Einsatzgebiete von Azure Firewall Premium
Organisationen können Azure Firewall Premium-Features wie IDPS und TLS-Überprüfung verwenden, um zu verhindern, dass sich Schadsoftware und Viren in vertikaler und horizontaler Richtung in Netzwerken verbreiten. Um die erhöhten Leistungsanforderungen der IDPS- und TLS-Überprüfung zu erfüllen, verwendet Azure Firewall Premium eine leistungsfähigere VM-SKU. Wie die Standard-SKU kann die Premium-SKU nahtlos auf bis zu 30 GBit/s hochskaliert und in Verfügbarkeitszonen integriert werden, um die Vereinbarung zum Servicelevel (SLA) von 99,99 Prozent zu unterstützen. Die Premium-SKU entspricht den Anforderungen der PCI-DSS-Umgebung (Payment Card Industry Data Security Standard).
Um Ihnen bei der Entscheidung zu helfen, ob Azure Firewall Premium für Ihre Organisation geeignet ist, berücksichtigen Sie die folgenden Szenarien:
Sie möchten ausgehenden TLS-verschlüsselten Netzwerkdatenverkehr untersuchen.
Die TLS-Überprüfung von Azure Firewall Premium kann ausgehenden Datenverkehr entschlüsseln, die Daten verarbeiten und dann verschlüsseln und an das Ziel senden.
Azure Firewall Premium terminiert ausgehende und Ost-West-TLS-Verbindungen. Die eingehende TLS-Inspektion wird mit Azure Application Gateway unterstützt und ermöglicht eine End-to-End-Verschlüsselung. Azure Firewall übernimmt die erforderlichen Mehrwertsicherheitsfunktionen und verschlüsselt den Datenverkehr erneut, der an das ursprüngliche Ziel gesendet wird.
Sie möchten Ihr Netzwerk mithilfe der signaturbasierten Erkennung von schädlichem Datenverkehr schützen.
Mit einem Angriffserkennungs- und -präventionssystem (IDPS) für das Netzwerk können Sie es auf böswillige Aktivitäten überwachen. Außerdem können Sie Informationen zu dieser Aktivität protokollieren, sie melden und optional versuchen, sie zu blockieren.
Azure Firewall Premium bietet signaturbasiertes IDPS, um eine schnelle Erkennung von Angriffen zu ermöglichen, indem nach bestimmten Mustern gesucht wird, z. B. nach Bytesequenzen im Netzwerkdatenverkehr oder nach bekannten schädlichen Anweisungssequenzen, die von Malware verwendet werden. Die IDPS-Signaturen gelten sowohl für den Datenverkehr auf Anwendungsebene als auch für den Netzwerkdatenverkehr (Ebene 4-7). Sie werden vollständig verwaltet und fortlaufend aktualisiert. Sie können IDPS auf eingehende, Spoke-zu-Spoke- (Ost-West) und ausgehenden Datenverkehr anwenden.
Die Signaturen/Regelsätze in Azure Firewall bieten Folgendes:
- Schwerpunkt auf der Erstellung von Fingerabdrücken von tatsächlicher Schadsoftware, Command-and-Control, Exploitkits und schädlichen Aktivitäten in der Praxis, die herkömmliche Präventionsmethoden übersehen
- Über 55.000 Regeln in mehr als 50 Kategorien.
- Zu diesen Kategorien gehören unter anderem Schadsoftware, Command-and-Control, DoS-Angriffe, Botnets, Informationsereignisse, Exploits, Sicherheitsrisiken, SCADA-Netzwerkprotokolle und Exploitkitaktivitäten.
- Jeden Tag werden zwischen 20 und mehr als 40 neue Regeln veröffentlicht.
- Niedrige False-Positive-Bewertung dank Verwendung einer modernen Sandbox für Schadsoftware und einer globalen Feedbackschleife für das Sensornetzwerk
Mit IDPS können Sie Angriffe auf alle Ports und Protokolle für nicht verschlüsselten Datenverkehr erkennen. Wenn jedoch HTTPS-Datenverkehr überprüft werden muss, kann Azure Firewall seine TLS-Inspektionsfunktion nutzen, um den Datenverkehr zu entschlüsseln und schädliche Aktivitäten besser zu erkennen.
Mit der IDPS-Umgehungsliste können Sie den Datenverkehr zu den in der Umgehungsliste angegebenen IP-Adressen, Bereichen und Subnetzen nicht filtern.
Sie können auch Signaturregeln verwenden, wenn der IDPS-Modus auf „Warnung“ festgelegt ist. Es gibt jedoch eine oder mehrere spezifische Signaturen, die Sie blockieren sollten, einschließlich des zugeordneten Datenverkehrs. In diesem Fall können Sie neue Signaturregeln hinzufügen, indem Sie den Modus für die TLS-Inspektion auf Ablehnen festlegen.
Sie möchten die FQDN-Filterfunktion von Azure Firewall erweitern, um eine vollständige URL zu berücksichtigen.
Azure Firewall Premium kann nach einer vollständigen URL filtern. Beispiel: www.contoso.com/a/c anstelle von www.contoso.com.
Die URL-Filterung kann sowohl auf HTTP- als auch auf HTTPS-Datenverkehr angewendet werden. Wenn der HTTPS-Datenverkehr überprüft wird, kann Azure Firewall Premium die Funktion „TLS-Inspektion“ nutzen, um den Datenverkehr zu entschlüsseln und die Ziel-URL zu extrahieren, um zu überprüfen, ob der Zugriff gestattet ist. Die TLS-Inspektion erfordert eine Aktivierung auf der Anwendungsregelebene. Sobald diese Funktion aktiviert ist, können Sie URLs für die Filterung mit HTTPS verwenden.
Sie möchten den Zugriff basierend auf Kategorien zulassen oder verweigern.
Mit der Funktion Web-Kategorien können Administrator*innen den Benutzerzugriff auf Website-Kategorien wie Glücksspiel-Websites, Social Media-Websites und andere erlauben oder verweigern. Webkategorien sind auch in Azure Firewall Standard enthalten. Azure Firewall Premium bietet jedoch feinere Anpassungsmöglichkeiten. Im Gegensatz zu den Funktionen für Webkategorien in der Standard-SKU, bei denen der Abgleich der Kategorie anhand des FQDN erfolgt, werden die Kategorien bei der Premium-SKU anhand der gesamten URL abgeglichen (sowohl HTTP- als auch HTTPS-Datenverkehr).
Wenn Azure Firewall beispielsweise eine HTTPS-Anforderung für www.google.com/news abfängt, wird die folgende Kategorisierung erwartet:
- Firewall Standard: Nur der FQDN-Teil wird untersucht, sodass www.google.com als Suchmaschine kategorisiert wird.
- Firewall Premium: Die vollständige URL wird untersucht, sodass www.google.com/news als News (Nachrichten) kategorisiert wird.
Die Kategorien sind nach Schweregrad unter „Haftung“, „Hohe Bandbreite“, „Geschäftsnutzung“, „Produktivitätsverlust“, „Allgemeines Surfen“ und „Nicht kategorisiert“ organisiert.