Merencanakan, menerapkan, dan mengelola kebijakan Azure Firewall, Azure Firewall Manager, dan firewall
Azure Firewall adalah layanan keamanan firewall jaringan cerdas dan jaringan cloud-native yang memberikan perlindungan ancaman terbaik untuk beban kerja cloud Anda yang berjalan di Azure. Ini adalah layanan firewall stateful penuh yang dilengkapi dengan ketersediaan tinggi bawaan dan skalabilitas cloud tanpa batas. Firewall ini menyediakan inspeksi lalu lintas timur-barat dan utara-selatan.
Azure Firewall ditawarkan dalam dua SKU: Standar, Premium, dan Dasar.
Azure Firewall Standar
Azure Firewall Standard menyediakan pemfilteran lapisan 3 hingga lapisan 7 (L3-L7) dan umpan inteligensi ancaman langsung dari Microsoft Cyber Security. Pemfilteran berbasis inteligensi ancaman dapat memperingatkan dan menolak lalu lintas dari/ke alamat IP berbahaya dan domain yang diketahui yang diperbarui secara real time untuk melindungi dari serangan baru dan yang muncul.
Azure Firewall Premium
Azure Firewall Premium menyediakan kemampuan tingkat lanjut termasuk sistem deteksi dan pencegahan intrusi berbasis tanda tangan (IDPS) untuk memungkinkan deteksi serangan yang cepat dengan mencari pola tertentu. Pola ini dapat mencakup urutan byte dalam lalu lintas jaringan atau urutan instruksi berbahaya yang diketahui digunakan oleh malware. Ada lebih dari 67.000 tanda tangan dalam lebih dari 50 kategori yang diperbarui secara real time untuk melindungi dari eksploitasi baru dan yang muncul. Kategori eksploitasi termasuk malware, phishing, penambangan koin, dan serangan Trojan.
Azure Firewall Basic
Azure Firewall Basic ditujukan bagi pelanggan berukuran kecil dan sedang (SMB) untuk mengamankan lingkungan cloud Azure mereka. Ini memberikan perlindungan penting yang dibutuhkan pelanggan SMB pada titik harga yang terjangkau.
Azure Firewall Basic seperti Firewall Standard, tetapi memiliki batasan utama berikut:
- Hanya mendukung mode pemberitahuan Intel Ancaman
- Memperbaiki unit skala untuk menjalankan layanan pada dua instans backend komputer virtual
- Direkomendasikan untuk lingkungan dengan perkiraan throughput 250 Mbps
Azure Firewall Manager
Azure Firewall Manager adalah layanan manajemen keamanan yang menyediakan kebijakan keamanan pusat dan manajemen rute untuk perimeter keamanan berbasis cloud.
Firewall Manager dapat menyediakan manajemen keamanan untuk dua jenis arsitektur jaringan:
- Hub virtual aman
Azure Virtual WAN Hub adalah sumber daya yang dikelola Microsoft yang memungkinkan Anda membuat arsitektur hub dan spoke dengan mudah. Ketika kebijakan keamanan dan perutean dikaitkan dengan hub seperti itu, itu disebut sebagai hub virtual aman. - Jaringan virtual hub
Ini adalah jaringan virtual Azure standar yang Anda buat dan kelola sendiri. Ketika kebijakan keamanan dikaitkan dengan hub seperti itu, kebijakan itu disebut sebagai jaringan virtual hub. Saat ini, hanya Azure Firewall Policy yang didukung. Anda dapat melakukan peering spoke jaringan virtual yang berisi server dan layanan beban kerja Anda. Anda juga dapat mengelola firewall di jaringan virtual mandiri yang tidak di-peering ke spoke apa pun.
Fitur Azure Firewall Manager
Azure Firewall Manager menawarkan fitur berikut:
Penyebaran dan konfigurasi Central Azure Firewall
Anda dapat menyebarkan dan mengkonfigurasi beberapa instans Azure Firewall secara terpusat yang mencakup berbagai wilayah dan langganan Azure.
Kebijakan hierarkis (global dan lokal)
Anda dapat menggunakan Azure Firewall Manager untuk mengelola kebijakan Azure Firewall secara terpusat di beberapa hub virtual aman. Tim TI pusat Anda dapat menulis kebijakan firewall global untuk menegakkan kebijakan firewall luas organisasi di seluruh tim. Kebijakan firewall yang ditulis secara lokal memungkinkan model layanan mandiri Azure DevOps untuk kelincahan yang lebih baik.
Terintegrasi dengan keamanan sebagai layanan pihak ketiga untuk keamanan tingkat lanjut
Selain Azure Firewall, Anda dapat mengintegrasikan penyedia keamanan sebagai layanan (SECaaS) pihak ketiga untuk memberikan proteksi jaringan tambahan untuk VNet dan koneksi Internet cabang Anda.
Fitur ini hanya tersedia dengan penyebaran hub virtual aman.
Pemfilteran lalu lintas VNet ke Internet (V2I)
- Filter lalu lintas jaringan virtual keluar dengan penyedia keamanan pihak ketiga pilihan Anda.
- Manfaatkan proteksi Internet berbasis pengguna tingkat lanjut untuk beban kerja cloud Anda yang berjalan di Azure.
- Filter lalu lintas jaringan virtual keluar dengan penyedia keamanan pihak ketiga pilihan Anda.
Pemfilteran lalu lintas Cabang ke Internet (B2I) Memanfaatkan konektivitas Azure dan distribusi global Anda untuk dengan mudah menambahkan pemfilteran pihak ketiga untuk skenario cabang ke Internet.
Manajemen rute terpusat
Rutekan lalu lintas dengan mudah ke hub aman Anda untuk pemfilteran dan pengelogan tanpa perlu mengatur Rute Yang Ditentukan Pengguna (UDR) secara manual pada jaringan virtual spoke.
Fitur ini hanya tersedia dengan penyebaran hub virtual aman.
Anda dapat menggunakan penyedia pihak ketiga untuk pemfilteran lalu lintas Cabang ke Internet (B2I), berdampingan dengan Azure Firewall untuk Cabang ke VNet (B2V), VNet ke VNet (V2V) dan VNet ke Internet (V2I).
Paket perlindungan DDoS
Anda dapat mengaitkan jaringan virtual Anda dengan paket perlindungan DDoS dalam Azure Firewall Manager. Lihat Mengonfigurasi Paket Azure DDoS Protection dengan menggunakan Azure Firewall Manager untuk informasi lebih lanjut.
Mengelola kebijakan Web Application Firewall
Anda dapat membuat dan mengaitkan kebijakan persetujuan (WAF) secara terpusat untuk platform pengiriman aplikasi Anda, termasuk Azure Front Door dan Azure Application Gateway. Untuk mengetahui informasi lebih lanjut, lihat Mengelola kebijakan Web Application Firewall.
Ketersediaan wilayah
Kebijakan Azure Firewall dapat digunakan di seluruh wilayah. Misalnya, Anda dapat membuat kebijakan di US Barat, dan menggunakannya di US Timur.