Perspektif Azure Well-Architected Framework di Azure Firewall
Azure Firewall adalah layanan keamanan firewall jaringan cloud-asli dan cerdas yang memberikan perlindungan ancaman terbaik untuk beban kerja cloud Anda yang berjalan di Azure. Ini adalah layanan firewall terkelola yang sepenuhnya stateful yang memiliki ketersediaan tinggi bawaan dan skalabilitas cloud yang tidak dibatasi. Azure Firewall menyediakan inspeksi lalu lintas timur-barat dan utara-selatan.
Artikel ini mengasumsikan bahwa sebagai arsitek, Anda telah meninjau opsi keamanan jaringan virtual dan memilih Azure Firewall sebagai layanan keamanan jaringan untuk beban kerja Anda. Panduan dalam artikel ini memberikan rekomendasi arsitektur yang dipetakan ke prinsip pilar Azure Well-Architected Framework.
Penting
Cara menggunakan panduan ini
Setiap bagian memiliki daftar periksa desain yang menyajikan area kekhawatiran arsitektur bersama dengan strategi desain yang dilokalkan ke cakupan teknologi.
Juga termasuk rekomendasi tentang kemampuan teknologi yang dapat membantu mewujudkan strategi tersebut. Rekomendasi tidak mewakili daftar lengkap semua konfigurasi yang tersedia untuk Azure Firewall dan dependensinya. Sebaliknya, mereka mencantumkan rekomendasi utama yang dipetakan ke perspektif desain. Gunakan rekomendasi untuk membangun bukti konsep Anda atau mengoptimalkan lingkungan Anda yang ada.
Arsitektur dasar yang menunjukkan rekomendasi utama: Topologi jaringan Hub-spoke di Azure.
Cakupan teknologi
Tinjauan ini berfokus pada keputusan yang saling terkait untuk sumber daya Azure berikut:
- Azure Firewall
- Azure Firewall Manager
Keandalan
Tujuan pilar Keandalan adalah untuk memberikan fungsionalitas berkelanjutan dengan membangun ketahanan yang cukup dan kemampuan untuk memulihkan dengan cepat dari kegagalan.
Prinsip desain Keandalan menyediakan strategi desain tingkat tinggi yang diterapkan untuk komponen individu, alur sistem, dan sistem secara keseluruhan.
Daftar periksa desain
Mulai strategi desain Anda berdasarkan daftar periksa tinjauan desain untuk Keandalan. Tentukan relevansinya dengan persyaratan bisnis Anda sambil mengingat kebijakan dan jenis arsitektur yang Anda gunakan. Perluas strategi untuk menyertakan lebih banyak pendekatan sesuai kebutuhan.
Tinjau daftar masalah yang diketahui Azure Firewall. Produk Azure Firewall mempertahankan daftar masalah yang diketahui yang diperbarui. Daftar ini berisi informasi penting tentang perilaku berdasarkan desain, perbaikan di bawah konstruksi, batasan platform, dan kemungkinan solusi atau strategi mitigasi.
Pastikan kebijakan Azure Firewall Anda mematuhi batas dan rekomendasi Azure Firewall. Struktur kebijakan memiliki batasan, termasuk jumlah aturan dan grup kumpulan aturan, ukuran kebijakan total, tujuan sumber, dan tujuan target. Pastikan untuk menyusun kebijakan Anda dan tetap berada di bawah ambang batas yang didokumenkan.
Sebarkan Azure Firewall di beberapa zona ketersediaan untuk perjanjian tingkat layanan (SLA) yang lebih tinggi. Azure Firewall menyediakan SLA yang berbeda tergantung pada apakah Anda menyebarkan layanan dalam satu zona ketersediaan atau beberapa zona. Untuk informasi selengkapnya, lihat SLA untuk layanan online.
Sebarkan instans Azure Firewall di setiap wilayah di lingkungan multi-wilayah. Untuk arsitektur hub-and-spoke tradisional, lihat Pertimbangan multi-wilayah. Untuk hub Azure Virtual WAN yang aman, konfigurasikan niat perutean dan kebijakan untuk mengamankan komunikasi antar-hub dan cabang-ke-cabang. Untuk beban kerja tahan kegagalan dan toleran terhadap kesalahan, pertimbangkan instans Azure Firewall dan Azure Virtual Network sebagai sumber daya regional.
Pantau metrik Azure Firewall dan status kesehatan sumber daya. Azure Firewall terintegrasi dengan Azure Resource Health. Gunakan pemeriksaan Kesehatan Sumber Daya untuk melihat status kesehatan Azure Firewall dan mengatasi masalah layanan yang mungkin memengaruhi sumber daya Azure Firewall Anda.
Sebarkan Azure Firewall di jaringan virtual hub atau sebagai bagian dari hub Virtual WAN.
Catatan
Ketersediaan layanan jaringan berbeda antara model hub dan spoke tradisional dan model hub aman yang dikelola Virtual WAN. Misalnya, di hub Virtual WAN, IP publik Azure Firewall tidak dapat berasal dari awalan IP publik dan tidak dapat mengaktifkan Azure DDoS Protection. Saat Anda memilih model, pertimbangkan kebutuhan Anda di kelima pilar Kerangka Kerja Yang Dirancang Dengan Baik.
Rekomendasi
| Rekomendasi | Keuntungan |
|---|---|
| Menyebarkan Azure Firewall di beberapa zona ketersediaan. | Sebarkan Azure Firewall di beberapa zona ketersediaan untuk mempertahankan tingkat ketahanan tertentu. Jika satu zona mengalami pemadaman, zona lain terus melayani lalu lintas. |
| Pantau metrik Azure Firewall di ruang kerja Analitik Log. Pantau metrik dengan cermat yang menunjukkan status kesehatan Azure Firewall, seperti throughput, status kesehatan Firewall, pemanfaatan port SNAT, dan metrik pemeriksaan latensi AZFW. Gunakan Azure Service Health untuk memantau kesehatan Azure Firewall. |
Pantau metrik sumber daya dan kesehatan layanan sehingga Anda dapat mendeteksi kapan status layanan diturunkan dan mengambil langkah-langkah proaktif untuk mencegah kegagalan. |
Keamanan
Tujuan pilar Keamanan adalah untuk memberikan jaminan kerahasiaan, integritas, dan ketersediaan terhadap beban kerja.
Prinsip desain Keamanan menyediakan strategi desain tingkat tinggi untuk mencapai tujuan tersebut dengan menerapkan pendekatan pada desain teknis Azure Firewall.
Daftar periksa desain
Mulai strategi desain Anda berdasarkan daftar periksa ulasan desain untuk Keamanan. Identifikasi kerentanan dan kontrol untuk meningkatkan postur keamanan. Perluas strategi untuk menyertakan lebih banyak pendekatan sesuai kebutuhan.
Kirim semua lalu lintas internet dari beban kerja Anda melalui firewall atau appliance virtual jaringan (NVA) untuk mendeteksi dan memblokir ancaman. Konfigurasikan rute yang ditentukan pengguna (UDR) untuk memaksa lalu lintas melalui Azure Firewall. Untuk lalu lintas web, pertimbangkan untuk menggunakan Azure Firewall sebagai proksi eksplisit.
Konfigurasikan penyedia keamanan perangkat lunak sebagai layanan (SaaS) mitra yang didukung dalam Firewall Manager jika Anda ingin menggunakan penyedia ini untuk melindungi koneksi keluar.
Batasi penggunaan alamat IP publik yang terkait langsung dengan komputer virtual sehingga lalu lintas tidak dapat melewati firewall. Model Azure Cloud Adoption Framework menetapkan kebijakan Azure tertentu ke grup manajemen CORP.
Ikuti panduan konfigurasi Zero Trust untuk Azure Firewall dan Application Gateway jika kebutuhan keamanan Anda mengharuskan Anda menerapkan pendekatan Zero Trust untuk aplikasi web, seperti menambahkan inspeksi dan enkripsi. Ikuti panduan ini untuk mengintegrasikan Azure Firewall dan Application Gateway untuk skenario hub dan spoke tradisional dan Virtual WAN.
Untuk informasi selengkapnya, lihat Menerapkan firewall di tepi.
Tetapkan perimeter jaringan sebagai bagian dari strategi segmentasi beban kerja Anda untuk mengontrol radius ledakan, mengaburkan sumber daya beban kerja, dan memblokir akses yang tidak terduga, dilarang, dan tidak aman. Buat aturan untuk kebijakan Azure Firewall berdasarkan kriteria akses hak istimewa paling sedikit.
Atur alamat IP publik ke Tidak Ada untuk menyebarkan bidang data yang sepenuhnya privat saat Anda mengonfigurasi Azure Firewall dalam mode penerowongan paksa. Pendekatan ini tidak berlaku untuk Virtual WAN.
Gunakan nama domain yang sepenuhnya memenuhi syarat (FQDN) dan tag layanan saat Anda menentukan aturan jaringan untuk menyederhanakan manajemen.
Gunakan mekanisme deteksi untuk dengan rajin memantau ancaman dan tanda-tanda penyalahgunaan. Manfaatkan mekanisme dan langkah-langkah deteksi yang disediakan platform. Aktifkan sistem deteksi dan pencegahan intrusi (IDPS). Kaitkan paket Azure DDoS Protection dengan jaringan virtual hub Anda.
Untuk informasi selengkapnya, lihat Mendeteksi penyalahgunaan.
Rekomendasi
| Rekomendasi | Keuntungan |
|---|---|
| Konfigurasikan Azure Firewall dalam mode penerowongan paksa jika Anda perlu merutekan semua lalu lintas yang terikat internet ke hop berikutnya yang ditunjuk alih-alih langsung ke internet. Rekomendasi ini tidak berlaku untuk Virtual WAN. Azure Firewall harus memiliki konektivitas Internet langsung. Jika AzureFirewallSubnet Anda mempelajari rute default ke jaringan lokal Anda melalui Border Gateway Protocol, Anda harus mengonfigurasi Azure Firewall dalam mode penerowongan paksa. Anda dapat menggunakan fitur penerowongan paksa untuk menambahkan ruang alamat /26 lain untuk subnet Azure Firewall Management. Beri nama subnet AzureFirewallManagementSubnet. Jika Anda memiliki instans Azure Firewall yang sudah ada yang tidak dapat Anda konfigurasi ulang dalam mode penerowongan paksa, buat UDR dengan rute 0.0.0.0/0. Atur nilai NextHopType sebagai Internet. Untuk mempertahankan konektivitas internet, kaitkan UDR dengan AzureFirewallSubnet. Atur alamat IP publik ke Tidak Ada untuk menyebarkan bidang data yang sepenuhnya privat saat Anda mengonfigurasi Azure Firewall dalam mode penerowongan paksa. Tetapi bidang manajemen masih memerlukan IP publik hanya untuk tujuan manajemen. Lalu lintas internal dari jaringan virtual dan lokal tidak menggunakan IP publik tersebut. |
Gunakan penerowongan paksa sehingga Anda tidak mengekspos sumber daya Azure Anda langsung ke internet. Pendekatan ini mengurangi permukaan serangan dan meminimalkan risiko ancaman eksternal. Untuk menerapkan kebijakan perusahaan dan persyaratan kepatuhan secara lebih efektif, rutekan semua lalu lintas yang terikat internet melalui firewall lokal atau NVA. |
| Buat aturan untuk kebijakan Firewall dalam struktur hierarkis untuk melapisi kebijakan dasar pusat. Untuk informasi selengkapnya, lihat Menggunakan kebijakan Azure Firewall untuk memproses aturan. Buat aturan Anda berdasarkan prinsip Zero Trust akses hak istimewa paling sedikit |
Atur aturan dalam struktur hierarkis sehingga kebijakan terperinci dapat memenuhi persyaratan wilayah tertentu. Setiap kebijakan dapat berisi serangkaian aturan Destination Network Address Translation (DNAT), jaringan, dan aplikasi yang memiliki prioritas, tindakan, dan pesanan pemrosesan tertentu. |
| Konfigurasikan penyedia mitra keamanan yang didukung dalam Firewall Manager untuk melindungi koneksi keluar. Skenario ini memerlukan Virtual WAN dengan gateway VPN S2S di hub karena menggunakan terowongan IPsec untuk terhubung ke infrastruktur penyedia. Penyedia layanan keamanan terkelola mungkin membebankan biaya lisensi tambahan dan membatasi throughput pada koneksi IPsec. Anda juga dapat menggunakan solusi alternatif, seperti Zscaler Cloud Connector. |
Aktifkan penyedia mitra keamanan di Azure Firewall untuk memanfaatkan penawaran keamanan cloud terbaik dalam jenis, yang memberikan perlindungan tingkat lanjut untuk lalu lintas internet Anda. Penyedia ini menawarkan kemampuan pemfilteran khusus yang sadar pengguna dan deteksi ancaman komprehensif yang meningkatkan postur keamanan Anda secara keseluruhan. |
| Aktifkan konfigurasi proksi DNS Azure Firewall. Konfigurasikan juga Azure Firewall untuk menggunakan DNS kustom untuk meneruskan kueri DNS. |
Aktifkan fitur ini untuk mengarahkan klien di jaringan virtual ke Azure Firewall sebagai server DNS. Fitur ini melindungi infrastruktur DNS internal yang tidak diakses dan diekspos secara langsung. |
| Konfigurasikan UDR untuk memaksa lalu lintas melalui Azure Firewall dalam arsitektur hub-and-spoke tradisional untuk konektivitas spoke-to-spoke, spoke-to-internet, dan spoke-to-hybrid . Di Virtual WAN, konfigurasikan niat perutean dan kebijakan untuk mengalihkan lalu lintas privat atau lalu lintas internet melalui instans Azure Firewall yang terintegrasi ke hub. Jika Anda tidak dapat menerapkan UDR, dan Anda hanya memerlukan pengalihan lalu lintas web, gunakan Azure Firewall sebagai proksi eksplisit di jalur keluar. Anda dapat mengonfigurasi pengaturan proksi pada aplikasi pengirim, seperti browser web, saat Mengonfigurasi Azure Firewall sebagai proksi. |
Kirim lalu lintas melalui firewall untuk memeriksa lalu lintas dan membantu mengidentifikasi dan memblokir lalu lintas berbahaya. Gunakan Azure Firewall sebagai proksi eksplisit untuk lalu lintas keluar sehingga lalu lintas web mencapai alamat IP privat firewall dan oleh karena itu keluar langsung dari firewall tanpa menggunakan UDR. Fitur ini juga memfasilitasi penggunaan beberapa firewall tanpa memodifikasi rute jaringan yang ada. |
| Gunakan pemfilteran FQDN dalam aturan jaringan. Anda harus mengaktifkan konfigurasi proksi DNS Azure Firewall untuk menggunakan FQDN dalam aturan jaringan Anda. | Gunakan FQDN dalam aturan jaringan Azure Firewall sehingga administrator dapat mengelola nama domain alih-alih beberapa alamat IP, yang menyederhanakan manajemen. Resolusi dinamis ini memastikan bahwa aturan firewall secara otomatis diperbarui saat IP domain berubah. |
| Gunakan tag layanan Azure Firewall sebagai pengganti alamat IP tertentu untuk menyediakan akses selektif ke layanan tertentu di Azure, Microsoft Dynamics 365, dan Microsoft 365. | Gunakan tag layanan dalam aturan jaringan sehingga Anda dapat menentukan kontrol akses berdasarkan nama layanan daripada alamat IP tertentu, yang menyederhanakan manajemen keamanan. Microsoft mengelola dan memperbarui tag ini secara otomatis saat alamat IP berubah. Metode ini memastikan bahwa aturan firewall Anda tetap akurat dan efektif tanpa intervensi manual. |
| Gunakan tag FQDN dalam aturan aplikasi untuk menyediakan akses selektif ke layanan Microsoft tertentu. Anda dapat menggunakan tag FQDN dalam aturan aplikasi untuk mengizinkan lalu lintas jaringan keluar yang diperlukan melalui firewall Anda untuk layanan Azure tertentu, seperti Microsoft 365, Windows 365, dan Microsoft Intune. |
Gunakan tag FQDN dalam aturan aplikasi Azure Firewall untuk mewakili sekelompok FQDN yang terkait dengan layanan Microsoft terkenal. Metode ini menyederhanakan manajemen aturan keamanan jaringan. |
| Aktifkan inteligensi ancaman pada Azure Firewall dalam mode Pemberitahuan dan tolak . | Gunakan inteligensi ancaman untuk memberikan perlindungan real time terhadap ancaman yang muncul, yang mengurangi risiko serangan cyber. Fitur ini menggunakan umpan inteligensi ancaman Microsoft untuk secara otomatis memperingatkan dan memblokir lalu lintas dari alamat IP, domain, dan URL berbahaya yang diketahui. |
| Aktifkan IDPS dalam mode Pemberitahuan atau Pemberitahuan dan tolak . Pertimbangkan dampak performa fitur ini. | Mengaktifkan pemfilteran IDPS di Azure Firewall menyediakan pemantauan real time dan analisis lalu lintas jaringan untuk mendeteksi dan mencegah aktivitas berbahaya. Fitur ini menggunakan deteksi berbasis tanda tangan untuk dengan cepat mengidentifikasi ancaman yang diketahui dan memblokirnya sebelum menyebabkan kerusakan. Untuk informasi selengkapnya, lihat Mendeteksi penyalahgunaan. |
| Gunakan otoritas sertifikasi perusahaan internal (CA) untuk menghasilkan sertifikat saat Anda menggunakan inspeksi TLS dengan Azure Firewall Premium. Gunakan sertifikat yang ditandatangani sendiri hanya untuk tujuan pengujian dan bukti konsep (PoC). | Aktifkan inspeksi TLS sehingga Azure Firewall Premium mengakhiri dan memeriksa koneksi TLS untuk mendeteksi, memperingatkan, dan mengurangi aktivitas berbahaya di HTTPS. |
| Gunakan Firewall Manager untuk membuat dan mengaitkan paket Azure DDoS Protection dengan jaringan virtual hub Anda. Pendekatan ini tidak berlaku untuk Virtual WAN. | Konfigurasikan paket Azure DDoS Protection sehingga Anda dapat mengelola perlindungan DDoS secara terpusat bersama kebijakan firewall Anda. Pendekatan ini menyederhanakan cara Anda mengelola keamanan jaringan dan menyederhanakan cara Anda menyebarkan dan memantau proses. |
Pengoptimalan Biaya
Pengoptimalan Biaya berfokus pada mendeteksi pola pengeluaran, memprioritaskan investasi di area penting, dan mengoptimalkan orang lain untuk memenuhi anggaran organisasi sambil memenuhi persyaratan bisnis.
Prinsip desain Pengoptimalan Biaya menyediakan strategi desain tingkat tinggi untuk mencapai tujuan tersebut dan membuat tradeoff seperlunya dalam desain teknis yang terkait dengan Azure Firewall dan lingkungannya.
Daftar periksa desain
Mulai strategi desain Anda berdasarkan daftar periksa ulasan desain untuk Pengoptimalan Biaya untuk investasi. Sesuaikan desain sehingga beban kerja selaras dengan anggaran yang dialokasikan untuk beban kerja. Desain Anda harus menggunakan kemampuan Azure yang tepat, memantau investasi, dan menemukan peluang untuk dioptimalkan dari waktu ke waktu.
Pilih SKU Azure Firewall untuk disebarkan. Pilih dari tiga SKU Azure Firewall: Dasar, Standar, dan Premium. Gunakan Azure Firewall Premium untuk mengamankan aplikasi yang sangat sensitif, seperti pemrosesan pembayaran. Gunakan Azure Firewall Standard jika beban kerja Anda memerlukan firewall Lapisan 3 hingga Lapisan 7 dan perlu penskalaan otomatis untuk menangani periode lalu lintas puncak hingga 30 Gbps. Gunakan Azure Firewall Basic jika Anda menggunakan SMB dan memerlukan throughput hingga 250 Mbps. Anda dapat menurunkan atau meningkatkan antara SKU Standar dan Premium. Untuk informasi selengkapnya, lihat Memilih SKU Azure Firewall yang tepat.
Hapus penyebaran firewall yang tidak digunakan dan optimalkan penyebaran yang kurang digunakan. Hentikan penyebaran Azure Firewall yang tidak perlu terus berjalan. Identifikasi dan hapus penyebaran Azure Firewall yang tidak digunakan. Untuk mengurangi biaya operasional, pantau dan optimalkan penggunaan instans firewall, konfigurasi kebijakan Azure Firewall Manager, serta jumlah alamat IP publik dan kebijakan yang Anda gunakan.
Bagikan instans Azure Firewall yang sama. Anda dapat menggunakan instans pusat Azure Firewall di jaringan virtual hub atau hub aman Virtual WAN dan berbagi instans Azure Firewall yang sama di seluruh jaringan virtual spoke yang terhubung ke hub yang sama dari wilayah yang sama. Pastikan Anda tidak memiliki lalu lintas wilayah yang tidak terduga dalam topologi hub-and-spoke.
Optimalkan lalu lintas melalui firewall. Tinjau lalu lintas yang diproses Azure Firewall secara teratur. Temukan peluang untuk mengurangi jumlah lalu lintas yang melintasi firewall.
Kurangi jumlah data log yang Anda simpan. Azure Firewall dapat menggunakan Azure Event Hubs untuk mencatat metadata lalu lintas secara komprehensif dan mengirimkannya ke ruang kerja Log Analytics, Azure Storage, atau solusi non-Microsoft. Semua solusi pengelogan dikenakan biaya untuk memproses data dan menyediakan penyimpanan. Sejumlah besar data dapat dikenakan biaya yang signifikan. Pertimbangkan pendekatan hemat biaya dan alternatif untuk Log Analytics, dan perkirakan biayanya. Pertimbangkan apakah Anda perlu mencatat metadata lalu lintas untuk semua kategori pengelogan.
Rekomendasi
| Rekomendasi | Keuntungan |
|---|---|
| Hentikan penyebaran Azure Firewall yang tidak perlu terus berjalan. Anda mungkin memiliki lingkungan pengembangan atau pengujian yang hanya Anda gunakan selama jam kerja. Untuk informasi selengkapnya, lihat Membatalkan alokasi dan mengalokasikan Azure Firewall. | Matikan penyebaran ini selama jam sibuk atau saat diam untuk mengurangi pengeluaran yang tidak perlu tetapi menjaga keamanan dan performa selama waktu kritis. |
| Tinjau lalu lintas yang diproses Azure Firewall secara teratur, dan temukan pengoptimalan beban kerja asal. Log aliran atas, juga dikenal sebagai log aliran lemak, menunjukkan koneksi teratas yang berkontribusi pada throughput tertinggi melalui firewall. | Optimalkan beban kerja yang menghasilkan lalu lintas terbanyak melalui firewall untuk mengurangi volume lalu lintas, yang mengurangi beban pada firewall dan meminimalkan biaya pemrosesan data dan bandwidth. |
| Identifikasi dan hapus penyebaran Azure Firewall yang tidak digunakan. Analisis metrik pemantauan dan UDR yang terkait dengan subnet yang menunjuk ke IP privat firewall. Pertimbangkan juga validasi lain dan dokumentasi internal tentang lingkungan dan penyebaran Anda. Misalnya, analisis aturan NAT, jaringan, dan aplikasi klasik untuk Azure Firewall. Dan pertimbangkan pengaturan Anda. Misalnya, Anda dapat mengonfigurasi pengaturan proksi DNS ke Dinonaktifkan. Untuk informasi selengkapnya, lihat Memantau Azure Firewall. |
Gunakan pendekatan ini untuk mendeteksi penyebaran hemat biaya dari waktu ke waktu dan menghilangkan sumber daya yang tidak digunakan, yang mencegah biaya yang tidak perlu. |
| Tinjau kebijakan, asosiasi, dan warisan Firewall Manager Anda dengan hati-hati untuk mengoptimalkan biaya. Tagihan kebijakan berdasarkan asosiasi firewall. Kebijakan dengan nol atau satu asosiasi firewall gratis. Tagihan kebijakan dengan beberapa asosiasi firewall memiliki tarif tetap. Untuk informasi selengkapnya, lihat Harga Firewall Manager. |
Gunakan Firewall Manager dengan benar dan kebijakannya untuk mengurangi biaya operasional, meningkatkan efisiensi, dan mengurangi overhead manajemen. |
| Tinjau semua alamat IP publik dalam konfigurasi Anda, dan pisahkan dan hapus alamat yang tidak Anda gunakan. Evaluasi penggunaan port terjemahan alamat jaringan sumber (SNAT) sebelum Anda menghapus alamat IP apa pun. Untuk informasi selengkapnya, lihat Memantau log dan metrik Azure Firewall dan penggunaan port SNAT. |
Hapus alamat IP yang tidak digunakan untuk mengurangi biaya. |
Keunggulan Operasional
Keunggulan Operasional terutama berfokus pada prosedur untuk praktik pengembangan, pengamatan, dan manajemen rilis.
Prinsip desain Keunggulan Operasional menyediakan strategi desain tingkat tinggi untuk mencapai tujuan tersebut untuk persyaratan operasional beban kerja.
Daftar periksa desain
Mulai strategi desain Anda berdasarkan daftar periksa ulasan desain untuk Keunggulan Operasional untuk menentukan proses untuk pengamatan, pengujian, dan penyebaran yang terkait dengan Azure Firewall.
Gunakan Firewall Manager dengan topologi hub-and-spoke tradisional atau topologi jaringan Virtual WAN untuk menyebarkan dan mengelola instans Azure Firewall. Gunakan layanan keamanan asli untuk tata kelola dan perlindungan lalu lintas untuk membuat arsitektur hub-and-spoke dan transitif. Untuk informasi selengkapnya, lihat Topologi dan konektivitas jaringan.
Migrasikan aturan klasik Azure Firewall ke kebijakan Firewall Manager untuk penyebaran yang ada. Gunakan Firewall Manager untuk mengelola firewall dan kebijakan Anda secara terpusat. Untuk informasi selengkapnya, lihat Migrasi ke Azure Firewall Premium.
Pertahankan pencadangan reguler artefak Azure Policy. Jika Anda menggunakan pendekatan infrastruktur sebagai kode untuk mempertahankan Azure Firewall dan semua dependensi, Anda harus memiliki pencadangan dan penerapan versi kebijakan Azure Firewall. Jika tidak, Anda dapat menyebarkan mekanisme pendamping yang didasarkan pada aplikasi logika eksternal untuk memberikan solusi otomatis yang efektif.
Memantau log dan metrik Azure Firewall. Manfaatkan log diagnostik untuk pemantauan firewall dan pemecahan masalah serta log aktivitas untuk operasi audit.
Analisis data pemantauan untuk menilai kesehatan sistem secara keseluruhan. Gunakan buku kerja pemantauan Azure Firewall bawaan, biasakan diri Anda dengan kueri Bahasa Kueri Kusto (KQL), dan gunakan dasbor analitik kebijakan untuk mengidentifikasi potensi masalah.
Tentukan pemberitahuan untuk peristiwa utama sehingga operator dapat dengan cepat meresponsnya.
Manfaatkan mekanisme deteksi yang disediakan platform di Azure untuk mendeteksi penyalahgunaan. Integrasikan Azure Firewall dengan Microsoft Defender untuk Cloud dan Microsoft Sentinel jika memungkinkan. Integrasikan dengan Defender untuk Cloud sehingga Anda dapat memvisualisasikan status infrastruktur jaringan dan keamanan jaringan di satu tempat, termasuk keamanan jaringan Azure di semua jaringan virtual dan hub virtual di berbagai wilayah di Azure. Integrasikan dengan Microsoft Sentinel untuk menyediakan kemampuan deteksi ancaman dan pencegahan.
Rekomendasi
| Rekomendasi | Keuntungan |
|---|---|
| Aktifkan log diagnostik untuk Azure Firewall. Gunakan log firewall atau buku kerja untuk memantau Azure Firewall. Anda juga dapat menggunakan log aktivitas untuk mengaudit operasi pada sumber daya Azure Firewall. Gunakan format log firewall terstruktur. Hanya gunakan format log diagnostik sebelumnya jika Anda memiliki alat yang sudah ada yang memerlukannya. Jangan aktifkan kedua format pengelogan secara bersamaan. |
Aktifkan log diagnostik untuk mengoptimalkan alat dan strategi pemantauan Anda untuk Azure Firewall. Gunakan log firewall terstruktur untuk menyusun data log sehingga mudah untuk mencari, memfilter, dan menganalisis. Alat pemantauan terbaru didasarkan pada jenis log ini, sehingga sering kali merupakan prasyarat. |
| Gunakan buku kerja Azure Firewall bawaan. | Gunakan buku kerja Azure Firewall untuk mengekstrak wawasan berharga dari peristiwa Azure Firewall, menganalisis aturan aplikasi dan jaringan Anda, dan memeriksa statistik tentang aktivitas firewall di seluruh URL, port, dan alamat. |
| Pantau log dan metrik Azure Firewall, dan buat pemberitahuan untuk kapasitas Azure Firewall. Buat pemberitahuan untuk memantau throughput, status kesehatan Firewall, pemanfaatan port SNAT, dan metrik pemeriksaan latensi AZFW. | Siapkan pemberitahuan untuk peristiwa utama untuk memberi tahu operator sebelum potensi masalah muncul, membantu mencegah gangguan, dan memulai penyesuaian kapasitas cepat. |
| Tinjau dasbor analitik kebijakan secara teratur untuk mengidentifikasi potensi masalah. | Gunakan analitik kebijakan untuk menganalisis dampak kebijakan Azure Firewall Anda. Identifikasi potensi masalah dalam kebijakan Anda, seperti batas kebijakan rapat, aturan yang tidak tepat, dan penggunaan grup IP yang tidak tepat. Dapatkan rekomendasi untuk meningkatkan postur keamanan dan performa pemrosesan aturan Anda. |
| Pahami kueri KQL sehingga Anda dapat menggunakan log Azure Firewall untuk menganalisis dan memecahkan masalah dengan cepat. Azure Firewall menyediakan kueri sampel. | Gunakan kueri KQL untuk mengidentifikasi peristiwa di dalam firewall Anda dengan cepat dan periksa untuk melihat aturan mana yang dipicu atau aturan mana yang mengizinkan atau memblokir permintaan. |
Efisiensi Performa
Efisiensi Performa adalah tentang mempertahankan pengalaman pengguna bahkan ketika ada peningkatan beban dengan mengelola kapasitas. Strategi ini mencakup penskalaan sumber daya, mengidentifikasi dan mengoptimalkan potensi hambatan, dan mengoptimalkan performa puncak.
Prinsip desain Efisiensi Performa menyediakan strategi desain tingkat tinggi untuk mencapai tujuan kapasitas tersebut terhadap penggunaan yang diharapkan.
Daftar periksa desain
Mulai strategi desain Anda berdasarkan daftar periksa ulasan desain untuk Efisiensi Performa. Tentukan garis besar yang didasarkan pada indikator performa utama untuk Azure Firewall.
Optimalkan konfigurasi Azure Firewall Anda sesuai dengan rekomendasi Well-Architected Framework untuk mengoptimalkan kode dan infrastruktur dan memastikan operasi puncak. Untuk mempertahankan jaringan yang efisien dan aman, tinjau dan optimalkan aturan firewall secara teratur. Praktik ini membantu memastikan bahwa konfigurasi firewall Anda tetap efektif dan terbaru dengan ancaman keamanan terbaru.
Menilai persyaratan kebijakan, dan menemukan peluang untuk meringkas rentang IP dan daftar URL. Gunakan kategori web untuk mengizinkan atau menolak akses keluar secara massal untuk menyederhanakan manajemen dan meningkatkan keamanan. Evaluasi dampak performa IDPS dalam mode Pemberitahuan dan tolak karena konfigurasi ini dapat memengaruhi latensi dan throughput jaringan. Konfigurasikan alamat IP publik untuk mendukung persyaratan port SNAT Anda. Ikuti praktik ini untuk membuat infrastruktur keamanan jaringan yang kuat dan dapat diskalakan.
Jangan gunakan Azure Firewall untuk kontrol lalu lintas jaringan intra-virtual. Gunakan Azure Firewall untuk mengontrol jenis lalu lintas berikut:
- Lalu lintas di seluruh jaringan virtual
- Lalu lintas antara jaringan virtual dan jaringan lokal
- Lalu lintas keluar ke internet
- Lalu lintas non-HTTP atau non-HTTPS masuk
Untuk kontrol lalu lintas jaringan intra-virtual, gunakan kelompok keamanan jaringan.
Pemanasan Azure Firewall dengan benar sebelum pengujian performa. Buat lalu lintas awal yang bukan bagian dari pengujian beban Anda 20 menit sebelum pengujian Anda. Gunakan pengaturan diagnostik untuk menangkap peristiwa skala naik dan turun. Anda dapat menggunakan layanan Azure Load Testing untuk menghasilkan lalu lintas awal sehingga Anda dapat meningkatkan Azure Firewall ke jumlah maksimum instans.
Konfigurasikan subnet Azure Firewall dengan ruang alamat /26. Anda memerlukan subnet khusus untuk Azure Firewall. Azure Firewall menyediakan lebih banyak kapasitas saat diskalakan. Ruang alamat /26 memastikan bahwa firewall memiliki alamat IP yang memadai untuk mengakomodasi penskalaan. Azure Firewall tidak memerlukan subnet yang lebih besar dari /26. Beri nama subnet Azure Firewall AzureFirewallSubnet.
Jangan aktifkan pengelogan tingkat lanjut jika Anda tidak membutuhkannya. Azure Firewall menyediakan beberapa kemampuan pengelogan tingkat lanjut yang dapat dikenakan biaya signifikan untuk tetap aktif. Sebagai gantinya, Anda dapat menggunakan kemampuan ini hanya untuk tujuan pemecahan masalah dan untuk waktu yang terbatas. Nonaktifkan kemampuan saat Anda tidak memerlukannya. Misalnya, alur atas dan log pelacakan alur mahal dan dapat menyebabkan penggunaan CPU dan penyimpanan yang berlebihan pada infrastruktur Azure Firewall.
Rekomendasi
| Rekomendasi | Keuntungan |
|---|---|
| Gunakan dasbor analitik kebijakan untuk mengidentifikasi cara mengoptimalkan kebijakan Azure Firewall. | Gunakan analitik kebijakan untuk mengidentifikasi potensi masalah dalam kebijakan Anda, seperti batas kebijakan rapat, aturan yang tidak tepat, dan penggunaan grup IP yang tidak tepat. Dapatkan rekomendasi untuk meningkatkan postur keamanan dan performa pemrosesan aturan Anda. |
| Tempatkan aturan yang sering digunakan di awal grup untuk mengoptimalkan latensi untuk kebijakan Azure Firewall yang memiliki seperangkat aturan besar. Untuk informasi selengkapnya, lihat Menggunakan kebijakan Azure Firewall untuk memproses aturan. |
Tempatkan aturan yang sering digunakan tinggi dalam seperangkat aturan untuk mengoptimalkan latensi pemrosesan. Azure Firewall memproses aturan berdasarkan jenis aturan, pewarisan, prioritas grup kumpulan aturan, dan prioritas pengumpulan aturan. Azure Firewall memproses grup kumpulan aturan berprioritas tinggi terlebih dahulu. Di dalam grup kumpulan aturan, Azure Firewall memproses kumpulan aturan yang memiliki prioritas tertinggi terlebih dahulu. |
| Gunakan grup IP untuk meringkas rentang alamat IP dan menghindari melebihi batas aturan jaringan sumber atau tujuan unik. Azure Firewall memperlakukan grup IP sebagai satu alamat saat Anda membuat aturan jaringan. | Pendekatan ini secara efektif meningkatkan jumlah alamat IP yang dapat Anda bahas tanpa melebihi batas. Untuk setiap aturan, Azure mengalikan port menurut alamat IP. Jadi, jika satu aturan memiliki empat rentang alamat IP dan lima port, Anda menggunakan 20 aturan jaringan. |
| Gunakan kategori web Azure Firewall untuk mengizinkan atau menolak akses keluar secara massal, alih-alih membangun dan memelihara daftar panjang situs internet publik secara eksplisit. | Fitur ini secara dinamis mengategorikan konten web dan mengizinkan pembuatan aturan aplikasi yang ringkas, yang mengurangi overhead operasional. |
| Mengevaluasi dampak performa IDPS dalam mode Pemberitahuan dan tolak . Untuk informasi selengkapnya, lihat Performa Azure Firewall. | Aktifkan IDPS dalam mode Pemberitahuan dan tolak untuk mendeteksi dan mencegah aktivitas jaringan berbahaya. Fitur ini mungkin memperkenalkan penalti performa. Pahami efek pada beban kerja Anda sehingga Anda dapat merencanakan dengan sesuai. |
| Konfigurasikan penyebaran Azure Firewall dengan minimal lima alamat IP publik untuk penyebaran yang rentan terhadap kelelahan port SNAT. | Azure Firewall mendukung 2.496 port untuk setiap alamat IP publik yang digunakan setiap instans Azure Virtual Machine Scale Sets back-end. Konfigurasi ini meningkatkan port SNAT yang tersedia sebanyak lima kali. Secara default, Azure Firewall menyebarkan dua instans Virtual Machine Scale Sets yang mendukung 4.992 port untuk setiap IP tujuan alur, port tujuan, dan protokol TCP atau UDP. Firewall menskalakan hingga maksimum 20 instans. |
Kebijakan Azure
Azure menyediakan serangkaian kebijakan bawaan yang luas yang terkait dengan Azure Firewall dan dependensinya. Beberapa rekomendasi sebelumnya dapat diaudit melalui Azure Policy. Misalnya, Anda dapat memeriksa apakah:
Antarmuka jaringan tidak boleh memiliki IP publik. Kebijakan ini menolak antarmuka jaringan yang dikonfigurasi dengan IP publik. Alamat IP publik memungkinkan sumber daya internet untuk berkomunikasi masuk ke sumber daya Azure, dan sumber daya Azure dapat berkomunikasi keluar ke internet.
Semua lalu lintas internet harus dirutekan melalui instans Azure Firewall yang Anda sebarkan. Azure Security Center mengidentifikasi bahwa beberapa subnet Anda tidak dilindungi dengan firewall generasi berikutnya. Lindungi subnet Anda dari potensi ancaman. Gunakan Azure Firewall atau firewall generasi berikutnya yang didukung untuk membatasi akses ke subnet Anda.
Untuk tata kelola komprehensif, tinjau definisi bawaan Azure Policy untuk Azure Firewall dan kebijakan lain yang mungkin memengaruhi keamanan jaringan.
Rekomendasi Azure Advisor
Azure Advisor adalah konsultan cloud yang dipersonalisasi yang membantu Anda mengikuti cara terbaik untuk mengoptimalkan pengoperasian Azure Anda. Berikut adalah beberapa rekomendasi yang dapat membantu Anda meningkatkan keandalan, keamanan, efektivitas biaya, performa, dan keunggulan operasional Azure Firewall.
Langkah berikutnya
Lihat sumber daya berikut yang menunjukkan rekomendasi dalam artikel ini.
Gunakan arsitektur referensi berikut sebagai contoh cara menerapkan panduan artikel ini ke beban kerja:
Gunakan sumber daya berikut untuk meningkatkan keahlian implementasi Anda:
Lihat sumber daya lainnya: