Fitur Azure Firewall Premium
Azure Firewall Premium dilengkapi dengan perlindungan ancaman canggih yang memenuhi kebutuhan lingkungan yang sangat sensitif dan teregulasi, seperti industri pembayaran dan layanan kesehatan.
Organisasi dapat menggunakan fitur unit penyimpanan stok (SKU) Premium seperti inspeksi IDPS dan TLS untuk mencegah malware dan virus menyebar ke seluruh jaringan baik dalam arah lateral maupun horizontal. Untuk memenuhi peningkatan kebutuhan performa pemeriksaan TLS dan IDPS, Azure Firewall Premium menggunakan SKU komputer virtual yang lebih kuat. Seperti SKU Standar, SKU Premium dapat dengan mulus menskalakan hingga 100 Gbps dan berintegrasi dengan zona ketersediaan untuk mendukung perjanjian tingkat layanan (SLA) sebesar 99,99 persen. SKU Premium memenuhi kebutuhan lingkungan Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS).
Azure Firewall Premium mencakup fitur-fitur berikut:
- Inspeksi TLS - mendekripsi lalu lintas keluar, memproses data, lalu mengenkripsi data dan mengirimkannya ke tujuan.
- IDPS - Sistem deteksi dan pencegahan intrusi jaringan (IDPS) memungkinkan Anda memantau aktivitas jaringan untuk aktivitas berbahaya, mencatat informasi tentang aktivitas ini, melaporkannya, dan secara opsional berusaha memblokirnya.
- Pemfilteran URL - memperluas kemampuan pemfilteran FQDN Azure Firewall untuk mempertimbangkan seluruh URL bersama dengan jalur tambahan apa pun. Misalnya,
www.contoso.com/a/cdaripadawww.contoso.com. - Kategori web - administrator dapat mengizinkan atau menolak akses pengguna ke kategori situs web seperti situs web perjudian, situs web media sosial, dan lainnya.
Untuk membandingkan fitur Azure Firewall untuk semua SKU Firewall, lihat Memilih SKU Azure Firewall yang tepat untuk memenuhi kebutuhan Anda.
Inspeksi TLS
Protokol TLS (Transport Layer Security) terutama menyediakan kriptografi untuk privasi, integritas, dan autentikasi menggunakan sertifikat antara dua atau lebih aplikasi komunikasi. Ini berjalan di lapisan aplikasi dan digunakan secara luas untuk mengenkripsi protokol HTTP.
Lalu lintas terenkripsi memiliki kemungkinan risiko keamanan dan dapat menyembunyikan aktivitas pengguna ilegal dan lalu lintas berbahaya. Azure Firewall tanpa inspeksi TLS (seperti yang ditunjukkan dalam diagram berikut) tidak memiliki visibilitas ke dalam data yang mengalir di terowongan TLS terenkripsi, sehingga tidak dapat memberikan cakupan perlindungan penuh.
Diagram kedua menunjukkan bagaimana Azure Firewall Premium mengakhiri dan memeriksa koneksi TLS untuk mendeteksi, memperingatkan, dan mengurangi aktivitas berbahaya di HTTPS. Firewall membuat dua koneksi TLS khusus: satu dengan Server Web (contoso.com) dan koneksi lain dengan klien. Penggunaan sertifikat CA yang disediakan pelanggan menghasilkan sertifikat on-the-fly, yang menggantikan sertifikat Server Web dan membagikannya dengan klien untuk membuat koneksi TLS antara firewall dan klien.
Azure Firewall tanpa inspeksi TLS: 
Azure Firewall dengan inspeksi TLS: 
Kasus penggunaan berikut ini didukung oleh Azure Firewall:
Inspeksi TLS untuk Keluar
Guna melindungi dari lalu lintas berbahaya yang dikirim dari klien internal yang dihosting pada Azure ke Internet.
Inspeksi TLS Timur-Barat (mencakup lalu lintas yang beralih dari/ke jaringan lokal)
Guna melindungi beban kerja Azure Anda dari potensi lalu lintas berbahaya yang dikirim dari dalam Azure.
Kasus penggunaan berikut ini didukung oleh Azure Web Application Firewall pada Azure Application Gateway:
Inspeksi TLS untuk Masuk
Guna melindungi server internal atau aplikasi yang dihosting di Azure dari permintaan berbahaya yang datang dari Internet atau jaringan eksternal. Application Gateway menyediakan enkripsi secara end-to-end.
Untuk informasi terkait, lihat:
Tip
TLS 1.0 dan 1.1 ditolak dan tidak akan didukung. TLS 1.0 dan 1.1 versi TLS/Secure Sockets Layer (SSL) telah dianggap rentan, dan sementara mereka masih bekerja untuk memungkinkan kompatibilitas ke belakang, mereka tidak direkomendasikan. Migrasi ke TLS 1.2 sesegera mungkin.
Untuk mempelajari selengkapnya tentang persyaratan sertifikat Azure Firewall Premium Intermediate CA, lihat Sertifikat Azure Firewall Premium.
Untuk mempelajari selengkapnya tentang inspeksi TLS, lihat Membangun POC untuk inspeksi TLS di Azure Firewall.
IDPS
Sistem deteksi dan pencegahan intrusi jaringan (IDPS) memungkinkan Anda memantau jaringan Anda untuk aktivitas berbahaya, mencatat informasi tentang aktivitas ini, melaporkannya, dan secara opsional mencoba memblokirnya.
Azure Firewall Premium menyediakan IDPS berbasis tanda tangan untuk memungkinkan deteksi serangan yang cepat dengan mencari pola tertentu, seperti urutan byte dalam lalu lintas jaringan, atau urutan instruksi berbahaya yang diketahui digunakan oleh malware. Tanda tangan IDPS berlaku untuk lalu lintas tingkat aplikasi dan jaringan (Lapisan 3-7). Mereka dikelola sepenuhnya dan terus diperbarui. IDPS dapat diterapkan pada lalu lintas masuk, lalu lintas spoke-to-spoke (Timur-Barat), dan lalu lintas keluar. Spoke-to-spoke (Timur-Barat) mencakup lalu lintas yang beralih dari/ke jaringan lokal. Anda dapat mengonfigurasi rentang alamat IP privat IDPS menggunakan fitur Rentang IP Privat. Untuk informasi selengkapnya, lihat Rentang IP Privat IDPS.
Tanda tangan/aturan Azure Firewall meliputi:
- Penekanan pada pengenalan malware aktual, Perintah dan Kontrol, kit eksploitasi, dan dalam aktivitas berbahaya yang terlewatkan oleh metode pencegahan tradisional.
- Lebih dari 67.000 aturan dalam lebih dari 50 kategori.
- Kategori termasuk perintah dan kontrol program jahat, pengelabuan, trojan, botnet, kejadian informasi, eksploitasi, kerentanan, protokol jaringan SCADA, aktivitas kit eksploitasi, dan banyak lagi.
- 20 hingga 40+ aturan baru dirilis setiap hari.
- Peringkat positif palsu rendah dengan menggunakan teknik deteksi malware canggih seperti perulangan umpan balik jaringan sensor global.
IDPS memungkinkan Anda mendeteksi serangan di semua port dan protokol untuk lalu lintas yang tidak terenkripsi. Namun, ketika lalu lintas HTTPS perlu diperiksa, Azure Firewall dapat menggunakan kemampuan pemeriksaan TLS-nya untuk mendekripsi lalu lintas dan mendeteksi aktivitas berbahaya dengan lebih baik.
Daftar Bypass IDPS adalah konfigurasi yang memungkinkan Anda untuk tidak memfilter lalu lintas ke salah satu alamat IP, rentang, dan subnet yang ditentukan dalam daftar bypass. Daftar Bypass IDPS tidak dimaksudkan untuk menjadi cara untuk meningkatkan performa throughput, karena firewall masih tunduk pada performa yang terkait dengan kasus penggunaan Anda. Untuk informasi selengkapnya, lihat Performa Azure Firewall.
Rentang IP Privat IDPS
Di IDPS Premium Azure Firewall, rentang alamat IP privat digunakan untuk mengidentifikasi apakah lalu lintas berupa lalu lintas masuk, keluar, atau internal (Timur-Barat). Setiap tanda tangan diterapkan pada arah lalu lintas tertentu, seperti yang ditunjukkan dalam tabel aturan tanda tangan. Secara default, hanya rentang yang ditentukan oleh IANA RFC 1918 yang dianggap sebagai alamat IP privat. Jadi, lalu lintas yang dikirim dari rentang alamat IP privat ke rentang alamat IP privat dianggap internal. Untuk mengubah alamat IP privat, sekarang Anda dapat dengan mudah mengedit, menghapus, atau menambahkan rentang sesuai kebutuhan.
Aturan tanda tangan IDPS
Aturan tanda tangan IDPS memungkinkan Anda untuk:
Sesuaikan satu atau beberapa tanda tangan dan ubah modenya menjadi Dinonaktifkan, Peringatan atau Peringatan dan Tolak.
Misalnya, jika Anda menerima positif palsu di mana permintaan yang sah diblokir oleh Azure Firewall karena tanda tangan yang rusak, Anda dapat menggunakan ID tanda tangan dari log aturan jaringan dan mengatur mode IDPS-nya ke nonaktif. Ini menyebabkan tanda tangan "rusak" diabaikan dan menyelesaikan masalah positif palsu.
Anda dapat menerapkan prosedur penyesuaian yang sama untuk tanda tangan yang membuat terlalu banyak peringatan berprioritas rendah, dan karenanya mengganggu visibilitas untuk peringatan berprioritas tinggi.
Dapatkan pandangan holistik dari seluruh 55.000 tanda tangan
Pencarian cerdas
Tindakan ini memungkinkan Anda mencari seluruh database tanda tangan dengan semua jenis atribut. Misalnya, Anda dapat mencari CVE-ID tertentu untuk menemukan tanda tangan apa yang mengurus CVE ini dengan mengetik ID di bilah pencarian.
Aturan tanda tangan IDPS memiliki properti berikut:
| Kolom | Deskripsi |
|---|---|
| Tanda tangan ID | ID internal untuk setiap tanda tangan. ID ini juga disajikan dalam log Aturan Jaringan Azure Firewall. |
| Mode | Menunjukkan apakah tanda tangan aktif atau tidak, dan apakah firewall turun atau pemberitahuan pada lalu lintas yang cocok. Mode tanda tangan di bawah ini dapat mengambil alih mode IDPS - Dinonaktifkan: Tanda tangan tidak diaktifkan di firewall Anda. - Pemberitahuan: Anda menerima pemberitahuan saat lalu lintas mencurigakan terdeteksi. - Pemberitahuan dan Tolak: Anda menerima pemberitahuan dan lalu lintas mencurigakan diblokir. Beberapa kategori tanda tangan didefinisikan sebagai "Hanya Pemberitahuan", oleh karena itu secara default, lalu lintas yang cocok dengan tanda tangan mereka tidak diblokir meskipun mode IDPS diatur ke "Pemberitahuan dan Tolak". Pelanggan dapat mengesampingkan ini dengan menyesuaikan tanda tangan khusus ini ke mode "Peringatan dan Tolak". Mode Tanda Tangan IDPS ditentukan oleh salah satu alasan berikut: 1. Ditentukan oleh Mode Kebijakan – Mode tanda tangan berasal dari mode IDPS dari kebijakan yang ada. 2. Didefinisikan oleh Kebijakan Induk – Mode tanda tangan berasal dari mode IDPS dari kebijakan induk. 3. Ditimpa – Anda dapat mengambil alih dan menyesuaikan mode Tanda Tangan. 4. Didefinisikan oleh Sistem - Mode tanda tangan diatur ke Pemberitahuan Saja oleh sistem karena kategorinya. Anda dapat mengambil alih mode tanda tangan ini. Catatan: Peringatan IDPS tersedia di portal melalui kueri log aturan jaringan. |
| Tingkat keparahan | Setiap tanda tangan memiliki tingkat keparahan terkait dan prioritas yang ditetapkan yang menunjukkan probabilitas bahwa tanda tangan adalah serangan aktual. - Rendah (prioritas 3): Peristiwa abnormal adalah peristiwa yang biasanya tidak terjadi pada jaringan atau Peristiwa informasi dicatat. Kemungkinan serangannya rendah. - Sedang (prioritas 2): Tanda tangan menunjukkan serangan sifat yang mencurigakan. Administrator harus menyelidiki lebih lanjut. - Tinggi (prioritas 1): Tanda tangan serangan menunjukkan bahwa serangan yang bersifat parah sedang diluncurkan. Ada peluang kecil bahwa paket memiliki tujuan yang sah. |
| Arah | Arah lalu lintas tempat tanda tangan diterapkan. - Masuk: Tanda tangan hanya diterapkan pada lalu lintas yang datang dari Internet dan ditujukan untuk rentang alamat IP privat yang dikonfigurasi. - Keluar: Tanda tangan hanya diterapkan pada lalu lintas yang dikirim dari rentang alamat IP privat yang dikonfigurasi ke Internet. - Internal: Tanda tangan hanya diterapkan pada lalu lintas yang dikirim dari dan ditujukan ke rentang alamat IP privat yang dikonfigurasi. - Internal/Masuk: Tanda tangan diterapkan pada lalu lintas yang tiba dari rentang alamat IP privat yang dikonfigurasi atau dari Internet dan ditujukan ke rentang alamat IP privat yang dikonfigurasi. - Internal/Keluar: Tanda tangan diterapkan pada lalu lintas yang dikirim dari rentang alamat IP privat yang dikonfigurasi dan ditujukan ke rentang alamat IP privat yang dikonfigurasi atau ke Internet. - Apa pun: Tanda tangan selalu diterapkan pada arah lalu lintas apa pun. |
| Grupkan | Nama grup yang menjadi milik tanda tangan tersebut. |
| Deskripsi | Terstruktur dari tiga bagian berikut: - Nama kategori: Nama kategori yang dimiliki tanda tangan seperti yang dijelaskan dalam kategori aturan tanda tangan IDPS Azure Firewall. - Deskripsi tanda tangan tingkat tinggi - CVE-ID (opsional) dalam kasus di mana tanda tangan dikaitkan dengan CVE tertentu. |
| Protokol | Protokol yang terkait dengan tanda tangan ini. |
| Port Sumber/Tujuan | Port yang terkait dengan tanda tangan ini. |
| Terakhir diperbarui | Tanggal terakhir tanda tangan ini diperkenalkan atau dimodifikasi. |
Untuk informasi selengkapnya tentang IDPS, lihat Mengambil IDPS Azure Firewall pada Uji Coba.
Pemfilteran URL
Pemfilteran URL memperluas kemampuan pemfilteran FQDN Azure Firewall untuk mempertimbangkan seluruh URL. Misalnya, www.contoso.com/a/c daripada www.contoso.com.
Pemfilteran URL dapat diterapkan baik pada lalu lintas HTTP maupun HTTPS. Ketika lalu lintas HTTPS diperiksa, Azure Firewall Premium dapat menggunakan kemampuan pemeriksaan TLS untuk mendekripsi lalu lintas dan mengekstrak URL target untuk memvalidasi apakah akses diizinkan. Inspeksi TLS memerlukan keikutsertaan pada tingkat aturan aplikasi. Setelah diaktifkan, Anda dapat menggunakan URL untuk pemfilteran dengan HTTPS.
Kategori web
Kategori web memungkinkan administrator mengizinkan atau menolak akses pengguna ke kategori situs web seperti situs web perjudian, situs web media sosial, dan lainnya. Kategori web juga disertakan dalam Azure Firewall Standard, tetapi lebih disempurnakan di Azure Firewall Premium. Berbeda dengan kemampuan kategori Web dalam SKU Standar yang cocok dengan kategori berdasarkan FQDN, SKU Premium cocok dengan kategori sesuai dengan seluruh URL untuk lalu lintas HTTP dan HTTPS.
Kategori web Azure Firewall Premium hanya tersedia dalam kebijakan firewall. Pastikan SKU kebijakan Anda cocok dengan SKU instans firewall Anda. Misalnya, jika Anda memiliki instans Firewall Premium, Anda harus menggunakan kebijakan Firewall Premium.
Misalnya, jika Azure Firewall memotong permintaan HTTPS untuk www.google.com/news, kategorisasi berikut diharapkan:
Firewall Standard – hanya bagian FQDN yang diperiksa, jadi
www.google.comdikategorikan sebagai Mesin Pencari.Firewall Premium - URL lengkap diperiksa, jadi
www.google.com/newsdikategorikan sebagai Berita.
Kategori diatur menurut tingkat keparahan berdasarkan Kewajiban, Tinggi Bandwidth, Penggunaan Bisnis, Kerugian Produktivitas, Penjelajahan Umum, dan Tidak Dikategorikan. Untuk deskripsi terperinci tentang kategori web, lihat kategori web Azure Firewall.
Log kategori web
Anda dapat melihat lalu lintas yang telah difilter oleh Kategori web pada log Aplikasi. Bidang kategori web hanya ditampilkan jika telah dikonfigurasi secara eksplisit dalam aturan aplikasi kebijakan firewall Anda. Misalnya, jika Anda tidak memiliki aturan yang secara eksplisit menolak Mesin Telusur, dan pengguna meminta untuk membuka www.bing.com, hanya pesan penolakan default yang ditampilkan sebagai lawan dari pesan kategori Web. Ini karena kategori web tidak dikonfigurasi secara eksplisit.
Pengecualian kategori
Anda bisa membuat pengecualian untuk aturan kategori web Anda. Buat kumpulan aturan izinkan atau tolak terpisah dengan prioritas yang lebih tinggi dalam grup kumpulan aturan. Misalnya, Anda dapat mengonfigurasi koleksi aturan yang memungkinkan www.linkedin.com dengan prioritas 100, dengan koleksi aturan yang menyangkal jejaring sosial dengan prioritas 200. Ini menciptakan pengecualian untuk kategori web jejaring Sosial yang telah ditentukan sebelumnya.
Pencarian kategori web
Anda dapat mengidentifikasi apa kategori FQDN atau URL yang diberikan menggunakan fitur Periksa Kategori Web. Untuk menggunakannya, pilih tab Kategori Web pada Pengaturan Kebijakan Firewall. Ini berguna saat menentukan aturan aplikasi Anda untuk lalu lintas tujuan.
Penting
Untuk menggunakan fitur Pemeriksaan Kategori Web, pengguna harus memiliki akses Microsoft.Network/azureWebCategories/* untuk tingkat langganan , bukan tingkat grup sumber daya.
Perubahan kategori
Di bawah tab Kategori Web di Pengaturan Kebijakan Firewall, Anda dapat meminta perubahan kategori jika Anda:
berpikir FQDN atau URL harus berada di bawah kategori yang berbeda
or
memiliki kategori yang disarankan untuk FQDN atau URL yang tidak dikategorikan
Setelah mengirimkan laporan perubahan kategori, Anda diberi token dalam pemberitahuan yang menunjukkan bahwa kami telah menerima permintaan untuk diproses. Anda dapat memeriksa apakah permintaan sedang berlangsung, ditolak, atau disetujui dengan memasukkan token di bilah pencarian. Pastikan untuk menyimpan ID token Anda untuk melakukannya.
Kategori web yang tidak mendukung penghentian TLS
Karena alasan privasi dan kepatuhan, lalu lintas web tertentu yang dienkripsi tidak dapat didekripsi menggunakan penghentian TLS. Misalnya, data kesehatan karyawan yang ditransmisikan melalui lalu lintas web melalui jaringan perusahaan tidak boleh dihentikan TLS karena alasan privasi.
Akibatnya, Kategori Web berikut tidak mendukung penghentian TLS:
- Education
- Finance
- Pemerintahan
- Kesehatan dan kedokteran
Sebagai solusinya, jika Anda ingin URL tertentu mendukung penghentian TLS, Anda dapat menambahkan URL secara manual dengan penghentian TLS dalam aturan aplikasi. Misalnya, Anda dapat menambahkan www.princeton.edu ke aturan aplikasi untuk mengizinkan situs web ini.
Wilayah yang didukung
Untuk wilayah yang didukung bagi Azure Firewall, lihat Produk Azure yang tersedia berdasarkan wilayah.