Azure Well-Architected-keretrendszer áttekintése – Azure Firewall
Ez a cikk architekturális javaslatokat tartalmaz Azure Firewall. Az útmutató az architektúra kiválóságának öt pillérén alapul:
- Megbízhatóság
- Biztonság
- Költségoptimalizálás
- Működésbeli kiválóság
- Teljesítményhatékonyság
Feltételezzük, hogy ismeri a Azure Firewall, és jól ismeri annak funkcióit. További információ: Azure Firewall Áttekintés.
Előfeltételek
- Az Azure Well-Architected-keretrendszer alappilléreinek megértése segíthet a kiváló minőségű, stabil és hatékony felhőarchitektúra létrehozásában. Tekintse át a számítási feladatokat a Well-Architected Framework felülvizsgálati értékelésével.
- Referenciaarchitektúra használatával tekintse át a szempontokat az ebben a cikkben található útmutatás alapján. Kezdje a Hálózat által edzett webalkalmazással, amely privát kapcsolatot létesít a PaaS-adattárakkal , és implementál egy biztonságos hibrid hálózatot.
Megbízhatóság
A Azure Firewall megbízhatóan támogatja a számítási feladatokat, tekintse meg az alábbi cikkeket:
- A Azure Firewall bemutatása
- Rövid útmutató: Azure Firewall üzembe helyezése rendelkezésre állási zónákkal
- Azure Firewall konfigurálása virtuális WAN-központban
Tervezési ellenőrzőlista
Ahogy tervezési döntéseket hoz a Azure Firewall, tekintse át a megbízhatóság tervezési alapelveit.
- Helyezze üzembe a Azure Firewall központi virtuális hálózatokban vagy az Azure Virtual WAN hubok részeként.
- Használja ki Availability Zones rugalmasságot.
- Hozzon létre Azure Firewall szabályzatstruktúrát.
- Tekintse át az Ismert probléma listát.
- Monitorozza Azure Firewall állapotot.
Megjegyzés
A hálózati szolgáltatások rendelkezésre állása eltér a hagyományos küllős & modell és Virtual WAN felügyelt biztonságos központok között. Egy Virtual WAN Hubban például a Azure Firewall nyilvános IP-cím nem vehető át nyilvános IP-előtagból, és nem engedélyezhető a DDoS Protection. Az egyik vagy a másik modell kiválasztásának figyelembe kell vennie a Well-Architected-keretrendszer mind az öt pillérére vonatkozó követelményeket.
Javaslatok
Tekintse át az alábbi javaslattáblázatot a Azure Firewall megbízhatósági konfigurációjának optimalizálásához.
| Ajánlás | Előny |
|---|---|
| A Azure Firewall Manager hagyományos & küllőkkel vagy Azure Virtual WAN hálózati topológiákkal Azure Firewall példányainak üzembe helyezéséhez és kezeléséhez használható. | Egyszerűen hozhat létre küllős és tranzitív architektúrákat natív biztonsági szolgáltatásokkal a forgalomszabályozás és -védelem érdekében. A hálózati topológiákról az Azure felhőadaptálási keretrendszer dokumentációjában talál további információt. |
| Hozzon létre Azure Firewall szabályzatokat a globális hálózati környezetek biztonsági helyzetének szabályozásához. Szabályzatok hozzárendelése a Azure Firewall összes példányához. | Azure Firewall szabályzatok hierarchikus struktúrába rendezhetők, hogy egy központi alapszabályzatot átfedjenek. Lehetővé teszi, hogy a részletes szabályzatok megfeleljenek az adott régiók követelményeinek. Növekményes tűzfalszabályzatok delegálása helyi biztonsági csapatoknak szerepköralapú hozzáférés-vezérléssel (RBAC) keresztül. Egyes beállítások példányonként specifikusak, például DNS-szabályok és DNS-konfiguráció, majd több speciális szabályzatra lehet szükség. |
| Migrálja Azure Firewall klasszikus szabályokat a meglévő üzemelő példányok Azure Firewall Manager-szabályzataiba. | Meglévő üzemelő példányok esetén migrálja Azure Firewall szabályokat Azure Firewall Manager-szabályzatokba. A Azure Firewall Managerrel központilag kezelheti a tűzfalakat és szabályzatokat. További információ: Migrálás Azure Firewall Premiumba. |
| Tekintse át Azure Firewall ismert problémák listáját. | Azure Firewall termékcsoport ezen a helyen tartja fenn az ismert problémák frissített listáját. Ez a lista fontos információkat tartalmaz a tervezéssel kapcsolatos viselkedésről, az építés alatt álló javításokról, a platformkorlátozásokról, valamint a lehetséges áthidaló megoldásokról vagy kockázatcsökkentésről. |
| Győződjön meg arról, hogy a Azure Firewall Szabályzat megfelel Azure Firewall korlátozásoknak és javaslatoknak. | A szabályzatstruktúra korlátozásokat tartalmaz, beleértve a szabályok és szabálygyűjtemény-csoportok számát, a teljes szabályzatméretet, a forrás-/célcélhelyeket. Mindenképpen írja meg a szabályzatot, és maradjon a dokumentált küszöbértékek mögött. |
| Helyezzen üzembe Azure Firewall több rendelkezésre állási zónában a magasabb szolgáltatási szintű szerződés (SLA) érdekében. | Azure Firewall különböző SLA-kat biztosít, ha egyetlen rendelkezésre állási zónában van üzembe helyezve, és ha több zónában van üzembe helyezve. További információ: SLA a Azure Firewall. Az összes Azure SLA-val kapcsolatos információkért lásd az Azure-szolgáltatások SLA-összefoglalását. |
| Többrégiós környezetekben helyezzen üzembe egy Azure Firewall példányt régiónként. | A hagyományos küllős & architektúrák esetében a többrégiós részleteket ebben a cikkben ismertetjük. Biztonságos virtuális központok (Azure Virtual WAN) esetében az útválasztási szándékot és a szabályzatokat úgy kell konfigurálni, hogy biztonságossá tegye a központközi és ágközi kommunikációt. A hibáknak és hibatűrőknek ellenálló számítási feladatok esetében ne feledje, hogy a Azure Firewall és az Azure Virtual Network példányai regionális erőforrások. |
| Monitorozza Azure Firewall metrikákat és Resource Health állapotát. | Szorosan monitorozza az Azure Firewall állapotának főbb metrikáit, például az átviteli sebességet, a tűzfal állapotát, az SNAT-port kihasználtságát és az AZFW késési mintavételi metrikáit. Emellett Azure Firewall mostantól integrálható az Azure Resource Health. A Azure Firewall Resource Health ellenőrzéssel mostantól megtekintheti a Azure Firewall állapotát, és elháríthatja azokat a szolgáltatásproblémákat, amelyek hatással lehetnek az Azure Firewall erőforrásra. |
Az Azure Advisor segít biztosítani és javítani az üzletileg kritikus fontosságú alkalmazások folytonosságát. Tekintse át az Azure Advisor javaslatait.
Biztonság
A biztonság minden architektúra esetében az egyik legfontosabb szempont. Azure Firewall egy intelligens tűzfalbiztonsági szolgáltatás, amely fenyegetésvédelmet biztosít az Azure-ban futó felhőbeli számítási feladatok számára.
Tervezési ellenőrzőlista
Ahogy tervezési döntéseket hoz Azure Firewall, tekintse át a biztonság tervezési alapelveit.
- Állapítsa meg, hogy szükség van-e kényszerített bújtatásra.
- Szabályzatok szabályainak létrehozása a minimális jogosultsági hozzáférési feltételek alapján.
- Használja ki a fenyegetésfelderítést.
- Engedélyezze Azure Firewall DNS-proxyt.
- A hálózati forgalom irányítása Azure Firewall keresztül.
- Állapítsa meg, hogy külső biztonsági szolgáltatót (SECaaS) szeretne-e használni.
- Védje Azure Firewall nyilvános IP-címeit a DDoS használatával.
Javaslatok
A Azure Firewall biztonsági konfigurációjának optimalizálásához tekintse meg az alábbi javaslatokat.
| Ajánlás | Előny |
|---|---|
| Ha az internethez kötött összes forgalmat egy kijelölt következő ugrásra kell irányítania ahelyett, hogy közvetlenül az internetre szeretne lépni, konfigurálja a Azure Firewall kényszerített bújtatási módban (ez nem vonatkozik az Azure Virtual WAN-ra). | Az Azure Firewallnak közvetlen internetkapcsolatra van szüksége. Ha az AzureFirewallSubnet a Border Gateway Protocolon keresztül tanulja meg a helyszíni hálózathoz vezető alapértelmezett útvonalat, konfigurálnia kell Azure Firewall kényszerített bújtatási módban. A kényszerített bújtatási funkció használatával további /26 címtérre lesz szüksége a Azure Firewall Felügyeleti alhálózathoz. Az AzureFirewallManagementSubnet nevet kell adnia. Ha ez egy meglévő Azure Firewall példány, amelyet nem lehet újrakonfigurálni kényszerített bújtatási módban, hozzon létre egy UDR-t 0.0.0.0/0 útvonallal. Állítsa be a NextHopType értéket internetként. Társítsa az AzureFirewallSubnethez az internetkapcsolat fenntartásához. |
| Állítsa a nyilvános IP-címet None értékre, hogy egy teljesen privát adatsíkot helyezzen üzembe, amikor kényszerített bújtatási módban konfigurálja Azure Firewall (ez nem vonatkozik az Azure Virtual WAN-ra). | Ha új Azure Firewall-példányt helyez üzembe, ha engedélyezi a kényszerített bújtatási módot, a nyilvános IP-címet None értékre állíthatja egy teljesen privát adatsík üzembe helyezéséhez. A felügyeleti sík azonban továbbra is csak felügyeleti célokra igényel nyilvános IP-címet. A virtuális és helyszíni hálózatokról érkező belső forgalom nem használja ezt a nyilvános IP-címet. További információ a kényszerített bújtatásról: Azure Firewall kényszerített bújtatás. |
| Hozzon létre szabályokat a tűzfalszabályzatokhoz a minimális jogosultsági hozzáférési feltételek alapján. | Azure Firewall A szabályzatok hierarchikus szerkezetbe rendezhetők, hogy átfedjenek egy központi alapszabályzatot. Lehetővé teszi, hogy a részletes szabályzatok megfeleljenek az adott régiók követelményeinek. Minden szabályzat különböző DNAT-, hálózati és alkalmazásszabályokat tartalmazhat meghatározott prioritással, művelettel és feldolgozási sorrendtel. Hozza létre a szabályokat a minimális jogosultsági hozzáférés Teljes felügyelet elve alapján. A szabályok feldolgozásának módját ebben a cikkben ismertetjük. |
| Engedélyezze a fenyegetésfelderítést Azure Firewall riasztási és megtagadási módban. | Engedélyezheti a fenyegetésfelderítésen alapuló szűrést a tűzfal számára az ismeretlen IP-címekről és tartományokból érkező vagy az azokra irányuló forgalom riasztásához és letiltásához. Az IP-címek és a tartományok a Microsoft Threat Intelligence Feedből származnak. Az Intelligent Security Graph működteti a Microsoft fenyegetésfelderítési funkcióit, és több szolgáltatás, köztük a felhőhöz készült Microsoft Defender is használja. |
| Engedélyezze az IDPS-triasztási vagy riasztási és megtagadási módban. | Az IDPS az egyik leghatékonyabb Azure Firewall (Prémium) biztonsági funkció, és engedélyezni kell. A biztonsági és alkalmazáskövetelmények alapján, valamint a teljesítményre gyakorolt hatás figyelembevételével (lásd az alábbi Költség szakaszt) riasztási vagy riasztási és megtagadási módok választhatók. |
| Engedélyezze Azure Firewall (DNS) proxykonfigurációját. | Ennek a funkciónak az engedélyezése arra irányítja a virtuális hálózatok ügyfeleit, hogy DNS-kiszolgálóként Azure Firewall. Védelmet nyújt a belső DNS-infrastruktúrának, amely nem lesz közvetlenül elérhető és közzétehető. Azure Firewall úgy is konfigurálva kell lennie, hogy a DNS-lekérdezések továbbítására használt egyéni DNS-t használjon. |
| Konfigurálja a felhasználó által megadott útvonalakat (UDR) a forgalom Azure Firewall keresztüli kényszerítéséhez. | A hagyományos küllős & architektúrában konfigurálja az UDR-eket úgy, hogy az Azure Firewall keresztül kényszerítse a forgalmat a , SpoketoInternetés SpoketoHybrid a kapcsolat számáraSpoketoSpoke. Az Azure Virtual WAN ehelyett konfigurálja az útválasztási szándékot és a szabályzatokat úgy, hogy a magán- és/vagy internetes forgalmat a központba integrált Azure Firewall-példányon keresztül irányítsa át. |
| A Virtual Machines-hez közvetlenül kapcsolódó nyilvános IP-címek használatának korlátozása | A tűzfalat megkerülő forgalom elkerülése érdekében korlátozni kell a nyilvános IP-címek és a virtuálisgép-hálózati adapterek társítását. Az Azure felhőadaptálási keretrendszer (CAF) modellben egy adott Azure Policy van hozzárendelve a CORP felügyeleti csoporthoz. |
| Ha nem lehet UDR-t alkalmazni, és csak webes forgalom átirányítására van szükség, fontolja meg a Azure Firewall explicit proxyként való használatát | Ha a kimenő útvonalon engedélyezve van az explicit proxyfunkció, konfigurálhat proxybeállítást a küldő webalkalmazásban (például webböngészőben), Azure Firewall proxyként van konfigurálva. Ennek eredményeképpen a webes forgalom eléri a tűzfal magánhálózati IP-címét, ezért UDR használata nélkül közvetlenül a tűzfalról halad ki. Ez a funkció több tűzfal használatát is megkönnyíti a meglévő hálózati útvonalak módosítása nélkül. |
| Ha ezeket a megoldásokat a kimenő kapcsolatok védelmére szeretné használni, konfigurálja a szolgáltatásként nyújtott támogatott külső szoftver (SaaS) biztonsági szolgáltatókat. | Használhatja ismerős, legjobb fajta, külső SECaaS ajánlatait , hogy megvédje az internet-hozzáférést a felhasználók számára. Ehhez a forgatókönyvhöz szükség van az Azure Virtual WAN egy S2S-VPN Gateway a központban, mivel IPSec-alagutat használ a szolgáltató infrastruktúrához való csatlakozáshoz. Az SECaaS-szolgáltatók további licencdíjakat számolhatnak fel, és korlátozhatják az IPSec-kapcsolatok átviteli sebességét. Léteznek olyan alternatív megoldások, mint a ZScaler Cloud Connector, és megfelelőbbek lehetnek. |
| Használjon teljes tartománynevet (FQDN) a hálózati szabályokban. | Az FQDN-t DNS-feloldás alapján használhatja Azure Firewall és tűzfalszabályzatokban. Ez a képesség lehetővé teszi a kimenő forgalom szűrését bármely TCP/UDP protokollal (beleértve az NTP-t, az SSH-t, az RDP-t stb.). Engedélyeznie kell a Azure Firewall DNS-proxykonfigurációt, hogy teljes tartományneveket használjon a hálózati szabályokban. A működésével kapcsolatos további információkért lásd: Azure Firewall teljes tartománynév szűrése hálózati szabályokban. |
| A hálózati szabályok szolgáltatáscímkéinek használata adott Microsoft-szolgáltatásokhoz való szelektív hozzáférés engedélyezéséhez. | A szolgáltatáscímkék IP-címelőtagok csoportjait jelölik, így a segítségükkel csökkenthető a biztonsági szabályok létrehozásának összetettsége. A szolgáltatáscímkék hálózati szabályokban való használata lehetővé teszi a kimenő hozzáférést az Azure-ban, a Dynamicsban és a Office 365 meghatározott szolgáltatásaihoz anélkül, hogy az IP-címek széles tartományát nyithatná meg. Az Azure automatikusan megőrzi a címkék és az egyes szolgáltatások által használt mögöttes IP-címek közötti leképezést. A Azure Firewall elérhető szolgáltatáscímkék listája itt található: Az Firewall Szolgáltatáscímkék. |
| Az alkalmazásszabályokban használjon FQDN-címkéket az adott Microsoft-szolgáltatásokhoz való szelektív hozzáférés engedélyezéséhez. | Az FQDN-címke a jól ismert Microsoft-szolgáltatásokhoz társított teljes tartománynevek (FQDN-k) egy csoportját jelöli. Az alkalmazásszabályokban egy FQDN-címkével engedélyezheti a tűzfalon keresztül szükséges kimenő hálózati forgalmat bizonyos Azure-szolgáltatásokhoz, Office 365, Windows 365 és Intune-hoz. |
| A Azure Firewall Managerrel DDoS Protection-csomagot hozhat létre és társíthat a központi virtuális hálózathoz (ez nem vonatkozik az Azure Virtual WAN- | A DDoS védelmi csomag továbbfejlesztett kockázatcsökkentési funkciókat biztosít a tűzfal DDoS-támadások elleni védelméhez. Azure Firewall Manager egy integrált eszköz a tűzfal-infrastruktúra és a DDoS védelmi tervek létrehozásához. További információ: Azure DDoS Protection-csomag konfigurálása Azure Firewall Managerrel. |
| Vállalati PKI használatával hozzon létre tanúsítványokat a TLS-vizsgálathoz. | A prémium szintű Azure Firewall esetén a TLS-vizsgálat funkció használata esetén ajánlott egy belső vállalati hitelesítésszolgáltatót (CA) használni éles környezetben. Az önaláírt tanúsítványok csak tesztelési/poC-célokra használhatók. |
| Tekintse át Zero-Trust konfigurációs útmutatót Azure Firewall és Application Gateway | Ha a biztonsági követelmények megkövetelik a webalkalmazások Zero-Trust megközelítésének (vizsgálat és titkosítás) megvalósítását, javasoljuk, hogy kövesse ezt az útmutatót. Ebben a dokumentumban az Azure Firewall és a Application Gateway integrálásának módját ismertetjük a hagyományos küllős & és Virtual WAN forgatókönyvekben. |
Az Azure Advisor segít biztosítani és javítani az üzletileg kritikus fontosságú alkalmazások folytonosságát. Tekintse át az Azure Advisor javaslatait.
Szabályzatdefiníciók
A hálózati adaptereknek nem szabad nyilvános IP-címekkel rendelkezniük. Ez a szabályzat megtagadja a nyilvános IP-címmel konfigurált hálózati adaptereket. A nyilvános IP-címek lehetővé teszik az internetes erőforrások bejövő kommunikációját az Azure-erőforrásokkal, valamint az Azure-erőforrások kimenő internetes kommunikációját.
Minden internetes forgalmat az üzembe helyezett Azure Firewall kell irányítani. Azure Security Center azt észlelte, hogy egyes alhálózatok nem védettek a következő generációs tűzfallal. Az alhálózatok védelméhez korlátozza a hozzáférést a potenciális fenyegetések ellen Azure Firewall vagy egy támogatott következő generációs tűzfallal.
Az Azure Firewall-szabályzatnak engedélyeznie kell a TLS-ellenőrzést az alkalmazásszabályokon belül. A TLS-vizsgálat engedélyezése minden alkalmazásszabály esetében ajánlott a HTTPS-ben a rosszindulatú tevékenységek észleléséhez, riasztásához és enyhítéséhez. Ha többet szeretne megtudni a Azure Firewall TLS-vizsgálatáról, látogasson el a webhelyrehttps://aka.ms/fw-tlsinspect.
Azure Firewall Premiumnak érvényes köztes tanúsítványt kell konfigurálnia a TLS-vizsgálat engedélyezéséhez. Konfiguráljon egy érvényes köztes tanúsítványt, és engedélyezze Azure Firewall Prémium szintű TLS-vizsgálatot a kártékony tevékenységek észleléséhez, riasztásához és elhárításához a HTTPS-ben. Ha többet szeretne megtudni a Azure Firewall TLS-vizsgálatáról, látogasson el a webhelyrehttps://aka.ms/fw-tlsinspect.
A behatolásészlelési és -megelőzési rendszer (IDPS) megkerülési listájának üresnek kell lennie a Premium tűzfalszabályzatban. A behatolásészlelési és -megelőzési rendszer (IDPS) megkerülési listája lehetővé teszi, hogy ne szűrje a forgalmat a bypass listában megadott IP-címekre, tartományokra és alhálózatokra. Az IDPS engedélyezése azonban minden forgalmi folyamat esetében ajánlott az ismert fenyegetések jobb azonosítása érdekében. Ha többet szeretne megtudni a behatolásészlelési és -megelőzési rendszer (IDPS) aláírásairól Azure Firewall Premium használatával, látogasson el a webhelyrehttps://aka.ms/fw-idps-signature.
A Premium tűzfalszabályzatnak engedélyeznie kell az összes IDPS-aláírási szabályt az összes bejövő és kimenő forgalom figyeléséhez. Az összes behatolásészlelési és -megelőzési rendszer (IDPS) aláírási szabályának engedélyezését javasoljuk, hogy jobban azonosítsa az ismert fenyegetéseket a forgalmi folyamatokban. Ha többet szeretne megtudni a behatolásészlelési és -megelőzési rendszer (IDPS) aláírásairól Azure Firewall Premium használatával, látogasson el a webhelyrehttps://aka.ms/fw-idps.
A Premium tűzfalszabályzatnak engedélyeznie kell a behatolásészlelési és -megelőzési rendszert (IDPS). A behatolásészlelési és -megelőzési rendszer (IDPS) engedélyezésével figyelheti a hálózatot a rosszindulatú tevékenységek ellen, naplózhatja a tevékenységgel kapcsolatos információkat, jelentheti azt, és igény szerint megpróbálhatja letiltani. Ha többet szeretne megtudni a behatolásészlelési és -megelőzési rendszerről (IDPS) a prémium szintű Azure Firewall, látogasson el a webhelyrehttps://aka.ms/fw-idps.
Az előfizetésnek konfigurálnia kell a Azure Firewall Premiumot, hogy további védelmi réteget biztosítson. Azure Firewall Premium fejlett veszélyforrások elleni védelmet nyújt, amely megfelel a rendkívül érzékeny és szabályozott környezetek igényeinek. Helyezze üzembe Azure Firewall Premiumot az előfizetésében, és győződjön meg arról, hogy az összes szolgáltatásforgalmat Azure Firewall Premium védi. Ha többet szeretne megtudni Azure Firewall Premiumról, látogasson el a webhelyrehttps://aka.ms/fw-premium.
Az Azure-hálózatkezeléshez kapcsolódó összes beépített szabályzatdefiníció megtalálható a Beépített szabályzatok – Hálózat listában.
Költségoptimalizálás
A költségoptimalizálás célja a szükségtelen kiadások csökkentésének és a működési hatékonyság javításának módjainak megvizsgálása.
Tervezési ellenőrzőlista
Amikor tervezési döntéseket hoz Azure Firewall, tekintse át a költségoptimalizálás tervezési alapelveit.
- Válassza ki az üzembe helyezni kívánt Azure Firewall termékváltozatot.
- Állapítsa meg, hogy egyes példányok nem igényelnek-e állandó 24x7-et.
- Határozza meg, hogy hol optimalizálhatja a tűzfalak használatát a számítási feladatok között.
- Monitorozza és optimalizálja a tűzfalpéldányok használatát a költséghatékonyság meghatározásához.
- Tekintse át és optimalizálja a szükséges nyilvános IP-címek és a használt szabályzatok számát.
- Tekintse át a naplózási követelményeket, a költségek becslését és az időbeli szabályozást.
Javaslatok
Az alábbi javaslatokkal optimalizálhatja a Azure Firewall-konfigurációt a költségoptimalizáláshoz.
| Ajánlás | Előny |
|---|---|
| Helyezze üzembe a megfelelő Azure Firewall termékváltozatot. | Azure Firewall három különböző termékváltozatban helyezhetők üzembe: Alapszintű, Standard és Prémium. Azure Firewall Prémium verzió ajánlott a rendkívül érzékeny alkalmazások (például a fizetések feldolgozása) biztonságossá tételéhez. Azure Firewall Standard a 3–7. rétegbeli tűzfalat kereső ügyfelek számára ajánlott, és automatikus skálázásra van szükség a 30 Gb/s-os csúcsforgalmi időszakok kezeléséhez. Azure Firewall Basic 250 Mb/s átviteli sebességű SMB-ügyfelek számára ajánlott. Ha szükséges, a standard és a prémium verzió közötti visszalépés vagy frissítés az itt dokumentált módon lehetséges. További információ: Válassza ki a megfelelő Azure Firewall termékváltozatot az igényeinek megfelelően. |
| Állítsa le Azure Firewall olyan üzemelő példányokat, amelyeknek nem kell 24x7-et futtatniuk. | Előfordulhat, hogy olyan fejlesztési vagy tesztelési környezetekkel rendelkezik, amelyeket csak munkaidőben használnak. További információ: Azure Firewall felszabadítása és lefoglalása. |
| Ossza meg a Azure Firewall ugyanazon példányát több számítási feladat és azure-beli virtuális hálózat között. | Használhatja a központi virtuális hálózat Azure Firewall központi példányát, vagy Virtual WAN biztonságos központot, és ugyanazt a tűzfalat több küllős virtuális hálózaton is megoszthatja, amelyek ugyanahhoz a központhoz csatlakoznak ugyanabból a régióból. Győződjön meg arról, hogy a küllős topológia részeként nincs váratlan régiók közötti forgalom. |
| Rendszeresen tekintse át a Azure Firewall által feldolgozott forgalmat, és keresse meg a számítási feladatok származtatásának optimalizálását | A Top Flow-napló (az iparágban Fat Flow néven ismert) megjeleníti azokat a felső kapcsolatokat, amelyek a tűzfalon keresztül járulnak hozzá a legnagyobb átviteli sebességhez. Javasoljuk, hogy rendszeresen tekintse át a Azure Firewall által feldolgozott forgalmat, és keressen lehetséges optimalizálásokat a tűzfalon áthaladó forgalom mennyiségének csökkentése érdekében. |
| Tekintse át az alulhasznált Azure Firewall példányokat. Azonosíthatja és törölheti a nem használt Azure Firewall üzemelő példányokat. | A nem használt Azure Firewall üzemelő példányok azonosításához először elemezheti a tűzfal privát IP-címére mutató alhálózatokhoz társított monitorozási metrikákat és UDR-eket. Ezeket az adatokat kombinálhatja más ellenőrzésekkel, például ha a Azure Firewall példánya rendelkezik a NAT, a Hálózat és az Alkalmazás bármely (klasszikus) szabályával, vagy ha a DNS-proxy beállítása Letiltva értékre van konfigurálva, valamint a környezet és az üzemelő példányok belső dokumentációjával. Az idő múlásával költséghatékony üzemelő példányokat is észlelhet. További információ a naplók és metrikák monitorozásáról: Azure Firewall naplók és metrikák monitorozása és az SNAT-port kihasználtsága. |
| A Azure Firewall Manager és szabályzatai segítségével csökkentheti a működési költségeket, növelheti a hatékonyságot és csökkentheti a felügyeleti többletterhelést. | Gondosan tekintse át a Firewall Manager-szabályzatokat, társításokat és öröklést. A szabályzatok számlázása tűzfaltársításokon alapul. A nulla vagy egy tűzfaltársítással rendelkező szabályzatok ingyenesek. A több tűzfaltársítással rendelkező szabályzatok számlázása rögzített díjszabással történik. További információ: Díjszabás – Azure Firewall Manager. |
| Törölje a nem használt nyilvános IP-címeket. | Ellenőrizze, hogy az összes társított nyilvános IP-cím használatban van-e. Ha nincsenek használatban, bontsa a társításukat, és törölje őket. Az IP-címek eltávolítása előtt értékelje ki az SNAT-portok kihasználtságát. Csak a tűzfalhoz szükséges nyilvános IP-címek számát fogja használni. További információ: Azure Firewall naplók és metrikák monitorozása és az SNAT-port kihasználtsága. |
| Tekintse át a naplózási követelményeket. | Azure Firewall teljes körűen naplózhatja a látja forgalom metaadatait a Log Analytics-munkaterületekre, a tárolókra vagy a külső megoldásokra az Event Hubson keresztül. Az összes naplózási megoldás azonban költségekkel jár az adatfeldolgozáshoz és a tároláshoz. Nagyon nagy mennyiségben ezek a költségek jelentősek lehetnek, a Log Analytics költséghatékony megközelítését és alternatívát kell figyelembe venni, és meg kell becsülni a költségeket. Gondolja át, hogy szükséges-e naplózni az összes naplózási kategória forgalmi metaadatait, és szükség esetén módosítani a diagnosztikai beállításokban. |
További javaslatokért tekintse meg a Költségoptimalizálás tervezési felülvizsgálati ellenőrzőlistát.
Az Azure Advisor segít biztosítani és javítani az üzletileg kritikus fontosságú alkalmazások folytonosságát. Tekintse át az Azure Advisor javaslatait.
Működésbeli kiválóság
A monitorozás és a diagnosztika létfontosságú. A teljesítménystatisztikák és -metrikák mérésével gyorsan elháríthatja és elháríthatja a problémákat.
Tervezési ellenőrzőlista
Amikor tervezési döntéseket hoz Azure Firewall, tekintse át a működési kiválóság tervezési alapelveit.
- A Azure Firewall konfigurációjának és szabályzatainak leltározása és biztonsági mentése.
- Használja ki a diagnosztikai naplókat a tűzfal monitorozásához és hibaelhárításához.
- Használja Azure Firewall Monitorozás munkafüzetet.
- Rendszeresen tekintse át a Szabályzattal kapcsolatos megállapításokat és elemzéseket.
- Integrálja a Azure Firewall a Microsoft Defender for Cloud és a Microsoft Sentinel szolgáltatással.
Javaslatok
Az alábbi javaslatokkal optimalizálhatja a Azure Firewall konfigurációját a működési kiválóság érdekében.
| Ajánlás | Előny |
|---|---|
| Ne használjon Azure Firewall a virtuális hálózaton belüli forgalomvezérléshez. | Azure Firewall kell használni a virtuális hálózatok közötti, a virtuális hálózatok és a helyszíni hálózatok közötti forgalom, az internetes kimenő forgalom és a bejövő, nem HTTP/s forgalom szabályozására. A virtuális hálózaton belüli forgalomvezérléshez ajánlott hálózati biztonsági csoportokat használni. |
| Rendszeresen készítsen biztonsági másolatot Azure Policy összetevőkről. | Ha az infrastruktúra-as-code (IaC) megközelítést használják a Azure Firewall és az összes függőség fenntartására, akkor a Azure Firewall-szabályzatok biztonsági mentésének és verziószámozásának már érvényben kell lennie. Ha nem, egy külső logikai alkalmazáson alapuló kiegészítő mechanizmus üzembe helyezhető az automatizáláshoz és hatékony megoldás biztosításához. |
| Engedélyezze a diagnosztikai naplókat Azure Firewall. | A diagnosztikai naplók a Azure Firewall számos monitorozási eszközének és stratégiájának kulcsfontosságú összetevője, és engedélyezni kell. A Azure Firewall tűzfalnaplók vagy munkafüzetek használatával figyelheti. Tevékenységnaplókat is használhat Azure Firewall erőforrásokon végzett műveletek naplózásához. |
| Használjon strukturált tűzfalnaplók formátumot . | A strukturált tűzfalnaplók olyan naplóadatok, amelyek egy adott új formátumban vannak rendszerezve. Egy előre definiált sémát használnak a naplóadatok oly módon történő strukturálásához, amely megkönnyíti a keresést, a szűrést és az elemzést. A legújabb monitorozási eszközök az ilyen típusú naplókon alapulnak, ezért gyakran előfeltétel. Csak akkor használja az előző Diagnosztikai naplók formátumot , ha van olyan meglévő eszköz, amelyen előfeltétel van. Ne engedélyezze egyszerre mindkét naplózási formátumot. |
| Használja a beépített Azure Firewall Figyelési munkafüzetet. | Azure Firewall portál felülete mostantól tartalmaz egy új munkafüzetet a Monitorozás szakasz felhasználói felületén, nincs szükség külön telepítésre. A Azure Firewall-munkafüzettel értékes megállapításokat nyerhet ki Azure Firewall eseményekből, betekintést nyerhet az alkalmazás- és hálózati szabályokba, valamint megvizsgálhatja az URL-címeken, portokon és címeken végzett tűzfaltevékenységekre vonatkozó statisztikákat. |
| Monitorozza a legfontosabb metrikákat, és riasztásokat hozzon létre a Azure Firewall kapacitás kihasználtságának mutatóihoz. | Riasztásokat kell létrehozni a legalább átviteli sebesség, a tűzfal állapotának, az SNAT-port kihasználtságának és az AZFW-késés mintavételi metrikáinak figyeléséhez. További információ a naplók és metrikák monitorozásáról: Azure Firewall naplók és metrikák monitorozása. |
| Konfigurálja Azure Firewall-integrációt a Cloud és aMicrosoft Sentinel Microsoft Defender szolgáltatással. | Ha ezek az eszközök elérhetők a környezetben, javasoljuk, hogy használja a Microsoft Defender for Cloud és a Microsoft Sentinel megoldásokkal való integrációt. A Microsoft Defender felhőintegrációval egy helyen jelenítheti meg a hálózati infrastruktúra és a hálózati biztonság teljes állapotát, beleértve az Azure Network Securityt az Összes virtuális hálózat és a Virtuális központok között, amelyek az Azure különböző régióiban oszlanak el. A Microsoft Sentinel-integráció fenyegetésészlelési és -megelőzési képességeket biztosít. |
| A lehetséges problémák azonosításához rendszeresen tekintse át a Policy Analytics irányítópultját. | A Policy Analytics egy új funkció, amely betekintést nyújt a Azure Firewall szabályzatok hatásába. Segít azonosítani a szabályzatokban előforduló lehetséges problémákat (szabályzatkorlátok elérésével, alacsony kihasználtságú szabályokkal, redundáns szabályokkal, túl általános szabályokkal, IP-csoportok használati javaslataival), és javaslatokat tesz a biztonsági helyzet és a szabályfeldolgozás teljesítményének javítására. |
| Ismerkedjen meg a KQL-lekérdezésekkel (Kusto lekérdezésnyelv), hogy gyors elemzést és hibaelhárítást lehessen végezni Azure Firewall naplók használatával. | A mintalekérdezések Azure Firewall érhetők el. Ezekkel gyorsan azonosíthatja, hogy mi történik a tűzfalon belül, és ellenőrizheti, hogy melyik szabály aktiválódott, vagy melyik szabály engedélyezi/blokkolja a kéréseket. |
Az Azure Advisor segít biztosítani és javítani az üzletileg kritikus fontosságú alkalmazások folytonosságát. Tekintse át az Azure Advisor javaslatait.
Teljesítménybeli hatékonyság
A teljesítményhatékonyság az a képesség, hogy a számítási feladat méretezhető legyen, hogy hatékonyan megfeleljen a felhasználók által támasztott igényeknek.
Tervezési ellenőrzőlista
Amikor tervezési döntéseket hoz a Azure Firewall, tekintse át a teljesítményhatékonyság tervezési alapelveit.
- Rendszeresen tekintse át és optimalizálja a tűzfalszabályokat.
- Tekintse át az IP-tartományok és URL-címek listájának összegzésére vonatkozó szabályzatkövetelményeket és lehetőségeket.
- Mérje fel az SNAT-portra vonatkozó követelményeket.
- Tervezze meg a terheléses teszteket az automatikus skálázási teljesítmény teszteléséhez a környezetben.
- Ha nem szükséges, ne engedélyezze a diagnosztikai eszközöket és a naplózást.
Javaslatok
A Azure Firewall-konfiguráció teljesítményhatékonysághoz való optimalizálásához tekintse meg az alábbi javaslatokat.
| Ajánlás | Előny |
|---|---|
| Használja a Policy Analytics irányítópultját a tűzfalszabályzatok lehetséges optimalizálási lehetőségeinek azonosításához. | A Policy Analytics egy új funkció, amely betekintést nyújt a Azure Firewall szabályzatok hatásába. Segít azonosítani a szabályzatokban előforduló lehetséges problémákat (szabályzatkorlátok elérésével, alacsony kihasználtságú szabályokkal, redundáns szabályokkal, túl általános szabályokkal, IP-csoportok használati javaslataival), és javaslatokat tesz a biztonsági helyzet és a szabályfeldolgozás teljesítményének javítására. |
| A nagy szabálykészletekkel rendelkező tűzfalszabályzatok esetében helyezze a leggyakrabban használt szabályokat a csoport korai szakaszában a késés optimalizálása érdekében. | A szabályok feldolgozása a szabály típusa, az öröklés, a szabálygyűjtemény-csoport prioritása és a szabálygyűjtemény prioritása alapján történik. A rendszer először a legmagasabb prioritású szabálygyűjtemény-csoportokat dolgozza fel. Egy szabálygyűjtemény-csoportban a rendszer először a legmagasabb prioritású szabálygyűjteményeket dolgozza fel. A leggyakrabban használt szabályok magasabbra helyezése a szabálykészletben optimalizálja a feldolgozási késést. A szabályok feldolgozásának és értékelésének módját ebben a cikkben ismertetjük. |
| IP-címtartományok összegzése IP-csoportok használatával. | AZ IP-csoportok használatával összegzheti az IP-címtartományokat, így nem lépi túl az egyedi forrás-/célhálózati szabályok korlátját. Az Azure minden szabályhoz megszorozza a portokat IP-címek szerint. Tehát ha egy szabály négy IP-címtartománnyal és öt porttal rendelkezik, 20 hálózati szabályt fog használni. Az IP-csoportot a rendszer egyetlen címként kezeli a hálózati szabályok létrehozása céljából. |
| Fontolja meg a webes kategóriákat a kimenő hozzáférés tömeges engedélyezéséhez vagy letiltásához. | A nyilvános internetes webhelyek hosszú listájának létrehozása és karbantartása helyett fontolja meg Azure Firewall webkategóriák használatát. Ez a funkció dinamikusan kategorizálja a webes tartalmakat, és lehetővé teszi a kompakt alkalmazásszabályok létrehozását. |
| Értékelje ki az IDPS teljesítményre gyakorolt hatását riasztási és megtagadási módban. | Ha Azure Firewall idPS módban történő működéshez riasztás és megtagadás szükséges, gondosan vegye figyelembe a teljesítményre gyakorolt hatást az ezen az oldalon dokumentált módon. |
| Mérje fel az SNAT-portok kimerülési problémáját. | Azure Firewall jelenleg 2496 portot támogat nyilvános IP-címenként háttérbeli virtuálisgép-méretezési csoport példányonként. Alapértelmezés szerint két virtuálisgép-méretezési csoportpéldány van. Tehát 4992 port van folyamatonkénti cél IP-cím, célport és protokoll (TCP vagy UDP). A tűzfal legfeljebb 20 példányra méretezhető. A korlátok megkerüléséhez konfigurálja Azure Firewall üzemelő példányokat legalább öt nyilvános IP-címmel az SNAT elfogyására hajlamos üzemelő példányokhoz. |
| A teljesítményteszt előtt megfelelően melegítse be Azure Firewall. | A teszt előtt 20 perccel hozzon létre olyan kezdeti forgalmat, amely nem része a terheléses teszteknek. A diagnosztikai beállítások használatával rögzítheti a vertikális fel- és leskálázási eseményeket. Az Azure Load Testing szolgáltatással létrehozhatja a kezdeti forgalmat. Lehetővé teszi, hogy a Azure Firewall példányok vertikális felskálázása a maximális értékre legyen skálázva. |
| Konfiguráljon egy Azure Firewall alhálózatot (AzureFirewallSubnet) /26 címtérrel. | Azure Firewall egy dedikált üzembe helyezés a virtuális hálózaton. A virtuális hálózaton belül dedikált alhálózatra van szükség a Azure Firewall példányához. Azure Firewall méretezhetőbbé teszi a kapacitást. Az alhálózatok /26-os címtartománya biztosítja, hogy a tűzfal elegendő IP-címmel rendelkezik a skálázáshoz. Azure Firewall nem igényel /26-nál nagyobb alhálózatot. Az Azure Firewall alhálózat nevének AzureFirewallSubnetnek kell lennie. |
| Ha nem szükséges, ne engedélyezze a speciális naplózást | Azure Firewall olyan speciális naplózási képességeket biztosít, amelyek költségesek lehetnek a mindig aktív állapot fenntartásához. Ehelyett csak hibaelhárítási célokra kell használni őket, és korlátozott ideig, majd letiltva, ha már nincs szükség rájuk. Például a felső folyamatok és a folyamatkövetési naplók költségesek, túlzott processzor- és tárhasználatot okozhatnak a Azure Firewall infrastruktúrában. |
Az Azure Advisor segít biztosítani és javítani az üzletileg kritikus fontosságú alkalmazások folytonosságát. Tekintse át az Azure Advisor javaslatait.
Azure Advisor-javaslatok
Az Azure Advisor egy személyre szabott felhőtanácsadó, amely segít az Ajánlott eljárások követésében az Azure-üzemelő példányok optimalizálásához. Még nincs Azure Firewall adott Advisor-javaslat. Néhány általános javaslat alkalmazható a megbízhatóság, a biztonság, a költséghatékonyság, a teljesítmény és a működési kiválóság javítására.
- Azure Service Health-riasztások létrehozása, amelyek értesítést kapnak, ha az Azure-problémák hatással vannak Önre
- Győződjön meg arról, hogy szükség esetén hozzáfér az Azure-felhőszakértőkhöz
- A Traffic Analytics engedélyezése az Azure-erőforrások forgalmi mintáinak közelebbi vizsgálatához
- Kövesse a megfelelő adminisztrációt (minimális jogosultsági elv)
- Hálózati erőforrások védelme a felhőhöz készült Microsoft Defender használatával
További források
- Azure Firewall-dokumentáció
- Mi az az Azure Firewall Manager?
- Azure Firewall szolgáltatási korlátok, kvóták és korlátozások
- Az Azure biztonsági alapkonfigurációja Azure Firewall
Útmutató az Azure Architecture Centerhez
- Azure Firewall architektúra áttekintése
- Azure Firewall használata egy Azure Kubernetes Service-fürt (AKS) védelméhez
- Az Azure Virtual Desktop(AVD) üzemelő példányainak védelme a Azure Firewall használatával
- A Office 365 védelme Azure Firewall használatával
- Küllős hálózati topológia az Azure-ban
- Megbízható hálózat a Azure Firewall és Application Gateway rendelkező webalkalmazásokhoz
- Biztonságos hibrid hálózat implementálása
- Hálózat által edzett webalkalmazás privát kapcsolattal PaaS-adattárakkal
Következő lépés
Helyezzen üzembe egy Azure Firewall-példányt, hogy lássa, hogyan működik:
Visszajelzés
Hamarosan: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: