Welche Optionen bietet die Azure Firewall Manager-Architektur?
Azure Firewall Manager kann die Sicherheitsverwaltung für zwei Netzwerkarchitekturtypen bieten:
Geschützter virtueller Hub
Ein Azure Virtual WAN Hub ist eine von Microsoft verwaltete Ressource, mit der Sie ganz einfach Hub-and-Spoke-Architekturen erstellen können. Wenn Sicherheits- und Routingrichtlinien einem solchen Hub zugeordnet sind, spricht man von einem gesicherten virtuellen Hub.
Virtuelles Hubnetzwerk
Hierbei handelt es sich um ein virtuelles Azure-Standardnetzwerk, das Sie selbst erstellen und verwalten. Wenn Sicherheitsrichtlinien mit einem solchen Hub verbunden sind, spricht man von einem virtuellen Hub-Netzwerk. Zurzeit wird nur die Azure Firewall-Richtlinie unterstützt. Sie können virtuelle Spoke-Netzwerke, die Ihre Workloadserver und -dienste enthalten, per Peering verknüpfen. Sie können auch Firewalls in eigenständigen virtuellen Netzwerken verwalten, die nicht per Peering mit einem Spoke verknüpft sind.
Vergleich
In der folgenden Tabelle werden diese beiden Architekturoptionen miteinander verglichen, sodass Sie entscheiden können, welche sich für die Sicherheitsanforderungen Ihrer Organisation am besten eignet:
| Virtuelles Hubnetzwerk | Geschützter virtueller Hub | |
|---|---|---|
| Zugrunde liegende Ressource | Virtuelles Netzwerk | Virtual WAN-Hub |
| Hub and Spoke | Verwendet das Peering virtueller Netzwerke | Automatisiert über virtuelle Hubnetzwerkverbindung |
| Lokale Konnektivität | VPN Gateway mit bis zu 10 Gbit/s und 30 Site-to-Site-Verbindungen; ExpressRoute | Besser skalierbares VPN Gateway mit bis zu 20 Gbit/s und 1000 Site-to-Site-Verbindungen; ExpressRoute |
| Automatisierte Branchkonnektivität über SDWAN | Nicht unterstützt | Unterstützt |
| Hubs pro Region | Mehrere virtuelle Netzwerke pro Region | Mehrere virtuelle Hubs pro Region |
| Azure Firewall – mehrere öffentliche IP-Adressen | Vom Kunden bereitgestellt | Automatisch generiert |
| Azure Firewall-Verfügbarkeitszonen | Unterstützt | Unterstützt |
| Erweiterte Internetsicherheit mit Security-as-a-Service-Lösungen von Drittanbietern | Vom Kunden hergestellte und verwaltet VPN-Konnektivität mit dem gewünschten Partnerdienst | Automatisiert über Flow für Sicherheitspartneranbieter und Partnerverwaltungslösung |
| Zentralisierte Routenverwaltung zum Weiterleiten von Datenverkehr an den Hub | Kundenseitig verwaltete benutzerdefinierte Route | Unterstützt über BGP |
| Unterstützung mehrerer Sicherheitsanbieter | Unterstützt mit manuell konfiguriertem erzwungenem Tunneling zu Firewalls von Drittanbietern | Automatisierte Unterstützung für zwei Sicherheitsanbieter: Azure Firewall für Filterung des privaten Datenverkehrs und Drittanbieter für Internetfilterung |
| Web Application Firewall auf Application Gateway | Unterstützt in virtuellem Netzwerk | Derzeit in Spoke-Netzwerk unterstützt |
| Virtuelles Netzwerkgerät | Unterstützt in virtuellem Netzwerk | Derzeit in Spoke-Netzwerk unterstützt |
| Azure DDoS Protection-Unterstützung | Ja | Nein |