Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Azure Firewall Premium menawarkan perlindungan ancaman tingkat lanjut yang cocok untuk lingkungan yang sangat sensitif dan teregulasi, seperti industri pembayaran dan perawatan kesehatan.
Panduan ini menyediakan informasi implementasi terperinci untuk fitur Azure Firewall Premium. Untuk perbandingan tingkat tinggi dari semua fitur Azure Firewall di seluruh SKU, lihat Fitur Azure Firewall oleh SKU.
Organisasi dapat memanfaatkan fitur SKU Premium seperti inspeksi IDPS dan TLS untuk mencegah malware dan virus menyebar di seluruh jaringan. Untuk memenuhi peningkatan tuntutan performa fitur-fitur ini, Azure Firewall Premium menggunakan SKU komputer virtual yang lebih kuat. Mirip dengan SKU Standar, SKU Premium dapat menskalakan hingga 100 Gbps dan berintegrasi dengan zona ketersediaan untuk mendukung SLA 99,99%. SKU Premium mematuhi persyaratan Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS).
Azure Firewall Premium menyertakan fitur lanjutan berikut:
- Inspeksi TLS: Mendekripsi lalu lintas keluar, memprosesnya, lalu mengenkripsi ulang dan mengirimkannya ke tujuan.
- IDPS: Memantau aktivitas jaringan untuk aktivitas berbahaya, mencatat informasi, melaporkannya, dan secara opsional memblokirnya.
- Pemfilteran URL: Memperluas pemfilteran FQDN untuk mempertimbangkan seluruh URL, termasuk jalur tambahan apa pun.
- Kategori web: Mengizinkan atau menolak akses pengguna ke kategori situs web seperti perjudian atau media sosial.
Untuk perbandingan fitur lengkap di semua SKU Azure Firewall, lihat Fitur Azure Firewall oleh SKU.
Inspeksi TLS
Protokol TLS (Keamanan Lapisan Transportasi) menyediakan kriptografi untuk privasi, integritas, dan keaslian menggunakan sertifikat antara aplikasi komunikasi. Ini mengenkripsi lalu lintas HTTP, yang dapat menyembunyikan aktivitas pengguna ilegal dan lalu lintas berbahaya.
Tanpa inspeksi TLS, Azure Firewall tidak dapat melihat data dalam terowongan TLS terenkripsi, membatasi kemampuan perlindungannya. Namun, Azure Firewall Premium menghentikan dan memeriksa koneksi TLS untuk mendeteksi, memperingatkan, dan mengurangi aktivitas berbahaya di HTTPS. Ini membuat dua koneksi TLS: satu dengan server web dan satu lagi dengan klien. Menggunakan sertifikat CA yang disediakan pelanggan, ia menghasilkan sertifikat on-the-fly untuk mengganti sertifikat server web dan membagikannya dengan klien untuk membuat koneksi TLS.
Azure Firewall tanpa inspeksi TLS:
Azure Firewall dengan inspeksi TLS:
Kasus penggunaan berikut didukung dengan Azure Firewall:
- Inspeksi TLS Keluar: Melindungi dari lalu lintas berbahaya yang dikirim dari klien internal yang dihosting di Azure ke Internet.
- East-West Inspeksi TLS: Melindungi beban kerja Azure dari potensi lalu lintas berbahaya yang dikirim dalam Azure, termasuk lalu lintas ke/dari jaringan lokal.
Kasus penggunaan berikut didukung oleh Azure Web Application Firewall di Azure Application Gateway:
- Inspeksi TLS Masuk: Melindungi server internal atau aplikasi yang dihosting di Azure dari permintaan berbahaya yang tiba dari Internet atau jaringan eksternal. Application Gateway menyediakan enkripsi end-to-end.
Untuk informasi terkait, lihat:
Tip
TLS 1.0 dan 1.1 tidak digunakan lagi dan tidak akan didukung. Versi ini telah ditemukan rentan. Meskipun masih berfungsi untuk kompatibilitas mundur, mereka tidak disarankan. Migrasikan ke TLS 1.2 sesegera mungkin.
Untuk mempelajari selengkapnya tentang persyaratan sertifikat OS Menengah Azure Firewall Premium, lihat Sertifikat Azure Firewall Premium.
Untuk mempelajari selengkapnya tentang inspeksi TLS, lihat Membangun POC untuk inspeksi TLS di Azure Firewall.
IDPS
Sistem deteksi dan pencegahan intrusi jaringan (IDPS) memantau jaringan Anda untuk aktivitas berbahaya, mencatat informasi, melaporkannya, dan secara opsional memblokirnya.
Azure Firewall Premium menawarkan IDPS berbasis tanda tangan untuk mendeteksi serangan dengan cepat dengan mengidentifikasi pola tertentu, seperti urutan byte dalam lalu lintas jaringan atau urutan instruksi berbahaya yang diketahui yang digunakan oleh malware. Tanda tangan IDPS ini berlaku untuk lalu lintas tingkat aplikasi dan jaringan (Lapisan 3-7). Mereka dikelola sepenuhnya dan terus diperbarui. IDPS dapat diterapkan ke lalu lintas masuk, spoke-to-spoke (East-West), dan keluar, termasuk lalu lintas ke/dari jaringan lokal. Anda dapat mengonfigurasi rentang alamat IP privat IDPS menggunakan fitur Rentang IP Privat . Untuk informasi selengkapnya, lihat Rentang IP Privat IDPS.
Tanda tangan/aturan Azure Firewall meliputi:
- Fokus pada identifikasi malware, Command and Control, kit eksploitasi, dan aktivitas berbahaya yang terlewatkan oleh metode tradisional.
- Lebih dari 67.000 aturan dalam lebih dari 50 kategori, termasuk perintah dan kontrol malware, phishing, trojan, botnet, peristiwa informasi, eksploitasi, kerentanan, protokol jaringan SCADA, dan aktivitas kit eksploitasi.
- 20 hingga 40+ aturan baru dirilis setiap hari.
- Tingkat positif palsu rendah menggunakan teknik deteksi malware tingkat lanjut seperti perulangan umpan balik jaringan sensor global.
IDPS mendeteksi serangan pada semua port dan protokol untuk lalu lintas yang tidak dienkripsi. Untuk inspeksi lalu lintas HTTPS, Azure Firewall dapat menggunakan kemampuan inspeksi TLS-nya untuk mendekripsi lalu lintas dan mendeteksi aktivitas berbahaya dengan lebih baik.
Nota
Untuk panduan tentang mengesampingkan mode tanda tangan dan batasan penting untuk menghindari penurunan senyap, lihat Mengesampingkan perilaku dan batasan.
Daftar Bypass IDPS memungkinkan Anda mengecualikan alamat IP, rentang, dan subnet tertentu dari pemfilteran. Perhatikan bahwa daftar bypass tidak dimaksudkan untuk meningkatkan performa throughput, karena performa firewall masih tunduk pada kasus penggunaan Anda. Untuk informasi selengkapnya, lihat Performa Azure Firewall.
Rentang IP Privat IDPS
Di IDPS Premium Azure Firewall, rentang alamat IP privat digunakan untuk menentukan apakah lalu lintas masuk, keluar, atau internal (East-West). Setiap tanda tangan diterapkan ke arah lalu lintas tertentu seperti yang ditunjukkan dalam tabel aturan tanda tangan. Secara default, hanya rentang yang ditentukan oleh IANA RFC 1918 yang dianggap sebagai alamat IP privat. Lalu lintas antara rentang alamat IP privat dianggap internal. Anda dapat dengan mudah mengedit, menghapus, atau menambahkan rentang alamat IP privat sesuai kebutuhan.
Aturan tanda tangan IDPS
Aturan tanda tangan IDPS memungkinkan Anda untuk:
- Kustomisasi tanda tangan dengan mengubah modenya menjadi Dinonaktifkan, Pemberitahuan, atau Pemberitahuan dan Tolak. Anda dapat menyesuaikan hingga 10.000 aturan IDPS.
- Misalnya, jika permintaan yang sah diblokir karena tanda tangan yang rusak, Anda dapat menonaktifkan tanda tangan tersebut menggunakan ID-nya dari log aturan jaringan untuk menyelesaikan masalah positif palsu.
- Menyempurnakan tanda tangan yang menghasilkan pemberitahuan berprioritas rendah yang berlebihan untuk meningkatkan visibilitas pemberitahuan berprioritas tinggi.
- Lihat semua 67.000+ tanda tangan.
- Gunakan pencarian cerdas untuk menemukan tanda tangan berdasarkan atribut, seperti CVE-ID.
Aturan tanda tangan IDPS memiliki properti berikut:
| Column | Description |
|---|---|
| ID Tanda Tangan | ID internal untuk setiap tanda tangan, juga ditampilkan di log Aturan Jaringan Azure Firewall. |
| Mode | Menunjukkan apakah tanda tangan aktif dan apakah firewall turun atau pemberitahuan pada lalu lintas yang cocok. Modes: - Dinonaktifkan: Tanda tangan tidak diaktifkan. - Pemberitahuan: Pemberitahuan tentang lalu lintas yang mencurigakan. - Pemberitahuan dan Tolak: Pemberitahuan dan blokir lalu lintas yang mencurigakan. Beberapa tanda tangan adalah "Hanya Pemberitahuan" secara default tetapi dapat disesuaikan dengan "Pemberitahuan dan Tolak". Mode tanda tangan ditentukan oleh: 1. Mode Kebijakan – Berasal dari mode IDPS kebijakan. 2. Kebijakan Induk – Berasal dari mode IDPS dari kebijakan induk. 3. Ditimpa – Disesuaikan oleh pengguna. 4. Sistem – Atur ke "Hanya Pemberitahuan" oleh sistem karena kategorinya, tetapi dapat ditimpa. Pemberitahuan IDPS tersedia di portal melalui kueri log aturan jaringan. |
| Severity | Menunjukkan probabilitas bahwa tanda tangan adalah serangan aktual: - Rendah (prioritas 3): Probabilitas rendah, peristiwa informasi. - Sedang (prioritas 2): Mencurigakan, memerlukan penyelidikan. - Tinggi (prioritas 1): Serangan parah, probabilitas tinggi. |
| Direction | Arah lalu lintas tempat tanda tangan diterapkan: - Masuk: Dari Internet ke rentang IP privat Anda. - Keluar: Dari rentang IP privat Anda ke Internet. - Internal: Dalam rentang IP privat Anda. - Internal/Masuk: Dari rentang IP privat Anda atau Internet ke rentang IP privat Anda. - Internal/Keluar: Dari rentang IP privat Anda ke rentang IP privat atau Internet Anda. - Apa pun: Diterapkan ke arah lalu lintas apa pun. |
| Group | Nama grup tempat tanda tangan berada. |
| Description | Termasuk: - Nama kategori: Kategori tanda tangan. - Deskripsi tingkat tinggi. - CVE-ID (opsional): CVE terkait. |
| Protocol | Protokol yang terkait dengan tanda tangan. |
| Port Sumber/Tujuan | Port yang terkait dengan tanda tangan. |
| Terakhir diperbarui | Tanggal tanda tangan terakhir diperkenalkan atau dimodifikasi. |
Untuk informasi selengkapnya tentang IDPS, lihat Mengambil IDPS Azure Firewall pada Uji Coba.
Pemfilteran URL
Pemfilteran URL memperluas kemampuan pemfilteran FQDN Azure Firewall untuk mempertimbangkan seluruh URL, seperti www.contoso.com/a/c bukan hanya www.contoso.com.
Pemfilteran URL dapat diterapkan ke lalu lintas HTTP dan HTTPS. Saat memeriksa lalu lintas HTTPS, Azure Firewall Premium menggunakan kemampuan pemeriksaan TLS-nya untuk mendekripsi lalu lintas, mengekstrak URL target, dan memvalidasi apakah akses diizinkan. Inspeksi TLS harus diaktifkan di tingkat aturan aplikasi. Setelah diaktifkan, URL dapat digunakan untuk memfilter lalu lintas HTTPS.
Kategori web
Kategori web memungkinkan administrator mengizinkan atau menolak akses pengguna ke kategori situs web tertentu, seperti perjudian atau media sosial. Meskipun fitur ini tersedia di Azure Firewall Standard dan Premium, SKU Premium menawarkan kontrol yang lebih terperinci dengan mencocokkan kategori berdasarkan seluruh URL untuk lalu lintas HTTP dan HTTPS.
Kategori web Azure Firewall Premium hanya tersedia dalam kebijakan firewall. Pastikan SKU kebijakan Anda cocok dengan SKU instans firewall Anda. Misalnya, instans Firewall Premium memerlukan kebijakan Firewall Premium.
Misalnya, jika Azure Firewall mencegat permintaan HTTPS untuk www.google.com/news:
- Firewall Standard hanya memeriksa FQDN, mengategorikan
www.google.comsebagai Mesin Pencari. - Firewall Premium memeriksa URL lengkap, mengategorikan
www.google.com/newssebagai Berita.
Kategori diatur berdasarkan tingkat keparahan di bawah Kewajiban, Bandwidth Tinggi, Penggunaan Bisnis, Kehilangan Produktivitas, Selancar Umum, dan Tidak Dikategorikan. Untuk deskripsi terperinci, lihat Kategori web Azure Firewall.
Pengelogan kategori web
Lalu lintas yang difilter menurut kategori web dicatat dalam log Aplikasi. Bidang Kategori web hanya muncul jika dikonfigurasi secara eksplisit dalam aturan aplikasi kebijakan firewall Anda. Misalnya, jika tidak ada aturan yang secara eksplisit menolak Mesin Pencari dan permintaan www.bing.compengguna , hanya pesan tolak default yang ditampilkan.
Pengecualian kategori
Anda dapat membuat pengecualian untuk aturan kategori web dengan mengonfigurasi izinkan atau tolak kumpulan aturan terpisah dengan prioritas yang lebih tinggi. Misalnya, izinkan www.linkedin.com dengan prioritas 100 dan tolak Jejaring sosial dengan prioritas 200 untuk membuat pengecualian untuk kategori Jejaring sosial .
Pencarian kategori web
Identifikasi kategori FQDN atau URL menggunakan fitur Pemeriksaan Kategori Web di bawah Pengaturan Kebijakan Firewall. Ini membantu menentukan aturan aplikasi untuk lalu lintas tujuan.
Important
Untuk menggunakan fitur Pemeriksaan Kategori Web , pengguna harus memiliki akses Microsoft.Network/azureWebCategories/* di tingkat langganan.
Perubahan kategori
Di bawah tab Kategori Web di Pengaturan Kebijakan Firewall, Anda dapat meminta perubahan kategori jika Anda yakin FQDN atau URL harus berada dalam kategori yang berbeda atau memiliki saran untuk FQDN atau URL yang tidak dikategorikan. Setelah mengirimkan laporan perubahan kategori, Anda menerima token untuk melacak status permintaan.
Kategori web yang tidak mendukung penghentian TLS
Lalu lintas web tertentu, seperti data kesehatan karyawan, tidak dapat didekripsi menggunakan penghentian TLS karena alasan privasi dan kepatuhan. Kategori web berikut tidak mendukung penghentian TLS:
- Education
- Finance
- Government
- Kesehatan dan kedokteran
Untuk mendukung penghentian TLS untuk URL tertentu, tambahkan secara manual ke aturan aplikasi. Misalnya, tambahkan www.princeton.edu untuk mengizinkan situs web ini.
Wilayah yang didukung
Untuk daftar wilayah tempat Azure Firewall tersedia, lihat Produk Azure yang tersedia menurut wilayah.