungsmodus. | IDPS ist eines der leistungsstärksten sicherheitsrelevanten Azure Firewall (Premium) und sollte aktiviert sein. Basierend auf Sicherheits- und Anwendungsanforderungen und unter Berücksichtigung der Leistungsbeeinträchtigungen (siehe Abschnitt Kosten unten) können Warnungs- oder Warnungs- und Ablehnungsmodi ausgewählt werden. |
| Aktivieren Sie Azure Firewall (DNS)-Proxykonfiguration. | Wenn Sie dieses Feature aktivieren, werden Clients in den VNETs als DNS-Server Azure Firewall. Es schützt die interne DNS-Infrastruktur, auf die nicht direkt zugegriffen und nicht verfügbar gemacht wird. Azure Firewall muss auch für die Verwendung von benutzerdefiniertem DNS konfiguriert werden, das zum Weiterleiten von DNS-Abfragen verwendet wird. |
| Konfigurieren Sie benutzerdefinierte Routen (UDR), um Datenverkehr durch Azure Firewall zu erzwingen. | Konfigurieren Sie in einer herkömmlichen Hub & Spokes-Architektur UDRs, um Datenverkehr durch Azure Firewall für SpoketoSpoke, SpoketoInternetund SpoketoHybrid Konnektivität zu erzwingen. Konfigurieren Sie stattdessen in Azure Virtual WAN Routingabsichten und -richtlinien, um privaten und/oder Internetdatenverkehr über die im Hub integrierte Azure Firewall instance umzuleiten. |
| Einschränken der Verwendung von öffentlichen IP-Adressen, die direkt an Virtual Machines | Um zu verhindern, dass Datenverkehr die Firewall umgeht, sollte die Zuordnung öffentlicher IP-Adressen zu VM-Netzwerkschnittstellen eingeschränkt werden. Im Azure Cloud Adoption Framework-Modell (CAF) ist der CORP-Verwaltungsgruppe ein bestimmter Azure Policy zugewiesen. |
| Wenn udR nicht angewendet werden kann und nur eine Webdatenverkehrsumleitung erforderlich ist, sollten Sie Azure Firewall als expliziten Proxy verwenden. | Wenn die explizite Proxyfunktion für den ausgehenden Pfad aktiviert ist, können Sie eine Proxyeinstellung für die sendende Webanwendung (z. B. einen Webbrowser) konfigurieren, wobei Azure Firewall als Proxy konfiguriert ist. Infolgedessen erreicht Webdatenverkehr die private IP-Adresse der Firewall und geht daher direkt von der Firewall aus, ohne einen UDR zu verwenden. Dieses Feature erleichtert auch die Verwendung mehrerer Firewalls, ohne vorhandene Netzwerkrouten zu ändern. |
| Konfigurieren Sie unterstützte Software-as-a-Service-Sicherheitsanbieter (SaaS) von Drittanbietern in Firewall Manager, wenn Sie diese Lösungen zum Schutz ausgehender Verbindungen verwenden möchten. | Sie können Ihre vertrauten, bewährten SECaaS-Angebote von Drittanbietern verwenden, um den Internetzugriff für Ihre Benutzer zu schützen. Für dieses Szenario ist azure Virtual WAN mit einer S2S-VPN Gateway im Hub erforderlich, da ein IPSec-Tunnel verwendet wird, um eine Verbindung mit der Infrastruktur des Anbieters herzustellen. SECaaS-Anbieter erheben möglicherweise zusätzliche Lizenzgebühren und begrenzen den Durchsatz für IPSec-Verbindungen. Alternative Lösungen wie ZScaler Cloud Connector sind vorhanden und möglicherweise besser geeignet. |
| Verwenden Sie die Vollqualifizierte Domänenname-Filterung (Fully Qualified Domain Name, FQDN) in Netzwerkregeln. | Sie können FQDN basierend auf der DNS-Auflösung in Azure Firewall- und Firewallrichtlinien verwenden. Diese Funktion ermöglicht es Ihnen, ausgehenden Datenverkehr mit einem beliebigen TCP/UDP-Protokoll (einschließlich NTP, SSH, RDP und mehr) zu filtern. Sie müssen die Azure Firewall DNS-Proxykonfiguration aktivieren, um FQDNs in Ihren Netzwerkregeln zu verwenden. Informationen zur Funktionsweise finden Sie unter Azure Firewall FQDN-Filterung in Netzwerkregeln. |
| Verwenden Sie Diensttags in Netzwerkregeln, um den selektiven Zugriff auf bestimmte Microsoft-Dienste zu ermöglichen. | Ein Diensttag steht für eine Gruppe von IP-Adressen und hat die Aufgabe, bei der Erstellung von Sicherheitsregeln die Komplexität zu verringern. Mithilfe von Diensttags in Netzwerkregeln ist es möglich, den ausgehenden Zugriff auf bestimmte Dienste in Azure, Dynamics und Office 365 zu ermöglichen, ohne weite IP-Adressbereiche zu öffnen. Azure verwaltet automatisch die Zuordnung zwischen diesen Tags und zugrunde liegenden IP-Adressen, die von jedem Dienst verwendet werden. Die Liste der für Azure Firewall verfügbaren Diensttags finden Sie hier: Az Firewall Service Tags. |
| Verwenden Sie FQDN-Tags in Anwendungsregeln, um den selektiven Zugriff auf bestimmte Microsoft-Dienste zu ermöglichen. | Ein FQDN-Tag stellt eine Gruppe vollqualifizierter Domänennamen (FQDNs) dar, die bekannten Microsoft-Diensten zugeordnet sind. Sie können ein FQDN-Tag in Anwendungsregeln verwenden, um den erforderlichen ausgehenden Netzwerkdatenverkehr über Ihre Firewall für bestimmte Azure-Dienste, Office 365, Windows 365 und Intune zuzulassen. |
| Verwenden Sie Azure Firewall Manager, um einen DDoS-Schutzplan zu erstellen und Ihrem virtuellen Hubnetzwerk zuzuordnen (gilt nicht für Azure Virtual WAN). | Ein DDoS-Schutzplan bietet erweiterte Entschärfungsfeatures, um Ihre Firewall vor DDoS-Angriffen zu schützen. Azure Firewall Manager ist ein integriertes Tool zum Erstellen Ihrer Firewallinfrastruktur und DDoS-Schutzpläne. Weitere Informationen finden Sie unter Konfigurieren eines Azure DDoS Protection-Plans mithilfe von Azure Firewall Manager. |
| Verwenden Sie eine Enterprise-PKI, um Zertifikate für die TLS-Überprüfung zu generieren. | Bei Azure Firewall Premium empfiehlt es sich, eine interne Unternehmenszertifizierungsstelle (CA) für die Produktionsumgebung zu nutzen, wenn die TLS-Inspektionsfunktion verwendet wird. Selbstsignierte Zertifikate sollten nur zu Test-/PoC-Zwecken verwendet werden. |
| Lesen Sie Zero-Trust Konfigurationshandbuch für Azure Firewall und Application Gateway | Wenn Ihre Sicherheitsanforderungen die Implementierung eines Zero-Trust Ansatzes für Webanwendungen (Inspektion und Verschlüsselung) erfordern, empfiehlt es sich, diese Anleitung zu befolgen. In diesem Dokument wird erläutert, wie Sie Azure Firewall und Application Gateway integrieren, sowohl in herkömmlichen Hub-& Spoke- als auch in Virtual WAN-Szenarien. |
Der Azure Advisor hilft Ihnen, die ununterbrochene Verfügbarkeit Ihrer unternehmenskritischen Anwendungen zu gewährleisten und zu verbessern. Lesen Sie die Azure Advisor-Empfehlungen.
Richtliniendefinitionen
Netzwerkschnittstellen sollten keine öffentlichen IP-Adressen aufweisen. Diese Richtlinie lehnt Netzwerkschnittstellen ab, die mit einer öffentlichen IP-Adresse konfiguriert sind. Anhand öffentlicher IP-Adressen können Internetressourcen in eingehender Richtung mit Azure-Ressourcen und Azure-Ressourcen in ausgehender Richtung mit dem Internet kommunizieren.
Der gesamte Internetdatenverkehr sollte über Ihre bereitgestellte Azure Firewall weitergeleitet werden. Azure Security Center hat festgestellt, dass einige Ihrer Subnetze nicht durch eine Firewall der nächsten Generation geschützt werden. Schützen Sie Ihre Subnetze vor möglichen Bedrohungen durch Einschränken des Zugriffs auf die Subnetze mit Azure Firewall oder einer unterstützten Firewall der nächsten Generation.
Die Azure-Firewallrichtlinie sollte die TLS-Überprüfung innerhalb von Anwendungsregeln aktivieren. Die Aktivierung der TLS-Überprüfung wird für alle Anwendungsregeln empfohlen, um schädliche Aktivitäten in HTTPS zu erkennen, vor ihnen zu warnen und sie zu minimieren. Weitere Informationen zur TLS-Überprüfung mit Azure Firewall finden Sie unter https://aka.ms/fw-tlsinspect.
Azure Firewall Premium sollte ein gültiges Zwischenzertifikat konfigurieren, um die TLS-Überprüfung zu aktivieren. Konfigurieren Sie ein gültiges Zwischenzertifikat, und aktivieren Sie die Azure Firewall Premium-TLS-Überprüfung, um schädliche Aktivitäten in HTTPS zu erkennen und zu verhindern und um Warnungen dazu zu senden. Weitere Informationen zur TLS-Überprüfung mit Azure Firewall finden Sie unter https://aka.ms/fw-tlsinspect.
Die Umgehungsliste von Intrusion Detection and Prevention System (IDPS) sollte in Firewall Policy Premium leer sein. Mit der IDPS-Umgehungsliste (Intrusion Detection and Prevention System, Angriffserkennungs- und -verhinderungssystem für das Netzwerk) können Sie den Datenverkehr zu den in der Umgehungsliste angegebenen IP-Adressen, Bereichen und Subnetzen nicht filtern. Die Aktivierung von IDPS wird jedoch für alle Datenverkehrsflüsse empfohlen, um bekannte Bedrohungen besser zu identifizieren. Weitere Informationen zu den IDPS-Signaturen (Intrusion Detection and Prevention System) mit Azure Firewall Premium finden Sie unter https://aka.ms/fw-idps-signature.
Firewall Policy Premium sollte alle IDPS-Signaturregeln aktivieren, um alle eingehenden und ausgehenden Datenverkehrsflüsse zu überwachen. Das Aktivieren aller IdPS-Signaturregeln (Intrusion Detection and Prevention System) wird empfohlen, um bekannte Bedrohungen in den Datenverkehrsflüssen besser zu identifizieren. Weitere Informationen zu den IDPS-Signaturen (Intrusion Detection and Prevention System) mit Azure Firewall Premium finden Sie unter https://aka.ms/fw-idps.
Firewall Policy Premium sollte das Intrusion Detection and Prevention System (IDPS) aktivieren. Die Aktivierung von IDPS (Intrusion Detection and Prevention System, Angriffserkennungs- und -verhinderungssystem für das Netzwerk) ermöglicht Ihnen, Ihr Netzwerk auf schädliche Aktivitäten zu überwachen, Informationen zu diesen Aktivitäten zu protokollieren, sie zu melden und optional zu versuchen, sie zu blockieren. Weitere Informationen zum Intrusion Detection and Prevention System (IDPS) mit Azure Firewall Premium finden Sie unter https://aka.ms/fw-idps.
Das Abonnement sollte die Azure Firewall Premium konfigurieren, um zusätzliche Schutzebene zu bieten. Azure Firewall Premium bietet erweiterten Bedrohungsschutz, der die Anforderungen hochsensibler und regulierter Umgebungen erfüllt. Stellen Sie Azure Firewall Premium in Ihrem Abonnement bereit, und stellen Sie sicher, dass der gesamte Dienstdatenverkehr durch Azure Firewall Premium geschützt ist. Weitere Informationen zu Azure Firewall Premium finden Sie unter https://aka.ms/fw-premium.
Alle integrierten Richtliniendefinitionen im Zusammenhang mit Azure-Netzwerken sind unter Integrierte Richtlinien – Netzwerk aufgeführt.
Kostenoptimierung
Bei der Kostenoptimierung geht es um die Suche nach Möglichkeiten, unnötige Ausgaben zu reduzieren und die Betriebseffizienz zu verbessern.
Prüfliste für den Entwurf
Wenn Sie Entwurfsentscheidungen für Azure Firewall treffen, überprüfen Sie die Entwurfsprinzipien für die Kostenoptimierung.
- Wählen Sie die bereitzustellende Azure Firewall-SKU aus.
- Ermitteln Sie, ob einige Instanzen keine permanente 24x7-Zuordnung benötigen.
- Bestimmen Sie, wo Sie die Firewallnutzung workloadsübergreifend optimieren können.
- Überwachen und optimieren Sie die Nutzung von Firewallinstanzen, um die Kosteneffizienz zu ermitteln.
- Überprüfen und optimieren Sie die Anzahl der erforderlichen öffentlichen IP-Adressen und die verwendeten Richtlinien.
- Überprüfen Sie die Protokollierungsanforderungen, schätzen Sie die Kosten und die Kontrolle im Laufe der Zeit.
Empfehlungen
Sehen Sie sich die folgende Tabelle mit Empfehlungen an, um Ihre Azure Firewall-Konfiguration für die Kostenoptimierung zu optimieren.
| Empfehlung | Vorteil |
|---|---|
| Stellen Sie die richtige Azure Firewall-SKU bereit. | Azure Firewall können in drei verschiedenen SKUs bereitgestellt werden: Basic, Standard und Premium. Azure Firewall Premium wird empfohlen, um höchst vertrauliche Anwendungen (wie die Zahlungsverarbeitung) zu schützen. Azure Firewall Standard wird für Kunden empfohlen, die nach einer Firewall für Schicht 3 bis Schicht 7 suchen und die Möglichkeit einer automatischen Skalierung benötigen, um zu Spitzenzeiten anfallenden Datenverkehr von bis zu 30 GBit/s zu verarbeiten. Azure Firewall Basic wird für SMB-Kunden mit Durchsatzanforderungen von weniger als 250 MBit/s empfohlen. Bei Bedarf ist ein Downgrade oder Upgrade zwischen Standard und Premium möglich, wie hier dokumentiert. Weitere Informationen finden Sie unter Auswählen der richtigen Azure Firewall SKU für Ihre Anforderungen. |
| Beenden Sie Azure Firewall Bereitstellungen, die nicht 24x7 ausgeführt werden müssen. | Möglicherweise verfügen Sie über Entwicklungs- oder Testumgebungen, die nur während der Geschäftszeiten verwendet werden. Weitere Informationen finden Sie unter Aufheben der Zuordnung und Zuordnung von Azure Firewall. |
| Verwenden Sie die gleichen instance von Azure Firewall für mehrere Workloads und Azure Virtual Networks. | Sie können eine zentrale instance von Azure Firewall im virtuellen Hubnetzwerk oder Virtual WAN sicheren Hub verwenden und dieselbe Firewall für viele virtuelle Spoke-Netzwerke nutzen, die mit demselben Hub aus derselben Region verbunden sind. Stellen Sie sicher, dass es keinen unerwarteten regionsübergreifenden Datenverkehr als Teil der Hub-Spoke-Topologie gibt. |
| Überprüfen Sie den von Azure Firewall verarbeiteten Datenverkehr regelmäßig, und suchen Sie nach ursprünglichen Workloadoptimierungen. | Das Protokoll "Top Flows" (in der Branche als Fat Flows bezeichnet) zeigt die wichtigsten Verbindungen an, die zum höchsten Durchsatz über die Firewall beitragen. Es wird empfohlen, den vom Azure Firewall verarbeiteten Datenverkehr regelmäßig zu überprüfen und nach möglichen Optimierungen zu suchen, um den Datenverkehr durch die Firewall zu reduzieren. |
| Überprüfen Sie nicht ausgelastete Azure Firewall Instanzen. Identifizieren und Löschen nicht verwendeter Azure Firewall Bereitstellungen. | Um nicht verwendete Azure Firewall Bereitstellungen zu identifizieren, analysieren Sie zunächst die Überwachungsmetriken und UDRs, die Subnetzen zugeordnet sind, die auf die private IP-Adresse der Firewall verweisen. Kombinieren Sie diese Informationen mit anderen Überprüfungen, z. B. wenn Ihre instance von Azure Firewall über Regeln (klassisch) für NAT, Netzwerk und Anwendung verfügt, oder sogar, wenn die DNS-Proxyeinstellung auf Deaktiviert konfiguriert ist, und mit interner Dokumentation zu Ihrer Umgebung und Bereitstellungen. Sie können Bereitstellungen erkennen, die im Laufe der Zeit kostengünstig sind. Weitere Informationen zur Überwachung von Protokollen und Metriken finden Sie unter Überwachen Azure Firewall Protokolle und Metriken und SNAT-Portauslastung. |
| Verwenden Sie Azure Firewall Manager und die zugehörigen Richtlinien, um die Betriebskosten zu senken, die Effizienz zu erhöhen und den Verwaltungsaufwand zu reduzieren. | Überprüfen Sie Ihre Firewall Manager-Richtlinien, die Zuordnungen und die Vererbung sorgfältig. Richtlinien werden basierend auf der Firewallzuordnung abgerechnet. Richtlinien mit bis zu einer Firewallzuordnung sind kostenlos. Richtlinien mit mehreren Firewallzuordnungen werden zu festen Preisen abgerechnet. Weitere Informationen finden Sie unter Preise – Azure Firewall Manager. |
| Löscht nicht verwendete öffentliche IP-Adressen. | Überprüfen Sie, ob alle zugeordneten öffentlichen IP-Adressen verwendet werden. Wenn sie nicht verwendet werden, heben Sie die Zuordnung auf, und löschen Sie sie. Bewerten Sie die SNAT-Portauslastung, bevor Sie IP-Adressen entfernen. Sie verwenden nur die Anzahl der öffentlichen IP-Adressen, die Ihre Firewall benötigt. Weitere Informationen finden Sie unter Überwachen Azure Firewall Protokolle und Metriken sowie unter SNAT-Portauslastung. |
| Überprüfen Sie die Protokollierungsanforderungen. | Azure Firewall hat die Möglichkeit, metadaten des gesamten angezeigten Datenverkehrs in Log Analytics-Arbeitsbereichen, Speicherlösungen oder Drittanbieterlösungen über Event Hubs umfassend zu protokollieren. Für alle Protokollierungslösungen fallen jedoch Kosten für die Datenverarbeitung und -speicherung an. Bei sehr großen Mengen können diese Kosten erheblich sein, ein kosteneffizienter Ansatz und eine Alternative zu Log Analytics sollten in Betracht gezogen und die Kosten geschätzt werden. Überlegen Sie, ob Es erforderlich ist, Datenverkehrsmetadaten für alle Protokollierungskategorien zu protokollieren und bei Bedarf in den Diagnoseeinstellungen zu ändern. |
Weitere Vorschläge finden Sie unter Prüfliste für die Entwurfsüberprüfung für die Kostenoptimierung.
Der Azure Advisor hilft Ihnen, die ununterbrochene Verfügbarkeit Ihrer unternehmenskritischen Anwendungen zu gewährleisten und zu verbessern. Lesen Sie die Azure Advisor-Empfehlungen.
Optimaler Betrieb
Die Überwachung und die Diagnose sind von entscheidender Bedeutung. Sie können Leistungsstatistiken und Metriken messen, um Probleme schnell zu beheben und zu beheben.
Prüfliste für den Entwurf
Wenn Sie Entwurfsentscheidungen für Azure Firewall treffen, überprüfen Sie die Entwurfsprinzipien für hervorragende Betriebsabläufe.
- Verwalten des Bestands und der Sicherung von Azure Firewall Konfiguration und Richtlinien.
- Nutzen Sie Diagnoseprotokolle für die Firewallüberwachung und -problembehandlung.
- Nutzen Sie Azure Firewall-Überwachungsarbeitsmappe.
- Überprüfen Sie regelmäßig Ihre Richtlinieneinblicke und -analysen.
- Integrieren sie Azure Firewall in Microsoft Defender für Cloud und Microsoft Sentinel.
Empfehlungen
Sehen Sie sich die folgende Tabelle mit Empfehlungen an, um Ihre Azure Firewall-Konfiguration für optimale Betriebsabläufe zu optimieren.
| Empfehlung | Vorteil |
|---|---|
| Verwenden Sie Azure Firewall nicht für die Datenverkehrssteuerung innerhalb des VNET. | Azure Firewall sollte verwendet werden, um datenverkehrsübergreifend zwischen VNETs und lokalen Netzwerken, ausgehenden Datenverkehr in das Internet und eingehenden Datenverkehr ohne HTTP/s zu steuern. Für die Steuerung des Datenverkehrs innerhalb des VNET wird empfohlen, Netzwerksicherheitsgruppen zu verwenden. |
| Verwalten Sie regelmäßige Sicherungen von Azure Policy Artefakten. | Wenn der IaC-Ansatz (Infrastructure-as-Code) verwendet wird, um Azure Firewall und alle Abhängigkeiten zu verwalten, sollten Sicherung und Versionsverwaltung von Azure Firewall Richtlinien bereits vorhanden sein. Andernfalls kann ein Begleitmechanismus bereitgestellt werden, der auf einer externen Logik-App basiert, um eine effektive Lösung zu automatisieren und bereitzustellen. |
| Aktivieren Sie Diagnoseprotokolle für Azure Firewall. | Diagnoseprotokolle sind eine wichtige Komponente für viele Überwachungstools und -strategien für Azure Firewall und sollten aktiviert werden. Sie können Azure Firewall mithilfe von Firewallprotokollen oder Arbeitsmappen überwachen. Sie können auch Aktivitätsprotokolle für Überwachungsvorgänge für Azure Firewall Ressourcen verwenden. |
| Verwenden Sie das Format strukturierte Firewallprotokolle . | Strukturierte Firewallprotokolle sind eine Art von Protokolldaten, die in einem bestimmten neuen Format organisiert sind. Sie verwenden ein vordefiniertes Schema, um Protokolldaten so zu strukturieren, dass sie einfach zu suchen, zu filtern und zu analysieren sind. Die neuesten Überwachungstools basieren auf dieser Art von Protokollen, daher ist dies häufig eine Voraussetzung. Verwenden Sie das vorherige Diagnoseprotokollformat nur, wenn ein Tool vorhanden ist, für das eine Voraussetzung vorhanden ist. Aktivieren Sie nicht beide Protokollierungsformate gleichzeitig. |
| Verwenden Sie die integrierte Azure Firewall-Überwachungsarbeitsmappe. | Azure Firewall Portaloberfläche jetzt eine neue Arbeitsmappe unter der Benutzeroberfläche des Abschnitts Überwachung enthält, ist keine separate Installation mehr erforderlich. Mit der Azure Firewall Arbeitsmappe können Sie wertvolle Erkenntnisse aus Azure Firewall Ereignissen extrahieren, ihre Anwendung und Ihre Netzwerkregeln untersuchen und Statistiken zu Firewallaktivitäten über URLs, Ports und Adressen hinweg untersuchen. |
| Überwachen Sie wichtige Metriken, und erstellen Sie Warnungen für Indikatoren für die Auslastung Azure Firewall Kapazität. | Warnungen sollten erstellt werden, um mindestens Durchsatz, Firewallintegritätsstatus, SNAT-Portnutzung und AZFW-Latenztestmetriken zu überwachen. Informationen zu Überwachungsprotokollen und Metriken finden Sie unter Überwachen Azure Firewall Protokolle und Metriken. |
| Konfigurieren Sie Azure Firewall Integration mit Microsoft Defender für Cloud und Microsoft Sentinel. | Wenn diese Tools in der Umgebung verfügbar sind, wird empfohlen, die Integration in Microsoft Defender für Cloud- und Microsoft Sentinel-Lösungen zu nutzen. Mit Microsoft Defender für die Cloudintegration können Sie die gesamte status der Netzwerkinfrastruktur und Netzwerksicherheit an einem Ort visualisieren, einschließlich der Azure-Netzwerksicherheit über alle VNETs und virtuellen Hubs, die über verschiedene Regionen in Azure verteilt sind. Die Integration in Microsoft Sentinel bietet Funktionen zur Bedrohungserkennung und -prävention. |
| Überprüfen Sie die policy Analytics-Dashboard regelmäßig, um potenzielle Probleme zu identifizieren. | Policy Analytics ist ein neues Feature, das Einblicke in die Auswirkungen Ihrer Azure Firewall Richtlinien bietet. Es hilft Ihnen, potenzielle Probleme (Erreichen von Richtliniengrenzwerten, Regeln mit geringer Auslastung, redundanten Regeln, zu generischen Regeln, Empfehlung zur Verwendung von IP-Gruppen) in Ihren Richtlinien zu identifizieren, und bietet Empfehlungen zur Verbesserung Ihres Sicherheitsstatus und ihrer Regelverarbeitungsleistung. |
| Machen Sie sich mit KQL-Abfragen (Kusto-Abfragesprache) vertraut, um eine schnelle Analyse und Problembehandlung mithilfe von Azure Firewall Protokollen zu ermöglichen. | Für Azure Firewall werden Beispielabfragen bereitgestellt. Auf diese Weise können Sie schnell erkennen, was in Ihrer Firewall geschieht, und überprüfen, welche Regel ausgelöst wurde oder welche Regel eine Anforderung zulässt/blockiert. |
Der Azure Advisor hilft Ihnen, die ununterbrochene Verfügbarkeit Ihrer unternehmenskritischen Anwendungen zu gewährleisten und zu verbessern. Lesen Sie die Azure Advisor-Empfehlungen.
Effiziente Leistung
Die Leistungseffizienz ist die Fähigkeit Ihrer Workload zu skalieren, um die Anforderungen der Benutzer effizient zu erfüllen.
Prüfliste für den Entwurf
Wenn Sie Entwurfsentscheidungen für Azure Firewall treffen, überprüfen Sie die Entwurfsprinzipien auf Leistungseffizienz.
- Überprüfen und optimieren Sie Firewallregeln regelmäßig.
- Überprüfen Sie die Richtlinienanforderungen und Möglichkeiten zum Zusammenfassen von IP-Adressbereichen und URLs.
- Bewerten Sie Ihre SNAT-Portanforderungen.
- Planen Sie Auslastungstests, um die Leistung der automatischen Skalierung in Ihrer Umgebung zu testen.
- Aktivieren Sie diagnosetools und protokollierung nicht, wenn dies nicht erforderlich ist.
Empfehlungen
Sehen Sie sich die folgende Tabelle mit Empfehlungen an, um Ihre Azure Firewall-Konfiguration auf Leistungseffizienz zu optimieren.
| Empfehlung | Vorteil |
|---|---|
| Verwenden Sie Policy Analytics Dashboard, um potenzielle Optimierungen für Firewallrichtlinien zu identifizieren. | Policy Analytics ist ein neues Feature, das Einblicke in die Auswirkungen Ihrer Azure Firewall Richtlinien bietet. Es hilft Ihnen, potenzielle Probleme in Ihren Richtlinien zu identifizieren (Erreichen von Richtliniengrenzwerten, Regeln mit geringer Auslastung, redundante Regeln, zu generische Regeln, IP-Gruppenverwendungsempfehlung) und bietet Empfehlungen zur Verbesserung Ihres Sicherheitsstatus und der Leistung der Regelverarbeitung. |
| Platzieren Sie für Firewallrichtlinien mit großen Regelsätzen die am häufigsten verwendeten Regeln frühzeitig in der Gruppe, um die Latenz zu optimieren. | Regeln werden basierend auf Regeltyp, Vererbung, Regelsammlungsgruppenpriorität und Regelsammlungspriorität verarbeitet. Regelsammlungsgruppen mit der höchsten Priorität werden zuerst verarbeitet. Innerhalb einer Regelsammlungsgruppe werden zuerst Regelsammlungen mit der höchsten Priorität verarbeitet. Wenn Sie die meisten verwendeten Regeln höher im Regelsatz platzieren, wird die Verarbeitungslatenz optimiert. In diesem Artikel wird erläutert, wie Regeln verarbeitet und ausgewertet werden. |
| Verwenden Sie IP-Gruppen , um IP-Adressbereiche zusammenzufassen. | Sie können IP-Gruppen verwenden, um IP-Bereiche zusammenzufassen, sodass Sie den Grenzwert für eindeutige Quell-/Zielnetzwerkregeln nicht überschreiten. Für jede Regel multipliziert Azure Ports mit IP-Adressen. Wenn Sie also über eine Regel mit vier IP-Adressbereichen und fünf Ports verfügen, nutzen Sie 20 Netzwerkregeln. Die IP-Gruppe wird zum Erstellen von Netzwerkregeln als einzelne Adresse behandelt. |
| Erwägen Sie Webkategorien , um ausgehenden Zugriff massenweise zuzulassen oder zu verweigern. | Anstatt explizit eine lange Liste öffentlicher Websites zu erstellen und zu verwalten, sollten Sie die Verwendung von Azure Firewall Webkategorien in Betracht ziehen. Dieses Feature kategorisiert Webinhalte dynamisch und ermöglicht die Erstellung kompakter Anwendungsregeln. |
| Bewerten Sie die Leistungseinbußen von IDPS im Warnungs- und Ablehnungsmodus . | Wenn Azure Firewall erforderlich ist, um im IDPS-ModusWarnung und Ablehnung zu arbeiten, sollten Sie die Leistungsbeeinträchtigungen sorgfältig berücksichtigen, wie auf dieser Seite dokumentiert. |
| Bewerten eines potenziellen SNAT-Porterschöpfungsproblems. | Azure Firewall unterstützt derzeit 2496 Ports pro öffentlicher IP-Adresse pro Instanz der Back-End-VM-Skalierungsgruppe. Standardmäßig gibt es zwei Instanzen der VM-Skalierungsgruppe. Es gibt also 4992 Ports pro Flowziel-IP, Zielport und Protokoll (TCP oder UDP). Die Firewall wird auf maximal 20 Instanzen hochskaliert. Sie können diese Limits umgehen, indem Sie Azure Firewall-Bereitstellungen mit mindestens fünf öffentlichen IP-Adressen für Bereitstellungen konfigurieren, die für SNAT-Auslastung anfällig sind. |
| Vor jedem Leistungstest Azure Firewall ordnungsgemäß aufwärmen. | Erstellen Sie ersten Datenverkehr, der 20 Minuten vor dem Test nicht Teil Ihrer Auslastungstests ist. Verwenden Sie Diagnoseeinstellungen, um Skalierungsereignisse (Hoch- und Herunterskalieren) zu erfassen. Sie können den Azure Load Testing-Dienst verwenden, um den ersten Datenverkehr zu generieren. Ermöglicht dem Azure Firewall instance, seine Instanzen auf das Maximum hochzuskalieren. |
| Konfigurieren Sie ein Azure Firewall Subnetz (AzureFirewallSubnet) mit einem Adressraum /26. | Azure Firewall ist eine dedizierte Bereitstellung in Ihrem virtuellen Netzwerk. Innerhalb Ihres virtuellen Netzwerks ist ein dediziertes Subnetz für die instance von Azure Firewall erforderlich. Azure Firewall stellt bei der Skalierung mehr Kapazität zur Ein /26-Adressraum für die zugehörigen Subnetze stellt sicher, dass für die Firewall genügend IP-Adressen verfügbar sind, um der Skalierung gerecht zu werden. Azure Firewall benötigt kein Subnetz, das größer als /26 ist. Der Azure Firewall Subnetzname muss AzureFirewallSubnet sein. |
| Aktivieren Sie die erweiterte Protokollierung nicht, wenn dies nicht erforderlich ist. | Azure Firewall bietet einige erweiterte Protokollierungsfunktionen, die teuer sein können, immer aktiv zu bleiben. Stattdessen sollten sie nur zu Problembehandlungszwecken verwendet werden, und die Dauer begrenzt und dann deaktiviert werden, wenn sie nicht mehr erforderlich ist. Beispielsweise sind Top-Flows und Ablaufverfolgungsprotokolle teuer, können zu einer übermäßigen CPU- und Speicherauslastung auf der Azure Firewall Infrastruktur führen. |
Der Azure Advisor hilft Ihnen, die ununterbrochene Verfügbarkeit Ihrer unternehmenskritischen Anwendungen zu gewährleisten und zu verbessern. Lesen Sie die Azure Advisor-Empfehlungen.
Azure Advisor-Empfehlungen
Bei Azure Advisor handelt es sich um einen personalisierten Cloudberater, der Sie mit bewährten Methoden zum Optimieren von Azure-Bereitstellungen unterstützt. Es gibt noch keine Azure Firewall spezifische Advisor-Empfehlung. Einige allgemeine Empfehlungen können angewendet werden, um die Zuverlässigkeit, Sicherheit, Kosteneffizienz, Leistung und operative Exzellenz zu verbessern.
- Erstellen von Azure Service Health-Warnungen für Benachrichtigungen bei Azure-Problemen
- Sicherstellen, dass Sie bei Bedarf Zugang zu Azure-Cloudexperten haben
- Aktivieren von Traffic Analytics zum Anzeigen von Erkenntnissen zu Datenverkehrsmustern für Azure-Ressourcen
- Befolgen Sie gerade genug Verwaltung (Prinzip der geringsten Rechte)
- Schützen Ihrer Netzwerkressourcen mit Microsoft Defender für Cloud
Zusätzliche Ressourcen
- Dokumentation zu Azure Firewall
- Was ist Azure Firewall Manager?
- Azure Firewall Dienstgrenzwerte, Kontingente und Einschränkungen
- Azure-Sicherheitsbaseline für Azure Firewall
Azure Architecture Center-Anleitung
- Übersicht über die Azure Firewall-Architektur
- Schützen eines AKS-Clusters (Azure Kubernetes Service) mit Azure Firewall
- Verwenden von Azure Firewall zum Schützen von Azure Virtual Desktop(AVD)-Bereitstellungen
- Verwenden von Azure Firewall zum Schützen von Office 365
- Hub-Spoke-Netzwerktopologie in Azure
- Zero Trust-Netzwerk für Webanwendungen mit Azure Firewall und Application Gateway
- Implementieren eines sicheren Hybridnetzwerks
- Netzwerkgehärtete Webanwendung mit privater Konnektivität zu PaaS-Datenspeichern
Nächster Schritt
Stellen Sie eine instance von Azure Firewall bereit, um zu sehen, wie es funktioniert:
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für