Funzionalità di Firewall di Azure Premium

PCI certification logo

Firewall di Azure Premium offre la protezione avanzata delle minacce che soddisfa le esigenze di ambienti altamente sensibili e regolamentati, ad esempio i settori sanitari e di pagamento.

Le organizzazioni possono usare funzionalità di unità di mantenimento delle scorte Premium (SKU) come IDPS e ispezione TLS per impedire la diffusione di malware e virus tra reti in direzioni laterali e orizzontali. Per soddisfare le maggiori esigenze di prestazioni dell'ispezione IDPS e TLS, Firewall di Azure Premium usa un SKU di macchina virtuale più potente. Analogamente allo SKU Standard, lo SKU Premium può aumentare facilmente fino a 100 Gbps e integrarsi con le zone di disponibilità per supportare il contratto di servizio (SLA) del 99,99%. L'SKU Premium è conforme alle esigenze dell'ambiente PCI DSS (Payment Card Industry Data Security Standard).

Azure Firewall Premium overview diagram

Firewall di Azure Premium include le funzionalità seguenti:

  • Ispezione TLS: decrittografa il traffico in uscita, elabora i dati, quindi crittografa i dati e li invia alla destinazione.
  • IDPS : un sistema di rilevamento e prevenzione delle intrusioni di rete (IDPS) consente di monitorare le attività di rete per attività dannose, registrare informazioni su questa attività, segnalarlo e, facoltativamente, tentare di bloccarlo.
  • Filtro URL: estende la funzionalità di filtro FQDN di Firewall di Azure per prendere in considerazione un intero URL insieme a qualsiasi percorso aggiuntivo. Ad esempio, www.contoso.com/a/c anziché www.contoso.com.
  • Categorie Web : gli amministratori possono consentire o negare l'accesso degli utenti a categorie di siti Web come siti web di gioco d'azzardo, siti Web di social media e altri.

Per confrontare Firewall di Azure funzionalità per tutti gli SKU del firewall, vedere Scegliere lo SKU di Firewall di Azure appropriato per soddisfare le proprie esigenze.

Ispezione TLS

Il protocollo TLS (Transport Layer Security) fornisce principalmente la crittografia per privacy, integrità e autenticità usando certificati tra due o più applicazioni di comunicazione. Viene eseguito nel livello dell'applicazione ed è ampiamente usato per crittografare il protocollo HTTP.

Il traffico crittografato presenta un possibile rischio per la sicurezza e può nascondere attività utente illegali e traffico dannoso. Firewall di Azure senza ispezione TLS (come illustrato nel diagramma seguente) non ha visibilità sui dati trasmessi nel tunnel TLS crittografato, quindi non può fornire una copertura di protezione completa.

Il secondo diagramma mostra come Firewall di Azure Premium termina e controlla le connessioni TLS per rilevare, avvisare e attenuare le attività dannose in HTTPS. Il firewall crea due connessioni TLS dedicate: una con il server Web (contoso.com) e un'altra connessione con il client. Usando il certificato ca fornito dal cliente, genera un certificato in tempo reale, che sostituisce il certificato del server Web e lo condivide con il client per stabilire la connessione TLS tra il firewall e il client.

Firewall di Azure senza ispezione TLS:End-to-end TLS for Azure Firewall Standard

Firewall di Azure con ispezione TLS:TLS with Azure Firewall Premium

I casi d'uso seguenti sono supportati con Firewall di Azure:

  • Ispezione TLS in uscita

    Per proteggersi da traffico dannoso inviato da un client interno ospitato in Azure a Internet.

  • Ispezione TLS east-west (include il traffico che passa da/verso una rete locale)

    Per proteggere i carichi di lavoro di Azure da potenziali traffico dannoso inviato dall'interno di Azure.

Il caso d'uso seguente è supportato da Web application firewall di Azure nel gateway di app Azure lication:

  • Ispezione TLS in ingresso

    Per proteggere i server interni o le applicazioni ospitate in Azure da richieste dannose che arrivano da Internet o da una rete esterna. gateway applicazione fornisce la crittografia end-to-end.

Suggerimento

TLS 1.0 e 1.1 sono deprecati e non saranno supportati. Le versioni TLS 1.0 e 1.1 di TLS/Secure Sockets Layer (SSL) sono state trovate vulnerabili e, mentre attualmente funzionano per consentire la compatibilità con le versioni precedenti, non sono consigliate. Eseguire la migrazione a TLS 1.2 il prima possibile.

Per altre informazioni sui requisiti di certificato Firewall di Azure Ca Premium Intermedio, vedere Firewall di Azure certificati Premium.

Per altre informazioni sull'ispezione TLS, vedere Compilazione di un modello di verifica per l'ispezione TLS in Firewall di Azure.

IDPS

Un sistema di rilevamento e prevenzione delle intrusioni di rete (IDPS) consente di monitorare la rete per individuare attività pericolose, registrare informazioni su queste attività, segnalarle e, facoltativamente, tentare di bloccarle.

Firewall di Azure Premium fornisce IDPS basato su firme per consentire il rilevamento rapido degli attacchi cercando modelli specifici, ad esempio sequenze di byte nel traffico di rete o sequenze di istruzioni dannose note usate dal malware. Le firme IDPS sono applicabili sia per il traffico a livello di applicazione che di rete (livelli 3-7). Sono completamente gestiti e aggiornati continuamente. L'IDPS può essere applicato al traffico in ingresso, spoke-to-spoke (Orizzontale destra-sinistra) e in uscita. Spoke-to-spoke (East-West) include il traffico che passa da/verso una rete locale. È possibile configurare gli intervalli di indirizzi IP privati IDPS usando la funzionalità Intervalli IP privati. Per altre informazioni, vedere Intervalli IP privati IDPS.

Le firme/i set di regole di Firewall di Azure includono:

  • Un'enfasi sull'impronta digitale del malware effettivo, di comando e controllo, dei kit di exploit e delle attività dannose non rilevate dai metodi di prevenzione tradizionali.
  • Oltre 67.000 regole in oltre 50 categorie.
    • Le categorie includono il comando e il controllo malware, phishing, trojan, botnet, eventi informativi, exploit, vulnerabilità, protocolli di rete SCADA, attività del kit di exploit e altro ancora.
  • Ogni giorno vengono rilasciate da 20 a 40 nuove regole.
  • Valutazione dei falsi positivi bassa usando tecniche di rilevamento malware all'avanguardia, ad esempio il ciclo di feedback della rete dei sensori globale.

IDPS consente di rilevare gli attacchi in tutte le porte e i protocolli per il traffico non crittografato. Tuttavia, quando è necessario controllare il traffico HTTPS, Firewall di Azure può usare la funzionalità di ispezione TLS per decrittografare il traffico e rilevare meglio le attività pericolose.

L'elenco di bypass IDPS è una configurazione che consente di non filtrare il traffico verso indirizzi IP, intervalli e subnet specificati nell'elenco di bypass. L'elenco di bypass IDPS non è progettato per migliorare le prestazioni della velocità effettiva, poiché il firewall è ancora soggetto alle prestazioni associate al caso d'uso. Per altre informazioni, vedere Firewall di Azure prestazioni.

Screenshot showing the IDPS Bypass list screen.

Intervalli IP privati IDPS

In Firewall di Azure IDPS Premium, gli intervalli di indirizzi IP privati vengono usati per identificare se il traffico è in ingresso, in uscita o interno (East-West). Ogni firma viene applicata a una direzione del traffico specifica, come indicato nella tabella delle regole di firma. Per impostazione predefinita, solo gli intervalli definiti da IANA RFC 1918 sono considerati indirizzi IP privati. Pertanto, il traffico inviato da un intervallo di indirizzi IP privati a un intervallo di indirizzi IP privati viene considerato interno. Per modificare gli indirizzi IP privati, è ora possibile modificare, rimuovere o aggiungere intervalli in base alle esigenze.

Screenshot showing IDPS private IP address ranges.

Regole di firma IDPS

Le regole di firma IDPS consentono di:

  • Personalizzare una o più firme e modificarne la modalità in Disabilitato, Avviso o Avviso e Nega.

    Ad esempio, se si riceve un falso positivo in cui una richiesta legittima viene bloccata da Firewall di Azure a causa di una firma non corretta, è possibile usare l'ID firma dai log delle regole di rete e impostare la relativa modalità IDPS su disattivata. In questo modo la firma che presenta l'errore verrà ignorata e il problema del falso positivo si risolverà.

  • È possibile applicare la stessa procedura di ottimizzazione per le firme che creano troppi avvisi con priorità bassa e pertanto interferiscono con la visibilità per gli avvisi con priorità alta.

  • Ottenere una visione olistica dell'intera 55.000 firme

  • Ricerca intelligente

    Questa azione consente di eseguire ricerche nell'intero database delle firme in base a qualsiasi tipo di attributo. Ad esempio, è possibile cercare CVE-ID specifico per individuare quali firme si occupano di questo CVE digitando l'ID nella barra di ricerca.

Le regole di firma IDPS hanno le proprietà seguenti:

Colonna Descrizione
ID firma ID interno per ogni firma. Questo ID viene visualizzato anche nei log delle regole di rete Firewall di Azure.
Modalità Indica se la firma è attiva o meno e se il firewall elimina o avvisa il traffico corrispondente. La modalità di firma seguente può eseguire l'override della modalità IDPS
- Disabilitata: la firma non è abilitata nel firewall.
- Avviso: si ricevono avvisi quando viene rilevato traffico sospetto.
- Avviso e negazione: si ricevono avvisi e traffico sospetto bloccato. Per impostazione predefinita, alcune categorie di firme sono definite come "Solo avvisi", pertanto il traffico corrispondente alle firme non viene bloccato anche se la modalità IDPS è impostata su "Avviso e nega". I clienti possono eseguire l'override di questa impostazione personalizzando queste firme specifiche in modalità "Avviso e Nega".

La modalità di firma IDPS è determinata da uno dei motivi seguenti:

1. Definito dalla modalità criteri : la modalità firma è derivata dalla modalità IDPS dei criteri esistenti.
2. Definito da Criteri padre: la modalità firma è derivata dalla modalità IDPS dei criteri padre.
3. Sottoposto a override: è possibile eseguire l'override e personalizzare la modalità firma.
4. Definita dal sistema - La modalità firma è impostata su Solo avviso dal sistema a causa della relativa categoria. È possibile eseguire l'override di questa modalità di firma.

Nota: gli avvisi IDPS sono disponibili nel portale tramite query di log delle regole di rete.
Gravità Ogni firma ha un livello di gravità associato e una priorità assegnata che indica la probabilità che la firma sia un attacco effettivo.
- Bassa (priorità 3): viene registrato un evento anomalo che normalmente non si verifica in una rete o in eventi informativi. La probabilità di attacco è bassa.
- Media (priorità 2): la firma indica un attacco di natura sospetta. L'amministratore deve indagare ulteriormente.
- Alta (priorità 1): le firme di attacco indicano che viene lanciato un attacco di natura grave. C'è poca probabilità che i pacchetti abbiano uno scopo legittimo.
Direzione Direzione del traffico per cui viene applicata la firma.

- In ingresso: la firma viene applicata solo al traffico in arrivo da Internet e destinato all'intervallo di indirizzi IP privati configurato.
- In uscita: la firma viene applicata solo al traffico inviato dall'intervallo di indirizzi IP privati configurato a Internet.
- Interno: la firma viene applicata solo al traffico inviato e destinato all'intervallo di indirizzi IP privati configurato.
- Interno/in ingresso: la firma viene applicata al traffico in arrivo dall'intervallo di indirizzi IP privati configurato o da Internet e destinato all'intervallo di indirizzi IP privati configurato.
- Interno/In uscita: la firma viene applicata al traffico inviato dall'intervallo di indirizzi IP privati configurato e destinato all'intervallo di indirizzi IP privati configurato o a Internet.
- Any: la firma viene sempre applicata a qualsiasi direzione del traffico.
Raggruppa Nome del gruppo a cui appartiene la firma.
Descrizione Strutturata dalle tre parti seguenti:
- Nome categoria: nome della categoria a cui appartiene la firma, come descritto in Firewall di Azure categorie di regole di firma IDPS.
- Descrizione generale della firma
- CVE-ID (facoltativo) nel caso in cui la firma sia associata a un CVE specifico.
Protocollo Protocollo associato a questa firma.
Porte di origine/destinazione Porte associate a questa firma.
Ultimo aggiornamento Data dell'ultima introduzione o modifica della firma.

Screenshot showing the IDPS signature rule columns.

Per altre informazioni su IDPS, vedere Acquisizione di Firewall di Azure IDPS in un test drive.

Filtro degli URL

Il filtro URL estende la funzionalità di filtro FQDN di Firewall di Azure per prendere in considerazione un intero URL. Ad esempio, www.contoso.com/a/c anziché www.contoso.com.

Il filtro URL può essere applicato sia sul traffico HTTP che sul traffico HTTPS. Quando viene controllato il traffico HTTPS, Firewall di Azure Premium può usare la funzionalità di ispezione TLS per decrittografare il traffico ed estrarre l'URL di destinazione per verificare se l'accesso è consentito. L'ispezione TLS richiede il consenso esplicito a livello di regola dell'applicazione. Dopo l'abilitazione, è possibile usare gli URL per filtrare con HTTPS.

Categorie Web

Le categorie Web consentono agli amministratori di consentire o negare l'accesso degli utenti a categorie di siti Web, ad esempio siti web di gioco d'azzardo, siti Web di social media e altri. Le categorie Web sono incluse anche in Firewall di Azure Standard, ma è più ottimizzato in Firewall di Azure Premium. A differenza della funzionalità di categorie Web nello SKU Standard, in cui viene trovata la corrispondenza con la categoria in base a un nome di dominio completo (FQDN), lo SKU Premium trova la corrispondenza con la categoria in base all'intero URL per il traffico HTTP e HTTPS.

Firewall di Azure categorie Web Premium sono disponibili solo nei criteri firewall. Assicurarsi che lo SKU dei criteri corrisponda allo SKU dell'istanza del firewall. Ad esempio, se si dispone di un'istanza di Firewall Premium, è necessario usare un criterio Firewall Premium.

Ad esempio, se Firewall di Azure intercetta una richiesta HTTPS per www.google.com/news, è prevista la categorizzazione seguente:

  • Firewall Standard: viene esaminata solo la parte FQDN, quindi www.google.com viene categorizzata come motore di ricerca.

  • Firewall Premium: viene esaminato l'URL completo, quindi www.google.com/news viene categorizzato come Notizie.

Le categorie sono organizzate in base alla gravità in Responsabilità, Larghezza di banda elevata, Utilizzo aziendale, Perdita di produttività, Navigazione generale e Senza categoria. Per una descrizione dettagliata delle categorie Web, vedere Firewall di Azure categorie Web.

Registrazione delle categorie Web

È possibile visualizzare il traffico filtrato in base alle categorie Web nei log applicazioni. Il campo Categorie Web viene visualizzato solo se è stato configurato in modo esplicito nelle regole dell'applicazione dei criteri firewall. Ad esempio, se non si dispone di una regola che nega in modo esplicito i motori di ricerca e un utente richiede di passare a www.bing.com, viene visualizzato solo un messaggio di rifiuto predefinito anziché un messaggio di categorie Web. Ciò è dovuto al fatto che la categoria Web non è stata configurata in modo esplicito.

Eccezioni di categoria

È possibile creare eccezioni alle regole delle categorie Web. Creare una raccolta di regole di autorizzazione o negazione separata con una priorità più alta all'interno del gruppo di raccolte regole. Ad esempio, è possibile configurare una raccolta regole che consenta www.linkedin.com con priorità 100, con una raccolta regole che nega social networking con priorità 200. In questo modo viene creata l'eccezione per la categoria Web di social networking predefinita.

È possibile identificare la categoria di un determinato FQDN o URL usando la funzionalità Verifica categoria Web. Per usarlo, selezionare la scheda Categorie Web in Criteri firewall Impostazioni. Ciò è utile quando si definiscono le regole dell'applicazione per il traffico di destinazione.

Firewall category search dialog

Importante

Per usare la funzionalità Verifica categoria Web, l'utente deve avere accesso a Microsoft.Network/azureWebCategories/getwebcategory/action per il livello di sottoscrizione, non a livello di gruppo di risorse.

Modifica della categoria

Nella scheda Categorie Web in Impostazioni criteri firewall è possibile richiedere una modifica della categoria se si:

  • pensare che un FQDN o UN URL sia in una categoria diversa

    oppure

  • avere una categoria suggerita per un FQDN o UN URL senza categoria

Dopo aver inviato un report di modifica della categoria, viene assegnato un token nelle notifiche che indicano che è stata ricevuta la richiesta di elaborazione. È possibile verificare se la richiesta è in corso, negata o approvata immettendo il token nella barra di ricerca. Assicurarsi di salvare l'ID del token a tale scopo.

Firewall category report dialog

Categorie Web che non supportano la terminazione TLS

A causa di motivi di privacy e conformità, alcuni traffico Web crittografato non possono essere decrittografati usando la terminazione TLS. Ad esempio, i dati sull'integrità dei dipendenti trasmessi attraverso il traffico Web su una rete aziendale non devono essere terminati da TLS a causa di motivi di privacy.

Di conseguenza, le categorie Web seguenti non supportano la terminazione TLS:

  • Istruzione
  • Dati finanziari
  • Enti pubblici
  • Salute e medicina

Come soluzione alternativa, se si vuole che un URL specifico supporti la terminazione TLS, è possibile aggiungere manualmente gli URL con terminazione TLS nelle regole dell'applicazione. Ad esempio, è possibile aggiungere www.princeton.edu alle regole dell'applicazione per consentire questo sito Web.

Aree geografiche supportate

Per le aree supportate per Firewall di Azure, vedere Prodotti Azure disponibili in base all'area.

Passaggi successivi