Che cos'è Gestione firewall di Azure?
Gestione firewall di Azure è un servizio di gestione della sicurezza che fornisce funzionalità di gestione dei criteri di sicurezza e delle route centralizzate per i perimetri di sicurezza basati sul cloud.
Gestione firewall può garantire la gestione della sicurezza per due tipi di architettura di rete:
Hub virtuale protetto
Un hub di rete WAN virtuale di Azure è una risorsa gestita da Microsoft che consente di creare facilmente architetture hub-spoke. Quando i criteri di sicurezza e routing vengono associati a un hub di questo tipo, quest'ultimo viene definito hub virtuale protetto .
Rete virtuale hub
È una rete virtuale di Azure standard creata e gestita dall'utente. Quando a un hub di questo tipo sono associati criteri di sicurezza, l'hub è definito rete virtuale hub. Attualmente sono supportati solo criteri firewall di Azure. È possibile eseguire il peering di reti virtuali spoke contenenti i servizi e i server del carico di lavoro, nonché gestire firewall in reti virtuali autonome non connesse tramite peering a spoke.
Per un confronto dettagliato delle architetture di tipo hub virtuale protetto e rete virtuale hub, vedere Informazioni sulle opzioni disponibili per l'architettura di Gestione firewall di Azure.
Funzionalità di Gestione firewall di Azure
Gestione firewall di Azure offre le funzionalità seguenti:
Distribuzione e configurazione centrale Firewall di Azure
È possibile distribuire e configurare in modo centralizzato più istanze di Firewall di Azure che si estendono in diverse aree e sottoscrizioni di Azure.
Criteri gerarchici (globale e locale)
È possibile usare Gestione firewall di Azure per gestire in modo centralizzato i criteri di Firewall di Azure tra più hub virtuali protetti. I team IT centrali possono creare criteri firewall globali per applicare i criteri firewall dell'organizzazione a tutti i team. I criteri firewall creati localmente consentono un modello self-service DevOps per una maggiore agilità.
Integrato con una soluzione di security come servizio di terze parti per una sicurezza avanzata
Oltre a Firewall di Azure, è possibile integrare i provider di terze parti per la security come servizio (SECaas) per fornire una protezione di rete aggiuntiva alle connessioni di rete virtuale e branch per Internet.
Questa funzionalità è disponibile solo con distribuzioni di tipo hub virtuale protetto.
Filtro del traffico da VNet a Internet (V2I)
- Filtrare il traffico di rete virtuale in uscita con provider di sicurezza di terze parti preferito.
- Sfruttare la protezione Internet avanzata in grado di riconoscere l'utente per i carichi di lavoro su cloud in esecuzione in Azure.
Filtro del traffico da branch a Internet (B2I)
Sfruttare la connettività di Azure e la distribuzione globale per aggiungere con facilità il filtro di terze parti per gli scenari da branch a Internet.
Per altre informazioni sui provider partner di sicurezza, vedere Che cosa sono i provider partner di sicurezza di Gestione firewall di Azure?
Gestione centralizzata della route
È possibile instradare facilmente il traffico all'hub protetto per filtrare e accedere senza il bisogno di impostare route definite dall'utente alle reti virtuali spoke.
Questa funzionalità è disponibile solo con distribuzioni di tipo hub virtuale protetto.
È possibile usare provider di terze parti per il filtro del traffico da branch a Internet (B2I), affiancato con Firewall di Azure per il filtro da branch a rete virtuale (B2V), da rete virtuale a rete virtuale (V2V) e da rete virtuale a Internet (V2I).
Piano di protezione DDoS
È possibile associare le reti virtuali a un piano di protezione DDoS all'interno di Gestione firewall di Azure. Per altre informazioni, vedere Configurare un piano di protezione DDoS di Azure usando Firewall di Azure Manager.
Gestire i criteri di Web application firewall
È possibile creare e associare i criteri di Web application firewall (WAF) in modo centralizzato per le piattaforme di distribuzione delle applicazioni, tra cui il servizio Frontdoor di Azure e il gateway applicazione di Azure. Per altre informazioni, vedere Gestire i criteri di Web application firewall.
Aree di disponibilità
I criteri firewall di Azure possono essere usati in tutte le aree. Ad esempio, è possibile creare un criterio all'interno degli Stati Uniti occidentali e usarlo negli Stati Uniti orientali.
Problemi noti
Gestione firewall di Azure presenta i problemi noti seguenti:
| Problema | Descrizione | Strategia di riduzione del rischio |
|---|---|---|
| Suddivisione del traffico | La suddivisione del traffico di Microsoft 365 e del traffico PaaS pubblico di Azure non è attualmente supportata. Se si seleziona un provider di terze parti per V2I o B2I, viene quindi inviato tramite il servizio partner anche tutto il traffico PaaS pubblico di Azure e il traffico di Microsoft 365. | È attualmente in corso l'analisi della suddivisione del traffico nell'hub. |
| I criteri di base devono trovarsi nella stessa area dei criteri locali | Creare tutti i criteri locali nella stessa area dei criteri di base. È comunque possibile applicare un criterio creato in un'area in un hub protetto di un'altra area. | Analisi in corso |
| Applicazione di filtri al traffico tra hub in distribuzioni sicure degli hub virtuali | Il filtro delle comunicazioni dell'hub virtuale protetto per l'hub virtuale protetto è supportato con la funzionalità Finalità di routing. | Abilitare la finalità di routing nell'hub rete WAN virtuale impostando Inter-hub su Abilitato in Firewall di Azure Manager. Per altre informazioni su questa funzionalità, vedere La documentazione relativa alla finalità di routing. |
| Traffico tra rami con filtri abilitati per il traffico privato | Il ramo al traffico di ramo può essere controllato da Firewall di Azure negli scenari dell'hub protetti se la finalità di routing è abilitata. | Abilitare la finalità di routing nell'hub rete WAN virtuale impostando Inter-hub su Abilitato in Firewall di Azure Manager. Per altre informazioni su questa funzionalità, vedere La documentazione relativa alla finalità di routing. |
| Tutti gli hub virtuali protetti che condividono la stessa rete WAN virtuale devono risiedere nello stesso gruppo di risorse. | Questo comportamento è attualmente allineato agli hub di rete WAN virtuale. | Creare più reti WAN virtuali per consentire la creazione di hub virtuali protetti in gruppi di risorse diversi. |
| L'aggiunta in blocco di indirizzi IP non riesce | Se si aggiungono più indirizzi IP pubblici, il firewall dell'hub protetto entra in uno stato di errore. | Aggiungere incrementi più piccoli di indirizzi IP pubblici. Ad esempio, aggiungerne 10 alla volta. |
| Protezione DDoS non supportata con hub virtuali protetti | Protezione DDoS non è integrata con vWANs. | Analisi in corso |
| I log attività non sono supportati completamente | Il criterio firewall non supporta attualmente i log attività. | Analisi in corso |
| Descrizione delle regole non completamente supportate | I criteri del firewall non visualizzano la descrizione delle regole in un'esportazione di Resource Manager. | Analisi in corso |
| Firewall di Azure Manager sovrascrive route statiche e personalizzate causando tempi di inattività nell'hub WAN virtuale. | Non è consigliabile usare Firewall di Azure Manager per gestire le impostazioni nelle distribuzioni configurate con route personalizzate o statiche. Aggiornamenti da Gestione firewall può sovrascrivere le impostazioni di route statiche o personalizzate. | Se si usano route statiche o personalizzate, usare la pagina rete WAN virtuale per gestire le impostazioni di sicurezza ed evitare la configurazione tramite Firewall di Azure Manager. Per altre informazioni, vedere Scenario: Firewall di Azure - personalizzato. |