Quando usare Firewall di Azure Premium
Le organizzazioni possono usare Firewall di Azure funzionalità Premium come IDPS e ispezione TLS per impedire la diffusione di malware e virus tra reti in direzioni laterali e orizzontali. Per soddisfare le maggiori esigenze di prestazioni dell'ispezione IDPS e TLS, Firewall di Azure Premium usa un SKU di macchina virtuale più potente. Analogamente all'SKU Standard, l'SKU Premium può aumentare facilmente fino a 30 Gbps e integrarsi con le zone di disponibilità per supportare un contratto di servizio (SLA) del 99,99%. L'SKU Premium è conforme alle esigenze dell'ambiente PCI DSS (Payment Card Industry Data Security Standard).
Per decidere se Firewall di Azure Premium sia adatto all'organizzazione, considerare gli scenari seguenti:
Si vuole esaminare il traffico di rete crittografato TLS in uscita
Firewall di Azure'ispezione TLS Premium può decrittografare il traffico in uscita, elaborare i dati, quindi crittografare i dati e inviarli alla destinazione.
Firewall di Azure Premium termina le connessioni TLS in uscita ed est-ovest. L'ispezione TLS in ingresso è supportata con Gateway applicazione di Azure, che consente la crittografia end-to-end. Firewall di Azure esegue le funzioni di sicurezza a valore aggiunto necessarie e crittografa nuovamente il traffico inviato alla destinazione originale.
Si vuole proteggere la rete usando il rilevamento del traffico pericoloso basato su firma
Un sistema di rilevamento e prevenzione delle intrusioni di rete (IDPS) consente di monitorare la rete per individuare attività dannose. Consente inoltre di registrare informazioni su questa attività, segnalarla e, facoltativamente, tentare di bloccarla.
Firewall di Azure Premium fornisce IDPS basato su firme per consentire il rilevamento rapido degli attacchi cercando modelli specifici, ad esempio sequenze di byte nel traffico di rete o sequenze di istruzioni dannose note usate dal malware. Le firme IDPS sono applicabili sia per il traffico a livello di applicazione che di rete (livelli 4-7). Sono completamente gestiti e aggiornati continuamente. È possibile applicare IDPS al traffico in ingresso, spoke-to-spoke (East-West) e in uscita.
Le firme/i set di regole di Firewall di Azure includono:
- Un'enfasi sull'impronta digitale del malware effettivo, di comando e controllo, dei kit di exploit e delle attività dannose non rilevate dai metodi di prevenzione tradizionali.
- Oltre 55.000 regole in più di 50 categorie.
- Le categorie includono il comando e il controllo malware, attacchi DoS, botnet, eventi informativi, exploit, vulnerabilità, protocolli di rete SCADA, attività dei kit di exploit e altro ancora.
- Ogni giorno vengono rilasciate da 20 a 40 nuove regole.
- Tasso ridotto di falsi positivi grazie all'utilizzo di sandbox malware all'avanguardia e un ciclo di feedback da sensori di rete globali.
IDPS consente di rilevare gli attacchi in tutte le porte e i protocolli per il traffico non crittografato. Tuttavia, quando è necessario controllare il traffico HTTPS, Firewall di Azure può usare la funzionalità di ispezione TLS per decrittografare il traffico e rilevare meglio le attività pericolose.
L'elenco di bypass IDPS consente di non filtrare il traffico verso indirizzi IP, intervalli e subnet specificati nell'elenco di bypass.
È anche possibile usare le regole di firma quando la modalità IDPS è impostata su Avviso. Esistono tuttavia una o più firme specifiche da bloccare, incluso il traffico associato. In questo caso, è possibile aggiungere nuove regole di firma impostando la modalità di ispezione TLS su Nega.
Si vuole estendere la funzionalità di filtro FQDN di Firewall di Azure per prendere in considerazione un intero URL
Firewall di Azure Premium è in grado di applicare filtri a un URL intero. Ad esempio, www.contoso.com/a/c anziché www.contoso.com.
Il filtro URL può essere applicato sia sul traffico HTTP che sul traffico HTTPS. Quando viene controllato il traffico HTTPS, Firewall di Azure Premium può usare la funzionalità di ispezione TLS per decrittografare il traffico ed estrarre l'URL di destinazione per verificare se l'accesso è consentito. L'ispezione TLS richiede il consenso esplicito a livello di regola dell'applicazione. Dopo l'abilitazione, è possibile usare gli URL per filtrare con HTTPS.
Si vuole consentire o negare l'accesso in base alle categorie
La funzionalità Categorie Web consente agli amministratori di consentire o negare l'accesso degli utenti a categorie di siti Web come siti Web di gioco d'azzardo, siti Web di social media e altri. Le categorie Web sono incluse anche in Firewall di Azure Standard, ma è più ottimizzato in Firewall di Azure Premium. A differenza della funzionalità di categorie Web nello SKU Standard, in cui viene trovata la corrispondenza con la categoria in base a un nome di dominio completo (FQDN), lo SKU Premium trova la corrispondenza con la categoria in base all'intero URL per il traffico HTTP e HTTPS.
Ad esempio, se Firewall di Azure intercetta una richiesta HTTPS per www.google.com/news, è prevista la categorizzazione seguente:
- Firewall Standard: viene esaminata solo la parte FQDN, quindi www.google.com viene categorizzata come motore di ricerca.
- Firewall Premium: viene esaminato l'URL completo, quindi www.google.com/news è categorizzato come Notizie.
Le categorie sono organizzate in base alla gravità in Responsabilità, Larghezza di banda elevata, Utilizzo aziendale, Perdita di produttività, Navigazione generale e Senza categoria.