Was ist Azure Firewall?
Hier erfahren Sie mehr über die Grundlagen von Azure Firewall und Azure Firewall Manager. Diese Übersicht sollte Ihnen bei der Entscheidung helfen, ob Azure Firewall und Azure Firewall Manager sich für die Netzwerksicherheitsstrategie von Contoso eignen.
Übersicht über Azure Firewall
Azure Firewall ist ein cloudbasierter Sicherheitsdienst, der Ihre virtuellen Azure-Netzwerkressourcen vor eingehenden und ausgehenden Bedrohungen schützt. In den nächsten Abschnitten lernen Sie die Grundlagen und wichtigsten Funktionen von Azure Firewall kennen.
Was ist eine Firewall?
Eine Firewall ist ein Netzwerksicherheitsfeature, das zwischen einem vertrauenswürdigen und einem nicht vertrauenswürdigen Netzwerk wie dem Internet liegt. Die Aufgabe einer Firewall besteht darin, eingehenden und ausgehenden Netzwerkdatenverkehr zu analysieren. Auf Grundlage dieser Analyse lässt die Firewall den Datenverkehr zu oder verweigert ihn. Im Idealfall lässt die Firewall den gesamten legitimen Datenverkehr zu, während böswilliger Datenverkehr (beispielsweise durch Malware oder Angriffsversuche) verhindert wird.
Standardmäßig verweigern die meisten Firewalls den gesamten eingehenden und ausgehenden Datenverkehr. Wenn eine Firewall den Netzwerkdatenverkehr analysiert, prüft diese, ob bestimmte Bedingungen erfüllt sind, bevor der Datenverkehr zugelassen wird. Bei diesen Bedingungen kann es sich um eine festgelegte IP-Adresse, einen FQDN (vollqualifizierter Domänenname), einen Netzwerkport, ein Netzwerkprotokoll oder eine beliebige Kombination aus diesen handeln.
Gemeinsam definieren diese Bedingungen eine Firewallregel. Eine Firewall verfügt möglicherweise nur über eine einzige Regel, jedoch werden die meisten Firewalls mit vielen Regeln konfiguriert. Nur der Netzwerkdatenverkehr wird zugelassen, der die Bedingungen der Firewallregeln erfüllt.
Einige Firewalls sind hardwarebasiert und befinden sich in Geräten, die dazu konzipiert sind, als Firewalls zu fungieren. Andere Firewalls sind Softwareprogramme, die auf allgemeinen Computergeräten ausgeführt werden.
Was ist Azure Firewall?
Azure Firewall ist ein cloudbasierter Firewalldienst. In den meisten Konfigurationen wird Azure Firewall innerhalb eines virtuellen Hub-Netzwerks bereitgestellt. Der Datenverkehr zwischen virtuellen Spoke-Netzwerken und dem lokalen Netzwerk durchläuft die Firewall mit dem Hub-Netzwerk.
Der gesamte Datenverkehr an und aus dem Internet wird standardmäßig verweigert. Datenverkehr wird nur zugelassen, wenn er verschiedene Tests besteht, z. B. die konfigurierten Firewallregeln.
Hinweis
Azure Firewall funktioniert nicht nur für Datenverkehr an und aus dem Internet, sondern auch intern. Die interne Datenverkehrsfilterung umfasst den Datenverkehr zwischen Spoke-Netzwerken und den Hybrid Cloud-Datenverkehr zwischen Ihrem lokalen Netzwerk und Ihrem virtuellen Azure-Netzwerk.
Wichtige Features von Azure Firewall Standard
In der folgenden Tabelle werden die wichtigsten Features von Azure Firewall Standard aufgeführt.
| Funktion | BESCHREIBUNG |
|---|---|
| Übersetzung der Quellnetzwerkadresse (Source Network Address Translation, SNAT) | Der gesamte ausgehende Datenverkehr wird an die private IP-Adresse der Azure Firewall-Instanz gesendet. Die IP-Adressen aller virtuellen Quellcomputer wird für die öffentliche statische IP-Adresse der Azure Firewall-Instanz übersetzt. Für alle externen Ziele scheint Ihr Netzwerkdatenverkehr von einer einzelnen öffentlichen IP-Adresse zu stammen. |
| Ziel-Netzwerkadressübersetzung (DNAT) | Der gesamte eingehende Datenverkehr aus externen Quellen wird an die öffentliche IP-Adresse der Azure Firewall-Instanz gesendet. Zugelassener Datenverkehr wird für die private IP-Adresse der Zielressourcen in Ihrem virtuellen Netzwerk übersetzt. |
| Anwendungsregeln | Hierbei handelt es sich um Regeln, die den ausgehenden Datenverkehr auf eine Liste von FQDNs beschränken. Beispielsweise können Sie zulassen, dass ausgehender Datenverkehr auf den FQDN einer angegebenen SQL-Datenbank-Instanz zugreift. |
| Netzwerkregeln | Hierbei handelt es sich um Regeln für eingehenden und ausgehenden Datenverkehr basierend auf Netzwerkparametern. Diese Parameter umfassen die Ziel- oder Quell-IP-Adresse, den Netzwerkport und das Netzwerkprotokoll. |
| Bedrohungsanalyse | Hiermit wird der eingehende und ausgehende Datenverkehr anhand der Threat Intelligence-Regeln von Microsoft gefiltert, die bekannte böswillige IP-Adressen und Domänennamen definieren. Sie können Azure Firewall mit einem von zwei Threat Intelligence-Modi konfigurieren: damit Sie gewarnt werden, wenn der Datenverkehr gegen eine Threat Intelligence-Regel verstößt, oder damit Sie gewarnt werden und der Datenverkehr verweigert wird. |
| Zustandsbehaftet | Hiermit werden Netzwerkpakete im Kontext untersucht, und nicht nur einzeln. Wenn unerwartete Pakete beim aktuellen Datenverkehr eintreffen, betrachtet Azure Firewall diese Pakete als bösartig und verweigert diese. |
| Tunnelerzwingung | Mit diesem Feature kann Azure Firewall den gesamten ausgehenden Datenverkehr an eine festgelegte Netzwerkressource anstatt direkt an das Internet weiterleiten. Bei der Netzwerkressource kann es sich um eine lokale Hardwarefirewall oder ein virtuelles Netzwerkgerät handeln, das den Datenverkehr verarbeitet, bevor die Übertragung über das Internet zugelassen wird. |
| Tagunterstützung | Azure Firewall unterstützt Diensttags und FQDN-Tags, um die Konfiguration von Regeln zu vereinfachen. Ein Diensttag ist eine Textentität, die einen Azure-Dienst darstellt. Beispielsweise ist AzureCosmosDB das Diensttag des Azure Cosmos DB-Diensts. Ein FQDN-Tag ist eine Textentität, die eine Gruppe von Domänennamen darstellt, die beliebten Microsoft-Diensten zugeordnet sind. Beispielsweise ist WindowsVirtualDesktop das FQDN-Tag für den Datenverkehr von Azure Virtual Desktop. |
| DNS-Proxy | Wenn der DNS-Proxy aktiviert ist, kann Azure Firewall DNS-Abfrage von einem oder mehreren virtuellen Netzwerken verarbeiten und an den gewünschten DNS-Server weiterleiten. |
| Benutzerdefinierter DNS | Damit können Sie Azure Firewall so konfigurieren, dass Ihr eigener DNS-Server verwendet wird, während gleichzeitig sichergestellt wird, dass die ausgehenden Abhängigkeiten der Firewall weiterhin über Azure DNS aufgelöst werden. |
| Webkategorien | Mit der Funktion Web-Kategorien können Administrator*innen den Benutzerzugriff auf Website-Kategorien wie Glücksspiel-Websites, Social Media-Websites und andere erlauben oder verweigern. |
| Überwachung | Azure Firewall protokolliert den gesamten eingehenden und ausgehenden Netzwerkdatenverkehr, und Sie können die resultierenden Protokolle mithilfe von Azure Monitor, Power BI, Excel und anderen Tools analysieren. |
Was ist Azure Firewall Premium?
Azure Firewall Premium bietet erweiterten Bedrohungsschutz, der die Anforderungen streng sensibler und regulierter Umgebungen erfüllt, z. B. der Zahlungs- und Gesundheitsbranche.
Wichtige Features von Azure Firewall Premium
In der folgenden Tabelle werden wichtige Features von Azure Firewall Premium aufgeführt.
| Funktion | BESCHREIBUNG |
|---|---|
| TLS-Überprüfung | Entschlüsselt ausgehenden Datenverkehr, verarbeitet und verschlüsselt die Daten dann und sendet sie an das Ziel. |
| IDPS | Mit einem Netzwerk-IDPS (Intrusion Detection and Prevention System, Erkennungs- und Verhinderungssystem) können Sie Netzwerkaktivitäten auf schädliche Aktivitäten überwachen, Informationen zu dieser Aktivität protokollieren und in Berichten erfassen sowie optional versuchen, die Aktivität zu blockieren. |
| URL-Filterung | Erweitert die FQDN-Filterfunktion von Azure Firewall, um eine vollständige URL zu berücksichtigen. Beispiel: www.contoso.com/a/c anstelle von www.contoso.com. |
| Webkategorien | Administratoren können Benutzern den Zugriff auf Websitekategorien wie Glücksspielwebsites, soziale Medien und andere Kategorien gestatten oder verweigern. Webkategorien können in Azure Firewall Premium besser abgestimmt werden. |
Was ist Azure Firewall Basic?
Azure Firewall Basic ist für kleine und mittlere Kunden (SMB) zur Sicherung ihrer Azure-Cloudumgebungen vorgesehen. Es bietet den wesentlichen Schutz, den SMB-Kunden benötigen, zu einem erschwinglichen Preis.
Azure Firewall Basic ähnelt Firewall Standard, hat aber die folgenden wesentlichen Einschränkungen:
- Unterstützt nur den Thread Intelligence-Warnungsmodus.
- Feste Skalierungseinheit zum Ausführen des Diensts auf zwei Back-End-Instanzen des virtuellen Computers.
- Empfohlen für Umgebungen mit einem geschätzten Durchsatz von 250 MBit/s.
Übersicht über Azure Firewall Manager
Azure Firewall Manager bietet einen zentralen Ort für die Konfiguration und Verwaltung mehrerer Azure Firewall-Instanzen. Azure Firewall Manager ermöglicht Ihnen das Erstellen von Firewallrichtlinien, die Sie im Handumdrehen auf mehrere Firewalls anwenden können.
Was ist eine Firewallrichtlinie?
Die Konfiguration einer einzelnen Azure Firewall-Instanz kann kompliziert sein. Beispielsweise kann die Firewall mit mehreren Regelsammlungen konfiguriert werden. Eine Sammlung ist eine Kombination aus beliebigen oder allen der folgenden Elemente:
- NAT-Regeln (Netzwerkadressenübersetzung)
- Netzwerkregeln
- Anwendungsregeln
Wenn Sie andere Firewalleinstellungen wie benutzerdefinierte DNS- und Threat Intelligence-Regeln einschließen, kann die Konfiguration von nur einer einzelnen Firewall bereits eine Belastung sein. Zwei gängige Netzwerksicherheitsszenarios tragen zu dieser Belastung bei:
- Ihre Netzwerkarchitekturen benötigen mehrere Firewalls.
- Jede Firewall soll sowohl eine Grundlage von Sicherheitsregeln, die für alle gelten, sowie spezielle Regeln für bestimmte Gruppen wie Entwickler, Datenbankbenutzer und die Marketingabteilung implementieren.
Zur Vereinfachung der Verwaltung dieser und ähnlicher Firewallszenarios können Sie Firewallrichtlinien implementieren. Eine Firewallrichtlinie ist eine Azure-Ressource, die eine oder mehrere Sammlungen von NAT-, Netzwerk- und Anwendungsregeln enthält. Sie enthält außerdem benutzerdefinierte DNS-Einstellungen, Einstellungen für Bedrohungsdaten und mehr.
Der wichtigste Punkt ist, dass Azure eine Ressource namens Firewallrichtlinie anbietet. Eine Firewallrichtlinie, die Sie erstellen, ist eine Instanz dieser Ressource. Als separate Ressource können Sie die Richtlinie mithilfe von Azure Firewall Manager schnell auf mehrere Firewalls anwenden. Sie können eine Richtlinie als Basisrichtlinie erstellen, und dann einrichten, dass mehrere spezialisierte Richtlinien Regeln der Basisrichtlinie erben.
Wichtige Features von Azure Firewall Manager
In der folgenden Tabelle werden die wichtigsten Features von Azure Firewall Manager aufgeführt.
| Funktion | BESCHREIBUNG |
|---|---|
| Zentrale Verwaltung | Mit diesem Feature können alle Firewallkonfigurationen im gesamten Netzwerk verwaltet werden. |
| Verwalten mehrerer Firewalls | Mit diesem Feature können Sie eine beliebige Anzahl von Firewalls über eine einzige Benutzeroberfläche bereitstellen, konfigurieren und überwachen. |
| Unterstützung mehrerer Netzwerkarchitekturen | Sowohl virtuelle Azure-Standardnetzwerke als auch Azure Virtual WAN-Hubs werden geschützt. |
| Automatisiertes Datenverkehrsrouting | Der Netzwerkdatenverkehr wird automatisch an die Firewall weitergeleitet (nur bei Verwendung mit einem Azure Virtual WAN-Hub). |
| Hierarchische Richtlinien | Dieses Feature ermöglicht Ihnen das Erstellen sogenannter übergeordneter und untergeordneter Firewallrichtlinien. Eine übergeordnete Richtlinie enthält die Regeln und Einstellungen, die Sie global anwenden möchten. Eine untergeordnete Richtlinie erbt alle Regeln und Einstellungen des übergeordneten Elements. |
| Unterstützung für Sicherheitsdrittanbieter | Dieses Feature ermöglicht die Integration von SECaaS-Drittanbieterlösungen (Security-as-a-Service), um die Internetverbindung Ihres Netzwerks zu schützen. |
| DDoS-Schutzplan | Sie können Ihren virtuellen Netzwerken einen DDoS-Schutzplan in Azure Firewall Manager zuordnen. |
| Verwalten von Web Application Firewall-Richtlinien | Sie können WAF-Richtlinien (Web Application Firewall) für Ihre Anwendungsbereitstellungsplattformen, beispielsweise Azure Front Door und Azure Application Gateway, zentral erstellen und zuordnen. |
Hinweis
Durch die mögliche Integration von SECaaS-Drittanbieterlösungen können Sie für Ihre Netzwerksicherheitsstrategie Azure Firewall verwenden, um den lokalen Netzwerkdatenverkehr zu überwachen, während Sie SECaaS-Drittanbieter zum Überwachen des Internetdatenverkehrs verwenden.
Architekturoptionen
Azure Firewall Manager ermöglicht die Sicherheitsverwaltung für die folgenden zwei Netzwerkarchitekturen:
- Virtuelle Hub-Netzwerke: Ein virtuelles Azure-Standardnetzwerk, auf das eine oder mehrere Firewallrichtlinien angewendet werden.
- Geschützte virtuelle Hubs: Ein Azure Virtual WAN-Hub, auf den eine oder mehrere Firewallrichtlinien angewendet werden.