Évaluation d’Azure Well-Architected Framework du Pare-feu Azure
Cet article fournit des recommandations architecturales pour Pare-feu Azure. Les conseils sont basés sur les cinq piliers de l’excellence de l’architecture :
- Fiabilité
- Sécurité
- Optimisation des coûts
- Excellence opérationnelle
- Efficacité des performances
Nous partons du principe que vous avez une connaissance pratique de Pare-feu Azure et que vous connaissez bien ses caractéristiques. Pour plus d’informations, consultez Pare-feu Azure Vue d’ensemble.
Prérequis
- Comprendre les piliers d’Azure Well-Architected Framework peut aider à produire une architecture cloud de haute qualité, stable et efficace. Passez en revue votre charge de travail à l’aide de l’évaluation de révision Well-Architected Framework .
- Utilisez une architecture de référence pour passer en revue les considérations en fonction des conseils fournis dans cet article. Commencez par une application web renforcée par le réseau avec une connectivité privée aux magasins de données PaaS et implémentez un réseau hybride sécurisé.
Fiabilité
Pour savoir comment Pare-feu Azure prend en charge les charges de travail de manière fiable, consultez les articles suivants :
- Présentation du Pare-feu Azure
- Démarrage rapide : Déployer Pare-feu Azure avec des zones de disponibilité
- Configurer un Pare-feu Azure dans un hub de réseau étendu virtuel
Check-list pour la conception
Lorsque vous effectuez des choix de conception pour Pare-feu Azure, passez en revue les principes de conception pour la fiabilité.
- Déployez Pare-feu Azure dans des réseaux virtuels hub ou dans le cadre d’Azure Virtual WAN hubs.
- Tirez parti de la résilience Zones de disponibilité.
- Créez Pare-feu Azure structure de stratégie.
- Passez en revue la liste Des problèmes connus.
- Surveiller Pare-feu Azure’état d’intégrité.
Notes
Il existe des différences dans la disponibilité des services réseau entre le modèle Hub & Spoke traditionnel et Virtual WAN hubs sécurisés managés. Par exemple, dans un hub Virtual WAN, l’adresse IP publique Pare-feu Azure ne peut pas être extraite d’un préfixe d’adresse IP publique et la protection DDoS ne peut pas être activée. La sélection de l’un ou de l’autre modèle doit prendre en compte les exigences des cinq piliers de l’infrastructure Well-Architected.
Recommandations
Explorez le tableau de recommandations suivant pour optimiser votre configuration Pare-feu Azure pour la fiabilité.
| Recommandation | Avantage |
|---|---|
| Utilisez Pare-feu Azure Manager avec hub & spokes traditionnels ou des topologies réseau Azure Virtual WAN pour déployer et gérer des instances de Pare-feu Azure. | Créez facilement des architectures hub-and-spoke et transitives avec des services de sécurité natifs pour la gouvernance et la protection du trafic. Pour plus d’informations sur les topologies réseau, consultez la documentation azure Cloud Adoption Framework. |
| Créez des stratégies Pare-feu Azure pour régir la posture de sécurité dans les environnements réseau globaux. Attribuez des stratégies à toutes les instances de Pare-feu Azure. | Pare-feu Azure Les stratégies peuvent être organisées dans une structure hiérarchique pour superposer une stratégie de base centrale. Autorisez des stratégies granulaires pour répondre aux exigences de régions spécifiques. Déléguer des stratégies de pare-feu incrémentielles aux équipes de sécurité locales via le contrôle d’accès en fonction du rôle (RBAC). Certains paramètres sont spécifiques par instance, par exemple les règles DNAT et la configuration DNS, puis plusieurs stratégies spécialisées peuvent être nécessaires. |
| Migrez Pare-feu Azure règles classiques vers des stratégies Pare-feu Azure Manager pour les déploiements existants. | Pour les déploiements existants, migrez Pare-feu Azure règles vers des stratégies Pare-feu Azure Manager. Utilisez Pare-feu Azure Manager pour gérer de manière centralisée vos pare-feu et stratégies. Pour plus d’informations, consultez Migrer vers Pare-feu Azure Premium. |
| Passez en revue la liste des problèmes connus Pare-feu Azure. | Pare-feu Azure groupe de produits tient à jour la liste des problèmes connus à cet emplacement. Cette liste contient des informations importantes relatives au comportement par conception, aux correctifs en cours de construction, aux limitations de la plateforme, ainsi qu’aux solutions de contournement ou à l’atténuation possibles. |
| Assurez-vous que votre stratégie de Pare-feu Azure respecte Pare-feu Azure limites et recommandations. | Il existe des limites sur la structure de stratégie, notamment le nombre de règles et de groupes de regroupements de règles, la taille totale de la stratégie, les destinations source/cible. Veillez à composer votre stratégie et à rester derrière les seuils documentés. |
| Déployez Pare-feu Azure sur plusieurs zones de disponibilité pour un contrat de niveau de service (SLA) plus élevé. | Pare-feu Azure fournit des contrats SLA différents quand il est déployé dans une seule zone de disponibilité et quand il est déployé dans plusieurs zones. Pour plus d’informations, consultez SLA pour Pare-feu Azure. Pour plus d’informations sur tous les contrats SLA Azure, consultez Résumé des contrats SLA pour les services Azure. |
| Dans les environnements multirégions, déployez un Pare-feu Azure instance par région. | Pour les architectures Hub & Spokes traditionnelles, les détails multirégions sont expliqués dans cet article. Pour les hubs virtuels sécurisés (Azure Virtual WAN), l’intention de routage et les stratégies doivent être configurées pour sécuriser les communications entre hubs et de branche à branche. Pour les charges de travail conçues pour être résistantes aux défaillances et tolérantes aux pannes, n’oubliez pas de considérer que les instances de Pare-feu Azure et Azure Réseau virtuel en tant que ressources régionales. |
| Surveiller les métriques Pare-feu Azure et l’état Resource Health. | Surveillez de près les indicateurs de métriques clés de Pare-feu Azure’état d’intégrité, comme le débit, l’état d’intégrité du pare-feu, l’utilisation du port SNAT et les métriques de la sonde de latence AZFW. En outre, Pare-feu Azure s’intègre désormais à Azure Resource Health. Avec le Pare-feu Azure Resource Health case activée, vous pouvez maintenant afficher les status d’intégrité de votre Pare-feu Azure et résoudre les problèmes de service susceptibles d’affecter votre ressource Pare-feu Azure. |
Azure Advisor vous aide à garantir et à améliorer la continuité de vos applications stratégiques. Passez en revue les recommandations d’Azure Advisor.
Sécurité
La sécurité est l’un des aspects les plus importants d’une architecture. Pare-feu Azure est un service de sécurité de pare-feu intelligent qui fournit une protection contre les menaces pour vos charges de travail cloud s’exécutant dans Azure.
Check-list pour la conception
Lorsque vous effectuez des choix de conception pour Pare-feu Azure, passez en revue les principes de conception pour la sécurité.
- Déterminez si vous avez besoin d’un tunneling forcé.
- Créez des règles pour les stratégies basées sur des critères d’accès de privilège minimum.
- Tirez parti du renseignement sur les menaces.
- Activez Pare-feu Azure proxy DNS.
- Diriger le trafic réseau via Pare-feu Azure.
- Déterminez si vous souhaitez utiliser des fournisseurs de sécurité en tant que service (SECaaS) tiers.
- Protégez vos adresses IP publiques Pare-feu Azure avec DDoS.
Recommandations
Explorez le tableau de recommandations suivant pour optimiser la configuration de votre Pare-feu Azure pour la sécurité.
| Recommandation | Avantage |
|---|---|
| Si vous devez acheminer tout le trafic internet vers un tronçon suivant désigné au lieu d’accéder directement à Internet, configurez Pare-feu Azure en mode tunneling forcé (ne s’applique pas à Azure Virtual WAN). | Le Pare-feu Azure doit avoir une connectivité Internet directe. Si votre azureFirewallSubnet apprend un itinéraire par défaut vers votre réseau local via le protocole border gateway, vous devez configurer Pare-feu Azure en mode tunneling forcé. À l’aide de la fonctionnalité de tunneling forcé, vous aurez besoin d’un autre espace d’adressage /26 pour le sous-réseau Pare-feu Azure Management. Vous devez le nommer AzureFirewallManagementSubnet. S’il s’agit d’un Pare-feu Azure instance existant qui ne peut pas être reconfiguré en mode de tunneling forcé, créez une UDR avec un itinéraire 0.0.0.0/0. Définissez la valeur NextHopType sur Internet. Associez-le à AzureFirewallSubnet pour maintenir la connectivité Internet. |
| Définissez l’adresse IP publique sur Aucun pour déployer un plan de données entièrement privé lorsque vous configurez Pare-feu Azure en mode de tunneling forcé (ne s’applique pas à Azure Virtual WAN). | Lorsque vous déployez une nouvelle Pare-feu Azure instance, si vous activez le mode de tunneling forcé, vous pouvez définir l’adresse IP publique sur Aucun pour déployer un plan de données entièrement privé. Toutefois, le plan de gestion nécessite toujours une adresse IP publique à des fins de gestion uniquement. Le trafic interne provenant de réseaux virtuels et locaux n’utilise pas cette adresse IP publique. Pour plus d’informations sur le tunneling forcé, consultez Pare-feu Azure tunneling forcé. |
| Créez des règles pour les stratégies de pare-feu en fonction des critères d’accès aux privilèges minimum. | Pare-feu Azure Les stratégies peuvent être organisées dans une structure hiérarchique pour superposer une stratégie de base centrale. Autorisez des stratégies granulaires pour répondre aux exigences de régions spécifiques. Chaque stratégie peut contenir différents ensembles de règles DNAT, Réseau et Application avec une priorité, une action et un ordre de traitement spécifiques. Créez vos règles basées sur le principe de l’accès le moins privilégié Confiance nulle . La façon dont les règles sont traitées est expliquée dans cet article. |
| Activez Threat Intelligence sur Pare-feu Azure en mode Alerte et refus. | Vous pouvez activer le filtrage basé sur le renseignement sur les menaces pour votre pare-feu afin de donner l’alerte et de refuser le trafic depuis ou vers des adresses IP et des domaines inconnus. Les adresses IP et les domaines en question proviennent du flux Microsoft Threat Intelligence. Intelligent Security Graph alimente le renseignement sur les menaces Microsoft et est utilisé par plusieurs services, y compris Microsoft Defender pour le cloud. |
| Activez IDPS en mode Alerte ou Alerte et refus . | IDPS est l’une des fonctionnalités de sécurité Pare-feu Azure (Premium) les plus puissantes et doit être activée. En fonction des exigences de sécurité et d’application, et compte tenu de l’impact sur les performances (voir la section Coût ci-dessous), vous pouvez sélectionner les modes Alerte ou Alerte et refus. |
| Activez Pare-feu Azure configuration du proxy (DNS). | L’activation de cette fonctionnalité pointe les clients dans les réseaux virtuels pour Pare-feu Azure en tant que serveur DNS. Il protège l’infrastructure DNS interne qui ne sera pas directement accessible et exposée. Pare-feu Azure devez également être configuré pour utiliser un DNS personnalisé qui sera utilisé pour transférer des requêtes DNS. |
| Configurez des itinéraires définis par l’utilisateur (UDR) pour forcer le trafic via Pare-feu Azure. | Dans une architecture Hub & Spokes traditionnelle, configurez les UDR pour forcer le trafic via Pare-feu Azure pour SpoketoSpokela connectivité , SpoketoInternetet SpoketoHybrid . Dans Azure Virtual WAN, configurez plutôt l’intention et les stratégies de routage pour rediriger le trafic privé et/ou Internet via le Pare-feu Azure instance intégré au hub. |
| Restreindre l’utilisation des adresses IP publiques directement liées à Machines Virtuelles | Afin d’empêcher le trafic de contourner le pare-feu, l’association d’adresses IP publiques à des interfaces réseau de machine virtuelle doit être restreinte. Dans le modèle Azure Cloud Adoption Framework (CAF), un Azure Policy spécifique est affecté au groupe d’administration CORP. |
| S’il n’est pas possible d’appliquer L’UDR et que seule la redirection du trafic web est requise, envisagez d’utiliser Pare-feu Azure comme proxy explicite | Avec la fonctionnalité de proxy explicite activée sur le chemin d’accès sortant, vous pouvez configurer un paramètre de proxy sur l’application web d’envoi (par exemple, un navigateur web) avec Pare-feu Azure configuré comme proxy. Par conséquent, le trafic web atteint l’adresse IP privée du pare-feu et, par conséquent, s’éloigne directement du pare-feu sans utiliser d’UDR. Cette fonctionnalité facilite également l’utilisation de plusieurs pare-feu sans modifier les itinéraires réseau existants. |
| Configurez des fournisseurs de sécurité SaaS (Software as a Service) tiers pris en charge dans Firewall Manager si vous souhaitez utiliser ces solutions pour protéger les connexions sortantes. | Vous pouvez utiliser vos offres SECaaS tierces familières et les plus performantes pour protéger l’accès à Internet pour vos utilisateurs. Ce scénario nécessite azure Virtual WAN avec un passerelle VPN S2S dans le hub, car il utilise un tunnel IPSec pour se connecter à l’infrastructure du fournisseur. Les fournisseurs SECaaS peuvent facturer des frais de licence supplémentaires et limiter le débit sur les connexions IPSec. D’autres solutions telles que ZScaler Cloud Connector existent et peuvent être plus appropriées. |
| Utilisez le filtrage de nom de domaine complet (FQDN) dans les règles réseau. | Vous pouvez utiliser le nom de domaine complet basé sur la résolution DNS dans les stratégies de Pare-feu Azure et de pare-feu. Cette fonctionnalité vous permet de filtrer le trafic sortant avec n’importe quel protocole TCP/UDP (y compris NTP, SSH, RDP, etc.). Vous devez activer la configuration du proxy DNS Pare-feu Azure pour utiliser des noms de domaine complets dans vos règles réseau. Pour en savoir plus sur son fonctionnement, consultez Pare-feu Azure filtrage de nom de domaine complet dans les règles réseau. |
| Utilisez des étiquettes de service dans règles réseau pour activer l’accès sélectif à des services Microsoft spécifiques. | Une balise de service représente un groupe de préfixes d’adresses IP qui permet de simplifier la création de règles de sécurité. À l’aide d’étiquettes de service dans les règles réseau, il est possible d’activer l’accès sortant à des services spécifiques dans Azure, Dynamics et Office 365 sans ouvrir de larges plages d’adresses IP. Azure maintient automatiquement le mappage entre ces balises et les adresses IP sous-jacentes utilisées par chaque service. La liste des étiquettes de service disponibles pour Pare-feu Azure sont répertoriées ici : Balises de service du pare-feu Az. |
| Utilisez des balises de nom de domaine complet dans les règles d’application pour activer l’accès sélectif à des services Microsoft spécifiques. | Une balise FQDN représente un groupe de noms de domaine complets (FQDN) associés à des services Microsoft bien connus. Vous pouvez utiliser une balise de nom de domaine complet dans les règles d’application pour autoriser le trafic réseau sortant requis via votre pare-feu pour certains services Azure spécifiques, Office 365, Windows 365 et Intune. |
| Utilisez Pare-feu Azure Manager pour créer et associer un plan de protection DDoS à votre réseau virtuel hub (ne s’applique pas à Azure Virtual WAN). | Un plan de protection DDoS fournit des fonctionnalités d’atténuation améliorées pour protéger votre pare-feu contre les attaques DDoS. Pare-feu Azure Manager est un outil intégré pour créer votre infrastructure de pare-feu et vos plans de protection DDoS. Pour plus d’informations, consultez Configurer un plan de protection Azure DDoS en utilisant Azure Firewall Manager. |
| Utilisez une infrastructure À clé publique d’entreprise pour générer des certificats pour l’inspection TLS. | Avec Pare-feu Azure Premium, si la fonctionnalité d’inspection TLS est utilisée, il est recommandé de tirer parti d’une autorité de certification d’entreprise interne pour l’environnement de production. Les certificats auto-signés doivent être utilisés uniquement à des fins de test/poC . |
| Consultez Zero-Trust guide de configuration pour Pare-feu Azure et Application Gateway | Si vos exigences de sécurité nécessitent l’implémentation d’une approche Zero-Trust pour les applications web (inspection et chiffrement), il est recommandé de suivre ce guide. Dans ce document, la façon d’intégrer ensemble Pare-feu Azure et Application Gateway sera expliquée, à la fois dans les scénarios Hub & Spoke et Virtual WAN traditionnels. |
Azure Advisor vous aide à garantir et à améliorer la continuité de vos applications stratégiques. Passez en revue les recommandations d’Azure Advisor.
Définitions de stratégies
Les interfaces réseau ne doivent pas avoir d’adresses IP publiques. Cette stratégie refuse les interfaces réseau configurées avec une adresse IP publique. Les adresses IP publiques permettent aux ressources Internet de communiquer avec les ressources Azure et aux ressources Azure de communiquer avec Internet.
Tout le trafic Internet doit être acheminé via votre Pare-feu Azure déployé. Azure Security Center a détecté que certains de vos sous-réseaux ne sont pas protégés par un pare-feu de nouvelle génération. Protégez vos sous-réseaux contre les menaces potentielles en limitant leur accès avec le Pare-feu Azure ou un pare-feu de nouvelle génération pris en charge.
La stratégie de pare-feu Azure doit activer l’inspection TLS dans les règles d’application. L’activation de l’inspection TLS est recommandée pour toutes les règles d’application pour détecter, alerter et atténuer les activités malveillantes dans HTTPS. Pour en savoir plus sur l’inspection TLS avec Pare-feu Azure, consultez https://aka.ms/fw-tlsinspect.
Pare-feu Azure Premium doit configurer un certificat intermédiaire valide pour activer l’inspection TLS. Configurez un certificat intermédiaire valide et activez TLS sur le Pare-feu Azure inspection TLS pour détecter, alerter et atténuer les activités malveillantes en HTTPS. Pour en savoir plus sur l’inspection TLS avec Pare-feu Azure, consultez https://aka.ms/fw-tlsinspect.
La liste de contournement du système de détection et de prévention des intrusions (IDPS) doit être vide dans La stratégie de pare-feu Premium. La liste de contournement de l’IDPS (Intrusion Detection and Prevention System) vous permet de ne pas filtrer le trafic vers les adresses IP, les plages et les sous-réseaux spécifiés dans cette liste. Toutefois, l’activation d’IDPS est recommandée pour tous les flux de trafic afin de mieux identifier les menaces connues. Pour en savoir plus sur les signatures IDPS (Intrusion Detection and Prevention System) avec Pare-feu Azure Premium, consultez https://aka.ms/fw-idps-signature.
La stratégie de pare-feu Premium doit activer toutes les règles de signature IDPS pour surveiller tous les flux de trafic entrant et sortant. Il est recommandé d’activer toutes les règles de signature IDPS (Intrusion Detection and Prevention System) pour mieux identifier les menaces connues dans les flux de trafic. Pour en savoir plus sur les signatures IDPS (Intrusion Detection and Prevention System) avec Pare-feu Azure Premium, consultez https://aka.ms/fw-idps.
La stratégie de pare-feu Premium doit activer le système de détection et de prévention des intrusions (IDPS). Activer l’IDPS (Intrusion Detection and Prevention System) vous permet de surveiller les activités malveillantes, de consigner des informations sur ces activités, de les signaler, voire de les bloquer. Pour en savoir plus sur le système de détection et de prévention des intrusions (IDPS) avec Pare-feu Azure Premium, consultez https://aka.ms/fw-idps.
L’abonnement doit configurer le Pare-feu Azure Premium pour fournir une couche de protection supplémentaire. Le pare-feu Azure Premium offre une protection avancée contre les menaces qui répond aux besoins des environnements hautement sensibles et réglementés. Déployez le Pare-feu Azure Premium sur votre abonnement et assurez-vous que tout le trafic du service est protégé par le Pare-feu Azure Premium. Pour en savoir plus sur Pare-feu Azure Premium, consultez https://aka.ms/fw-premium.
Toutes les définitions de stratégie intégrées liées à la mise en réseau Azure sont répertoriées dans Stratégies intégrées - Réseau.
Optimisation des coûts
L’optimisation des coûts consiste à examiner les moyens de réduire les dépenses inutiles et d’améliorer l’efficacité opérationnelle.
Check-list pour la conception
Lorsque vous faites des choix de conception pour Pare-feu Azure, passez en revue les principes de conception pour l’optimisation des coûts.
- Sélectionnez la référence SKU Pare-feu Azure à déployer.
- Déterminez si certaines instances n’ont pas besoin d’allocation permanente 24h/24 et 7 j/7.
- Déterminez où vous pouvez optimiser l’utilisation du pare-feu entre les charges de travail.
- Surveillez et optimisez l’utilisation des instances de pare-feu pour déterminer la rentabilité.
- Passez en revue et optimisez le nombre d’adresses IP publiques requises et les stratégies utilisées.
- Passez en revue les exigences de journalisation, estimez le coût et contrôlez-le dans le temps.
Recommandations
Explorez le tableau de recommandations suivant pour optimiser votre configuration Pare-feu Azure pour l’optimisation des coûts.
| Recommandation | Avantage |
|---|---|
| Déployez la référence SKU de Pare-feu Azure appropriée. | Pare-feu Azure peuvent être déployés dans trois références SKU différentes : De base, Standard et Premium. Pare-feu Azure Premium est recommandé pour sécuriser les applications hautement sensibles (telles que le traitement des paiements). Pare-feu Azure Standard est recommandé aux clients qui recherchent un pare-feu de couche 3 à couche 7 et qui ont besoin d’une mise à l’échelle automatique pour gérer des périodes de pics de trafic allant jusqu’à 30 Gbits/s. Pare-feu Azure De base est recommandé pour les clients SMB dont les besoins en débit sont inférieurs à 250 Mbits/s. Si nécessaire, une version antérieure ou une mise à niveau est possible entre Standard et Premium, comme indiqué ici. Pour plus d’informations, consultez Choisir la référence SKU Pare-feu Azure adaptée à vos besoins. |
| Arrêtez Pare-feu Azure déploiements qui n’ont pas besoin de s’exécuter 24h/24, 7 j/7. | Vous pouvez avoir des environnements de développement ou de test qui sont utilisés uniquement pendant les heures de bureau. Pour plus d’informations, consultez Libérer et allouer des Pare-feu Azure. |
| Partagez les mêmes instance de Pare-feu Azure sur plusieurs charges de travail et réseaux virtuels Azure. | Vous pouvez utiliser un instance central de Pare-feu Azure dans le réseau virtuel hub ou Virtual WAN hub sécurisé et partager le même pare-feu sur de nombreux réseaux virtuels spoke connectés au même hub à partir de la même région. Vérifiez qu’il n’y a pas de trafic inter-région inattendu dans le cadre de la topologie hub-spoke. |
| Passez régulièrement en revue le trafic traité par Pare-feu Azure et recherchez les optimisations de charge de travail d’origine | Le journal des principaux flux (connu dans le secteur sous le nom de Flux fat) affiche les connexions principales qui contribuent au débit le plus élevé via le pare-feu. Il est recommandé d’examiner régulièrement le trafic traité par le Pare-feu Azure et de rechercher des optimisations possibles pour réduire la quantité de trafic traversant le pare-feu. |
| Passez en revue les instances de Pare-feu Azure sous-utilisées. Identifier et supprimer les déploiements Pare-feu Azure inutilisés. | Pour identifier les déploiements Pare-feu Azure inutilisés, commencez par analyser les métriques de surveillance et les UDR associés aux sous-réseaux pointant vers l’adresse IP privée du pare-feu. Combinez ces informations avec d’autres validations, par exemple si votre instance de Pare-feu Azure a des règles (classiques) pour NAT, Réseau et Application, ou même si le paramètre proxy DNS est configuré sur Désactivé, et avec une documentation interne sur votre environnement et vos déploiements. Vous pouvez détecter les déploiements rentables au fil du temps. Pour plus d’informations sur la surveillance des journaux et des métriques, consultez Surveiller les journaux et les métriques Pare-feu Azure et utilisation des ports SNAT. |
| Utilisez Pare-feu Azure Manager et ses stratégies pour réduire les coûts d’exploitation, augmenter l’efficacité et réduire la surcharge de gestion. | Examinez attentivement les stratégies, les associations et l’héritage de Firewall Manager. Les stratégies sont facturées en fonction des associations de pare-feu. Une stratégie avec zéro ou une seule association de pare-feu est gratuite. Une stratégie avec plusieurs associations de pare-feu est facturée à un tarif fixe. Pour plus d’informations, consultez Tarification - Pare-feu Azure Manager. |
| Supprimez les adresses IP publiques inutilisées. | Vérifiez si toutes les adresses IP publiques associées sont en cours d’utilisation. S’ils ne sont pas utilisés, dissociez-les et supprimez-les. Évaluez l’utilisation des ports SNAT avant de supprimer des adresses IP. Vous utiliserez uniquement le nombre d’adresses IP publiques dont votre pare-feu a besoin. Pour plus d’informations, consultez Surveiller les journaux et les métriques Pare-feu Azure et utilisation des ports SNAT. |
| Passez en revue les exigences de journalisation. | Pare-feu Azure a la possibilité de journaliser de manière complète les métadonnées de tout le trafic qu’il voit, vers les espaces de travail Log Analytics, le stockage ou des solutions tierces via Event Hubs. Toutefois, toutes les solutions de journalisation entraînent des coûts pour le traitement et le stockage des données. Dans des volumes très importants, ces coûts peuvent être importants, une approche économique et une alternative à Log Analytics doivent être prises en compte et estimées. Déterminez s’il est nécessaire de journaliser les métadonnées du trafic pour toutes les catégories de journalisation et de les modifier dans les paramètres de diagnostic si nécessaire. |
Pour obtenir d’autres suggestions, consultez Check-list de révision de la conception pour l’optimisation des coûts.
Azure Advisor vous aide à garantir et à améliorer la continuité de vos applications stratégiques. Passez en revue les recommandations d’Azure Advisor.
Excellence opérationnelle
La surveillance et les diagnostics sont cruciaux. Vous pouvez mesurer les statistiques et les métriques de performances pour résoudre rapidement les problèmes.
Check-list pour la conception
Lorsque vous effectuez des choix de conception pour Pare-feu Azure, passez en revue les principes de conception pour l’excellence opérationnelle.
- Gérer l’inventaire et la sauvegarde de la configuration et des stratégies Pare-feu Azure.
- Tirez parti des journaux de diagnostic pour la surveillance et la résolution des problèmes du pare-feu.
- Tirez parti Pare-feu Azure classeur Surveillance.
- Passez régulièrement en revue vos insights et analyses de stratégie.
- Intégrez Pare-feu Azure à Microsoft Defender pour le cloud et Microsoft Sentinel.
Recommandations
Explorez le tableau de recommandations suivant pour optimiser votre configuration Pare-feu Azure pour l’excellence opérationnelle.
| Recommandation | Avantage |
|---|---|
| N’utilisez pas Pare-feu Azure pour le contrôle du trafic intra-réseau virtuel. | Pare-feu Azure doivent être utilisés pour contrôler le trafic entre les réseaux virtuels, entre les réseaux virtuels et les réseaux locaux, le trafic sortant vers Internet et le trafic entrant non HTTP/s. Pour le contrôle du trafic intra-réseau virtuel, il est recommandé d’utiliser des groupes de sécurité réseau. |
| Gérer des sauvegardes régulières des artefacts Azure Policy. | Si l’approche Infrastructure-as-Code (IaC) est utilisée pour gérer les Pare-feu Azure et toutes les dépendances, la sauvegarde et le contrôle de version de Pare-feu Azure Stratégies doivent déjà être en place. Si ce n’est pas le cas, un mécanisme complémentaire basé sur une application logique externe peut être déployé pour automatiser et fournir une solution efficace. |
| Activez les journaux de diagnostic pour Pare-feu Azure. | Les journaux de diagnostic sont un composant clé pour de nombreux outils et stratégies de supervision pour Pare-feu Azure et doivent être activés. Vous pouvez surveiller Pare-feu Azure à l’aide de journaux ou de classeurs de pare-feu. Vous pouvez également utiliser les journaux d’activité pour les opérations d’audit sur Pare-feu Azure ressources. |
| Utilisez le format Journaux du pare-feu structuré . | Les journaux de pare-feu structuré sont un type de données de journal organisées dans un nouveau format spécifique. Ils utilisent un schéma prédéfini pour structurer des données de journal d’une manière qui facilite la recherche, le filtrage et l’analyse. Les outils de supervision les plus récents sont basés sur ce type de journaux d’activité, c’est pourquoi il s’agit souvent d’un prérequis. Utilisez le format précédent des journaux de diagnostic uniquement s’il existe un outil existant avec un prérequis. N’activez pas les deux formats de journalisation en même temps. |
| Utilisez le classeur de supervision Pare-feu Azure intégré. | Pare-feu Azure’expérience du portail inclut désormais un nouveau classeur sous l’interface utilisateur de la section Surveillance, une installation distincte n’est plus nécessaire. Avec le classeur Pare-feu Azure, vous pouvez extraire des insights précieux à partir d’événements Pare-feu Azure, vous plonger dans vos règles d’application et de réseau, et examiner les statistiques relatives aux activités du pare-feu sur les URL, les ports et les adresses. |
| Surveillez les métriques clés et créez des alertes pour les indicateurs d’utilisation de Pare-feu Azure capacité. | Des alertes doivent être créées pour surveiller au moins le débit, l’état d’intégrité du pare-feu, l’utilisation du port SNAT et les métriques de la sonde de latence AZFW . Pour plus d’informations sur la surveillance des journaux et des métriques, consultez Surveiller les journaux et les métriques Pare-feu Azure. |
| Configurez Pare-feu Azure’intégration à Microsoft Defender pour le cloud et Microsoft Sentinel. | Si ces outils sont disponibles dans l’environnement, il est recommandé de tirer parti de l’intégration avec Microsoft Defender pour les solutions Cloud et Microsoft Sentinel. Avec Microsoft Defender pour l’intégration cloud, vous pouvez visualiser les status complètes de l’infrastructure réseau et de la sécurité réseau en un seul endroit, y compris La sécurité réseau Azure sur tous les réseaux virtuels et hubs virtuels répartis dans différentes régions d’Azure. L’intégration à Microsoft Sentinel fournit des fonctionnalités de détection et de prévention des menaces. |
| Consultez régulièrement le tableau de bord Policy Analytics pour identifier les problèmes potentiels. | Policy Analytics est une nouvelle fonctionnalité qui fournit des insights sur l’impact de vos stratégies de Pare-feu Azure. Il vous aide à identifier les problèmes potentiels (atteinte des limites de stratégie, règles à faible utilisation, règles redondantes, règles trop génériques, recommandation d’utilisation des groupes IP) dans vos stratégies et fournit des recommandations pour améliorer votre posture de sécurité et les performances de traitement des règles. |
| Familiarisez-vous avec les requêtes KQL (Langage de requête Kusto) pour permettre une analyse et une résolution des problèmes rapides à l’aide de journaux Pare-feu Azure. | Des exemples de requêtes sont fournis pour Pare-feu Azure. Celles-ci vous permettent d’identifier rapidement ce qui se passe à l’intérieur de votre pare-feu et de case activée de voir quelle règle a été déclenchée ou quelle règle autorise/bloque une demande. |
Azure Advisor vous aide à garantir et à améliorer la continuité de vos applications stratégiques. Passez en revue les recommandations d’Azure Advisor.
Efficacité des performances
L’efficacité des performances est la capacité de votre charge de travail à évoluer pour répondre efficacement aux demandes des utilisateurs.
Check-list pour la conception
Lorsque vous faites des choix de conception pour Pare-feu Azure, passez en revue les principes de conception pour l’efficacité des performances.
- Passez régulièrement en revue et optimisez les règles de pare-feu.
- Passez en revue les exigences et les opportunités de stratégie pour résumer les plages d’adresses IP et la liste des URL.
- Évaluez vos exigences en matière de port SNAT.
- Planifiez des tests de charge pour tester les performances de mise à l’échelle automatique dans votre environnement.
- N’activez pas les outils de diagnostic et la journalisation si ce n’est pas nécessaire.
Recommandations
Explorez le tableau de recommandations suivant pour optimiser votre configuration de Pare-feu Azure pour optimiser les performances.
| Recommandation | Avantage |
|---|---|
| Utilisez le tableau de bord Policy Analytics pour identifier les optimisations potentielles pour les stratégies de pare-feu. | Policy Analytics est une nouvelle fonctionnalité qui fournit des informations sur l’impact de vos stratégies de Pare-feu Azure. Il vous aide à identifier les problèmes potentiels (dépassement des limites de stratégie, règles de faible utilisation, règles redondantes, règles trop génériques, recommandation d’utilisation des groupes IP) dans vos stratégies et fournit des recommandations pour améliorer votre posture de sécurité et les performances de traitement des règles. |
| Pour les stratégies de pare-feu avec des ensembles de règles volumineux, placez les règles les plus fréquemment utilisées au début du groupe pour optimiser la latence. | Les règles sont traitées en fonction du type de règle, de l’héritage, de la priorité groupe de la collection de règles et de la priorité de la collection de règles. Les groupes de collections de règles dont la priorité est la plus élevée sont traités en premier. À l’intérieur d’un groupe de collections de règles, les collections de règles avec la priorité la plus élevée sont traitées en premier. Placer les règles les plus utilisées plus haut dans l’ensemble de règles optimise la latence de traitement. La façon dont les règles sont traitées et évaluées est expliquée dans cet article. |
| Utilisez des groupes IP pour résumer les plages d’adresses IP. | Vous pouvez utiliser des groupes d’adresses IP pour résumer les plages d’adresses IP, afin de ne pas dépasser la limite des règles réseau source/destination uniques. Pour chaque règle, Azure multiplie les ports par adresses IP. Par conséquent, si vous avez une règle avec quatre plages d’adresses IP et cinq ports, vous consommerez 20 règles réseau. Le groupe IP est traité comme une adresse unique dans le but de créer des règles réseau. |
| Envisagez les catégories web pour autoriser ou refuser l’accès sortant en bloc. | Au lieu de créer et de gérer explicitement une longue liste de sites Internet publics, envisagez l’utilisation de Pare-feu Azure catégories Web. Cette fonctionnalité catégorise dynamiquement le contenu web et permet la création de règles d’application compactes. |
| Évaluez l’impact sur les performances d’IDPS en mode Alerte et refus . | Si Pare-feu Azure est nécessaire pour fonctionner en mode IDPS Alerte et refus, examinez attentivement l’impact sur les performances, comme indiqué dans cette page. |
| Évaluez le problème potentiel d’épuisement des ports SNAT. | Actuellement, Pare-feu Azure prend en charge 2496 ports par adresse IP publique par instance de groupe de machines virtuelles identiques back-end. Par défaut, il existe deux instances de groupe de machines virtuelles identiques. Il existe donc 4 992 ports par adresse IP de destination de flux, port de destination et protocole (TCP ou UDP). Le pare-feu peut évoluer jusqu’à 20 instances maximum. Vous pouvez contourner les limites en configurant les déploiements de Pare-feu Azure avec un minimum de cinq adresses IP publiques pour les déploiements sujets à une insuffisance de ports SNAT. |
| Chauffez correctement Pare-feu Azure avant tout test de performances. | Créez un trafic initial qui ne fait pas partie de vos tests de charge 20 minutes avant le test. Utilisez les paramètres de diagnostic pour capturer les événements de scale-up et scale-down. Vous pouvez utiliser le service Test de charge Azure pour générer le trafic initial. Permet à l’Pare-feu Azure instance d’effectuer un scale-up maximal de ses instances. |
| Configurez un sous-réseau Pare-feu Azure (AzureFirewallSubnet) avec un espace d’adressage /26. | Pare-feu Azure est un déploiement dédié dans votre réseau virtuel. Au sein de votre réseau virtuel, un sous-réseau dédié est requis pour la instance de Pare-feu Azure. Pare-feu Azure provisionne plus de capacité à mesure qu’elle évolue. Avec un espace d’adressage /26 pour ses sous-réseaux, le pare-feu dispose de suffisamment d’adresses IP pour prendre en charge la mise à l’échelle. Un sous-réseau de /26 suffit au Pare-feu Azure. Le nom de sous-réseau Pare-feu Azure doit être AzureFirewallSubnet. |
| N’activez pas la journalisation avancée si ce n’est pas nécessaire | Pare-feu Azure fournit des fonctionnalités de journalisation avancées qui peuvent être coûteuses à maintenir toujours actives. Au lieu de cela, ils doivent être utilisés uniquement à des fins de résolution des problèmes, et limités en durée, puis désactivés lorsque cela n’est plus nécessaire. Par exemple, les flux principaux et les journaux de suivi de flux sont coûteux peuvent entraîner une utilisation excessive du processeur et du stockage sur l’infrastructure Pare-feu Azure. |
Azure Advisor vous aide à garantir et à améliorer la continuité de vos applications stratégiques. Passez en revue les recommandations d’Azure Advisor.
Recommandations Azure Advisor
Azure Advisor est un conseiller cloud personnalisé qui vous aide à suivre les bonnes pratiques pour optimiser vos déploiements Azure. Il n’existe pas encore Pare-feu Azure recommandation Advisor spécifique. Certaines recommandations générales peuvent être appliquées pour aider à améliorer la fiabilité, la sécurité, la rentabilité, les performances et l’excellence opérationnelle.
- Créer des alertes Azure Service Health pour être averti des problèmes Azure qui vous concernent
- Assurez-vous d’avoir accès à des experts du cloud Azure chaque fois que vous en avez besoin
- Activer Traffic Analytics pour obtenir des insights sur les modèles de trafic des ressources Azure
- Suivre juste assez d’administration (principe des privilèges minimum)
- Protéger vos ressources réseau avec Microsoft Defender pour le cloud
Ressources supplémentaires
- Documentation du Pare-feu Azure
- Qu’est-ce qu’Azure Firewall Manager ?
- limites, quotas et contraintes de service Pare-feu Azure
- Base de référence de sécurité Azure pour Pare-feu Azure
Conseils d’Azure Architecture Center
- Vue d’ensemble de l’architecture du Pare-feu Azure
- Utiliser Pare-feu Azure pour aider à protéger un cluster Azure Kubernetes Service (AKS)
- Utiliser Pare-feu Azure pour protéger les déploiements d’Azure Virtual Desktop (AVD)
- Utiliser le Pare-feu Azure pour protéger Office 365
- Topologie réseau hub-and-spoke dans Azure
- Réseau Confiance Zéro pour les applications web avec le pare-feu Azure et Application Gateway
- Implémenter un réseau hybride sécurisé
- Application web renforcée en réseau avec connectivité privée aux banques de données PaaS
Étape suivante
Déployez une instance de Pare-feu Azure pour voir comment elle fonctionne :
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour