Azure Well-Architected Framework-beoordeling - Azure Firewall

Dit artikel bevat architectuuraanbeveling voor Azure Firewall. De richtlijnen zijn gebaseerd op de vijf pijlers van uitstekende architectuur:

  • Betrouwbaarheid
  • Beveiliging
  • Kostenoptimalisatie
  • Operationele uitmuntendheid
  • Efficiëntie van prestaties

We gaan ervan uit dat u praktische kennis van Azure Firewall hebt en goed vertrouwd bent met de functies ervan. Zie overzicht van Azure Firewall voor meer informatie.

Vereisten

Betrouwbaarheid

Zie de volgende artikelen voor meer informatie over hoe Azure Firewall workloads betrouwbaar ondersteunt:

Controlelijst voor ontwerp

Bekijk de ontwerpprincipes voor betrouwbaarheid bij het maken van ontwerpkeuzen voor Azure Firewall.

  • Implementeer Azure Firewall in virtuele hubnetwerken of als onderdeel van Azure Virtual WAN-hubs.
  • Maak gebruik van Beschikbaarheidszones tolerantie.
  • Maak Azure Firewall beleidsstructuur.
  • Bekijk de lijst Bekende problemen.
  • Bewaak Azure Firewall status.

Notitie

Er zijn verschillen in de beschikbaarheid van netwerkservices tussen het traditionele Hub & Spoke-model en Virtual WAN beheerde beveiligde hubs. In een Virtual WAN Hub kan het Azure Firewall openbaar IP-adres bijvoorbeeld niet worden opgehaald uit een openbaar IP-voorvoegsel en kan DDoS Protection niet zijn ingeschakeld. Bij de keuze van het ene of het andere model moet rekening worden gehouden met de vereisten voor alle vijf de pijlers van het Well-Architected Framework.

Aanbevelingen

Bekijk de volgende tabel met aanbevelingen om uw Azure Firewall-configuratie te optimaliseren voor betrouwbaarheid.

Aanbeveling Voordeel
Gebruik Azure Firewall Manager met traditionele Hub & Spokes- of Azure Virtual WAN-netwerktopologieën om exemplaren van Azure Firewall te implementeren en te beheren. Maak eenvoudig hub-and-spoke- en transitieve architecturen met systeemeigen beveiligingsservices voor verkeersgovernance en -beveiliging.

Zie de documentatie voor Azure Cloud Adoption Framework voor meer informatie over netwerktopologieën.
Maak Azure Firewall-beleid om de beveiligingspostuur in wereldwijde netwerkomgevingen te beheren. Wijs beleidsregels toe aan alle exemplaren van Azure Firewall. Azure Firewall Beleidsregels kunnen worden gerangschikt in een hiërarchische structuur om een centraal basisbeleid te overlays. Sta gedetailleerde beleidsregels toe om te voldoen aan de vereisten van specifieke regio's. Delegeer incrementeel firewallbeleid aan lokale beveiligingsteams via op rollen gebaseerd toegangsbeheer (RBAC). Sommige instellingen zijn specifiek per exemplaar, bijvoorbeeld DNAT-regels en DNS-configuratie. Vervolgens zijn mogelijk meerdere gespecialiseerde beleidsregels vereist.
Migreer Azure Firewall klassieke regels naar Azure Firewall Manager-beleid voor bestaande implementaties. Migreer voor bestaande implementaties Azure Firewall regels naar Azure Firewall Manager-beleid. Gebruik Azure Firewall Manager om uw firewalls en beleidsregels centraal te beheren.

Zie Migreren naar Azure Firewall Premium voor meer informatie.
Bekijk de lijst met bekende Azure Firewall problemen. Azure Firewall productgroep houdt een bijgewerkte lijst bij met bekende problemen op deze locatie. Deze lijst bevat belangrijke informatie met betrekking tot ontwerpgedrag, oplossingen in aanbouw, platformbeperkingen, samen met mogelijke tijdelijke oplossingen of risicobeperking.
Zorg ervoor dat uw Azure Firewall-beleid voldoet aan Azure Firewall limieten en aanbevelingen. Er gelden limieten voor de beleidsstructuur, waaronder het aantal regels en regelverzamelingsgroepen, de totale beleidsgrootte, de bron-/doelbestemmingen. Zorg ervoor dat u uw beleid opstelt en achter de gedocumenteerde drempelwaarden blijft.
Implementeer Azure Firewall in meerdere beschikbaarheidszones voor een hogere Service Level Agreement (SLA). Azure Firewall biedt verschillende SLA's wanneer deze wordt geïmplementeerd in één beschikbaarheidszone en wanneer deze in meerdere zones wordt geïmplementeerd. Zie SLA voor Azure Firewall voor meer informatie. Zie SLA-samenvatting voor Azure-services voor informatie over alle Azure SLA's.
Implementeer in omgevingen met meerdere regio's een Azure Firewall exemplaar per regio. Voor traditionele Hub & Spokes-architecturen worden in dit artikel details over meerdere regio's uitgelegd. Voor beveiligde virtuele hubs (Azure Virtual WAN) moeten de intentie en beleidsregels voor routering worden geconfigureerd om communicatie tussen hubs en vertakkingen te beveiligen. Voor workloads die zijn ontworpen om bestand te zijn tegen fouten en fouttolerant te zijn, moet u er rekening mee houden dat exemplaren van Azure Firewall en Azure Virtual Network als regionale resources.
Bewaak Azure Firewall metrische gegevens en Resource Health status. Controleer de belangrijkste metrische gegevens van Azure Firewall status, zoals doorvoer, firewallstatus, SNAT-poortgebruik en azfw-latentietest metrische gegevens. Daarnaast kan Azure Firewall nu worden geïntegreerd met Azure Resource Health. Met de Azure Firewall Resource Health controle kunt u nu de status van uw Azure Firewall bekijken en serviceproblemen oplossen die van invloed kunnen zijn op uw Azure Firewall resource.

Azure Advisor helpt u de continuïteit van uw bedrijfskritieke toepassingen te garanderen en te verbeteren. Bekijk de aanbevelingen van Azure Advisor.

Beveiliging

Beveiliging is een van de belangrijkste aspecten van een architectuur. Azure Firewall is een intelligente firewallbeveiligingsservice die bedreigingsbeveiliging biedt voor uw cloudworkloads die worden uitgevoerd in Azure.

Controlelijst voor ontwerp

Als u ontwerpkeuzen maakt voor Azure Firewall, bekijkt u de ontwerpprincipes voor beveiliging.

  • Bepaal of u geforceerde tunneling nodig hebt.
  • Regels maken voor beleidsregels op basis van toegangscriteria met minimale bevoegdheden.
  • Maak gebruik van Bedreigingsinformatie.
  • Schakel Azure Firewall DNS-proxy in.
  • Netwerkverkeer omleiden via Azure Firewall.
  • Bepaal of u SECaaS-providers (Security as a Service) van derden wilt gebruiken.
  • Bescherm uw Azure Firewall openbare IP-adressen met DDoS.

Aanbevelingen

Bekijk de volgende tabel met aanbevelingen om uw Azure Firewall configuratie voor beveiliging te optimaliseren.

Aanbeveling Voordeel
Indien nodig om al het internetverkeer naar een aangewezen volgende hop te routeren in plaats van rechtstreeks naar internet te gaan, configureert u Azure Firewall in de modus voor geforceerde tunneling (dit geldt niet voor Azure Virtual WAN). Azure Firewall moeten directe verbinding met internet hebben. Als uw AzureFirewallSubnet een standaardroute naar uw on-premises netwerk leert via het Border Gateway Protocol, moet u Azure Firewall configureren in de modus voor geforceerde tunneling. Met behulp van de functie geforceerde tunneling hebt u nog een /26-adresruimte nodig voor het subnet Azure Firewall Management. U moet de naam AzureFirewallManagementSubnet geven.

Als dit een bestaand Azure Firewall exemplaar is dat niet opnieuw kan worden geconfigureerd in de modus voor geforceerde tunneling, maakt u een UDR met een 0.0.0.0/0-route. Stel de waarde NextHopType in op Internet. Koppel deze aan AzureFirewallSubnet om de internetverbinding te behouden.
Stel het openbare IP-adres in op Geen om een volledig privégegevensvlak te implementeren wanneer u Azure Firewall configureert in de modus voor geforceerde tunneling (geldt niet voor Azure Virtual WAN). Wanneer u een nieuw Azure Firewall-exemplaar implementeert en u de modus voor geforceerde tunneling inschakelt, kunt u het openbare IP-adres instellen op Geen om een volledig privégegevensvlak te implementeren. Voor het beheervlak is echter alleen voor beheerdoeleinden een openbaar IP-adres vereist. Het interne verkeer van virtuele en on-premises netwerken gebruikt dat openbare IP-adres niet. Zie Azure Firewall geforceerde tunneling voor meer informatie over geforceerde tunneling.
Maak regels voor firewallbeleid op basis van toegangscriteria met minimale bevoegdheden. Azure Firewall Beleidsregels kunnen worden gerangschikt in een hiërarchische structuur om een centraal basisbeleid te overlays. Sta gedetailleerde beleidsregels toe om te voldoen aan de vereisten van specifieke regio's. Elk beleid kan verschillende sets DNAT-, netwerk- en toepassingsregels bevatten met een specifieke prioriteit, actie en verwerkingsvolgorde. Maak uw regels op basis van toegang met minimale bevoegdheden Zero Trust principe . In dit artikel wordt uitgelegd hoe regels worden verwerkt.
Schakel Bedreigingsinformatie in op Azure Firewall in de waarschuwings- en weigeringsmodus. U kunt filteren op basis van bedreigingsinformatie voor uw firewall inschakelen om verkeer van of naar onbekende IP-adressen en domeinen te waarschuwen en te weigeren. De IP-adressen en domeinen zijn afkomstig uit de Microsoft Threat Intelligence-feed. Intelligent Security Graph zorgt voor bedreigingsinformatie van Microsoft en wordt gebruikt door meerdere services, waaronder Microsoft Defender for Cloud.
Schakel IDPS in in de modus Waarschuwing of Waarschuwing en weigeren. IDPS is een van de krachtigste Azure Firewall (Premium) beveiligingsfuncties en moet worden ingeschakeld. Op basis van beveiligings- en toepassingsvereisten en rekening houdend met de impact op de prestaties (zie de sectie Kosten hieronder), kunnen de modi Waarschuwingof Waarschuwing en Weigeren worden geselecteerd.
Schakel Azure Firewall (DNS)-proxyconfiguratie in. Het inschakelen van deze functie wijst clients in de VNets naar Azure Firewall als een DNS-server. Het beschermt de interne DNS-infrastructuur die niet rechtstreeks wordt geopend en beschikbaar wordt gemaakt. Azure Firewall moet ook worden geconfigureerd voor het gebruik van aangepaste DNS die wordt gebruikt om DNS-query's door te sturen.
Configureer door de gebruiker gedefinieerde routes (UDR) om verkeer via Azure Firewall af te dwingen. Configureer in een traditionele Hub & Spokes-architectuur UDR's om verkeer via Azure Firewall voor SpoketoSpoke, SpoketoInterneten SpoketoHybrid connectiviteit af te dwingen. Configureer in plaats daarvan in Azure Virtual WAN routeringsintentie en -beleid om privé- en/of internetverkeer om te leiden via het Azure Firewall exemplaar dat is geïntegreerd in de hub.
Het gebruik van openbare IP-adressen beperken die rechtstreeks zijn gekoppeld aan Virtual Machines Om te voorkomen dat verkeer de firewall omzeilt, moet de koppeling van openbare IP-adressen met VM-netwerkinterfaces worden beperkt. In het CAF-model (Azure Cloud Adoption Framework) wordt een specifieke Azure Policy toegewezen aan de CORP-beheergroep.
Als UDR niet kan worden toegepast en alleen omleiding van webverkeer is vereist, kunt u overwegen Azure Firewall als expliciete proxy te gebruiken Als de expliciete proxyfunctie is ingeschakeld op het uitgaande pad, kunt u een proxy-instelling configureren in de verzendende webtoepassing (zoals een webbrowser) met Azure Firewall geconfigureerd als de proxy. Als gevolg hiervan bereikt webverkeer het privé-IP-adres van de firewall en wordt het rechtstreeks van de firewall verwijderd zonder een UDR te gebruiken. Deze functie vereenvoudigt ook het gebruik van meerdere firewalls zonder bestaande netwerkroutes te wijzigen.
Configureer ondersteunde SaaS-beveiligingsproviders (Software as a Service) van derden in Firewall Manager als u deze oplossingen wilt gebruiken om uitgaande verbindingen te beveiligen. U kunt uw vertrouwde, beste SECaaS-aanbiedingen van derden gebruiken om de internettoegang voor uw gebruikers te beschermen. Voor dit scenario is Azure Virtual WAN vereist met een S2S-VPN Gateway in de hub, omdat er een IPSec-tunnel wordt gebruikt om verbinding te maken met de infrastructuur van de provider. SECaaS-providers kunnen extra licentiekosten in rekening brengen en de doorvoer voor IPSec-verbindingen beperken. Er bestaan alternatieve oplossingen, zoals ZScaler Cloud Connector, die mogelijk geschikter zijn.
Gebruik FQDN-filtering (Fully Qualified Domain Name) in netwerkregels. U kunt FQDN gebruiken op basis van DNS-omzetting in Azure Firewall- en firewallbeleid. Met deze mogelijkheid kunt u uitgaand verkeer filteren met elk TCP/UDP-protocol (inclusief NTP, SSH, RDP en meer). U moet de configuratie van de Azure Firewall DNS-proxy inschakelen om FQDN's te gebruiken in uw netwerkregels. Zie FQDN-filtering in netwerkregels Azure Firewall voor meer informatie over hoe het werkt.
Gebruik servicetags in netwerkregels om selectieve toegang tot specifieke Microsoft-services in te schakelen. Een servicetag vertegenwoordigt een groep IP-adresvoorvoegsels die het maken van beveiligingsregel vereenvoudigt. Met behulp van servicetags in netwerkregels is het mogelijk om uitgaande toegang tot specifieke services in Azure, Dynamics en Office 365 in te schakelen zonder een breed scala aan IP-adressen te openen. Azure onderhoudt automatisch de toewijzing tussen deze tags en onderliggende IP-adressen die door elke service worden gebruikt. De lijst met servicetags die beschikbaar zijn voor Azure Firewall vindt u hier: Az Firewall Service Tags.
Gebruik FQDN-tags in toepassingsregels om selectieve toegang tot specifieke Microsoft-services in te schakelen. Een FQDN-tag vertegenwoordigt een groep volledig gekwalificeerde domeinnamen (FQDN's) die zijn gekoppeld aan bekende Microsoft-services. U kunt een FQDN-tag in toepassingsregels gebruiken om het vereiste uitgaande netwerkverkeer via uw firewall toe te staan voor bepaalde specifieke Azure-services, Office 365, Windows 365 en Intune.
Gebruik Azure Firewall Manager om een DDoS-beveiligingsplan te maken en te koppelen aan uw virtuele hubnetwerk (geldt niet voor Azure Virtual WAN). Een DDoS-beveiligingsplan biedt verbeterde risicobeperkingsfuncties om uw firewall te beschermen tegen DDoS-aanvallen. Azure Firewall Manager is een geïntegreerd hulpprogramma voor het maken van uw firewallinfrastructuur en DDoS-beveiligingsplannen. Zie Een Azure DDoS-beveiligingsplan configureren met Azure Firewall Manager voor meer informatie.
Gebruik een Enterprise PKI om certificaten te genereren voor TLS-inspectie. Als met Azure Firewall Premium tls-inspectiefunctie wordt gebruikt, wordt aanbevolen om een interne certificeringsinstantie (CA) voor een productieomgeving te gebruiken. Zelfondertekende certificaten mogen alleen worden gebruikt voor test-/PoC-doeleinden .
Raadpleeg Zero-Trust configuratiehandleiding voor Azure Firewall en Application Gateway Als uw beveiligingsvereisten het implementeren van een Zero-Trust-benadering voor webtoepassingen (inspectie en versleuteling) vereisen, is het raadzaam deze handleiding te volgen. In dit document wordt uitgelegd hoe u Azure Firewall en Application Gateway kunt integreren in zowel traditionele Hub & Spoke- als Virtual WAN-scenario's.

Azure Advisor helpt u de continuïteit van uw bedrijfskritieke toepassingen te garanderen en te verbeteren. Bekijk de aanbevelingen van Azure Advisor.

Beleidsdefinities

Alle ingebouwde beleidsdefinities met betrekking tot Azure-netwerken worden vermeld in Ingebouwd beleid - Netwerk.

Kostenoptimalisatie

Kostenoptimalisatie gaat over het zoeken naar manieren om onnodige uitgaven te verminderen en de operationele efficiëntie te verbeteren.

Controlelijst voor ontwerp

Wanneer u ontwerpkeuzen maakt voor Azure Firewall, bekijkt u de ontwerpprincipes voor kostenoptimalisatie.

  • Selecteer de Azure Firewall SKU die u wilt implementeren.
  • Bepaal of sommige exemplaren geen permanente 24x7-toewijzing nodig hebben.
  • Bepaal waar u het gebruik van firewalls voor workloads kunt optimaliseren.
  • Bewaak en optimaliseer het gebruik van firewallexemplaren om de kosteneffectiviteit te bepalen.
  • Controleer en optimaliseer het aantal openbare IP-adressen dat is vereist en het gebruikte beleid.
  • Bekijk de vereisten voor logboekregistratie, maak een schatting van de kosten en controle over de tijd.

Aanbevelingen

Bekijk de volgende tabel met aanbevelingen om uw Azure Firewall configuratie voor kostenoptimalisatie te optimaliseren.

Aanbeveling Voordeel
Implementeer de juiste Azure Firewall-SKU. Azure Firewall kunnen worden geïmplementeerd in drie verschillende SKU's: Basic, Standard en Premium. Azure Firewall Premium wordt aanbevolen om zeer gevoelige toepassingen (zoals betalingsverwerking) te beveiligen. Azure Firewall Standard wordt aanbevolen voor klanten die op zoek zijn naar een laag 3–Laag 7-firewall en moet automatisch worden geschaafd om pieken in het verkeer tot 30 Gbps af te handelen. Azure Firewall Basic wordt aanbevolen voor SMB-klanten met doorvoerbehoeften van 250 Mbps. Indien nodig kunt u downgraden of upgraden tussen Standard en Premium, zoals hier wordt beschreven.

Zie Choose the right Azure Firewall SKU to your needs (De juiste Azure Firewall SKU kiezen om aan uw behoeften te voldoen) voor meer informatie.
Stop Azure Firewall implementaties die niet 24x7 hoeven te worden uitgevoerd. Mogelijk hebt u ontwikkel- of testomgevingen die alleen tijdens kantooruren worden gebruikt. Zie Toewijzing ongedaan maken en toewijzen Azure Firewall voor meer informatie.
Deel hetzelfde exemplaar van Azure Firewall in meerdere workloads en virtuele Azure-netwerken. U kunt een centraal exemplaar van Azure Firewall gebruiken in het virtuele hubnetwerk of Virtual WAN beveiligde hub en dezelfde firewall delen in veel virtuele spoke-netwerken die vanuit dezelfde regio zijn verbonden met dezelfde hub. Zorg ervoor dat er geen onverwacht verkeer tussen regio's is als onderdeel van de hub-spoke-topologie.
Controleer regelmatig het verkeer dat wordt verwerkt door Azure Firewall en zoek naar optimalisaties van de oorspronkelijke workload Het logboek Top Flows (in de branche bekend als Fat Flows), toont de belangrijkste verbindingen die bijdragen aan de hoogste doorvoer via de firewall. Het wordt aanbevolen om het verkeer dat door de Azure Firewall wordt verwerkt regelmatig te controleren en te zoeken naar mogelijke optimalisaties om de hoeveelheid verkeer dat de firewall doorkruist, te verminderen.
Controleer onderbenutte Azure Firewall-exemplaren. Identificeer en verwijder ongebruikte Azure Firewall implementaties. Als u ongebruikte Azure Firewall-implementaties wilt identificeren, analyseert u eerst de metrische bewakingsgegevens en UDR's die zijn gekoppeld aan subnetten die verwijzen naar het privé-IP-adres van de firewall. Combineer deze informatie met andere validaties, zoals of uw exemplaar van Azure Firewall regels (klassiek) heeft voor NAT, netwerk en toepassing, of zelfs als de DNS-proxyinstelling is geconfigureerd op Uitgeschakeld en met interne documentatie over uw omgeving en implementaties. U kunt implementaties detecteren die in de loop van de tijd rendabel zijn.

Zie Logboeken en metrische gegevens van Azure Firewall bewaken en SNAT-poortgebruik voor meer informatie over bewakingslogboeken en metrische gegevens.
Gebruik Azure Firewall Manager en het bijbehorende beleid om de operationele kosten te verlagen, de efficiëntie te verhogen en de beheeroverhead te verminderen. Controleer uw Firewall Manager-beleid, -koppelingen en -overname zorgvuldig. Beleid wordt gefactureerd op basis van firewallkoppelingen. Beleid met nul of één firewallkoppeling is gratis. Beleid met meerdere firewallkoppelingen wordt gefactureerd tegen een vast bedrag.

Zie Prijzen - Azure Firewall Manager voor meer informatie.
Verwijder ongebruikte openbare IP-adressen. Controleer of alle gekoppelde openbare IP-adressen in gebruik zijn. Als ze niet in gebruik zijn, ontkoppelt u ze en verwijdert u ze. Evalueer het SNAT-poortgebruik voordat u IP-adressen verwijdert.

U gebruikt alleen het aantal openbare IP-adressen dat uw firewall nodig heeft. Zie Logboeken en metrische gegevens van Azure Firewall bewaken enSNAT-poortgebruik voor meer informatie.
Bekijk de vereisten voor logboekregistratie. Azure Firewall heeft de mogelijkheid om metagegevens van al het verkeer dat het ziet uitgebreid te registreren, naar Log Analytics-werkruimten, opslag of oplossingen van derden via Event Hubs. Voor alle oplossingen voor logboekregistratie worden echter kosten in rekening gebracht voor gegevensverwerking en -opslag. Bij zeer grote volumes kunnen deze kosten aanzienlijk zijn. Een kosteneffectieve benadering en alternatief voor Log Analytics moeten worden overwogen en de kosten moeten worden geschat. Overweeg of het vereist is om metagegevens van verkeer te registreren voor alle logboekregistratiecategorieën en wijzig indien nodig in diagnostische instellingen.

Zie Controlelijst voor ontwerpbeoordeling voor Kostenoptimalisatie voor meer suggesties.

Azure Advisor helpt u de continuïteit van uw bedrijfskritieke toepassingen te garanderen en te verbeteren. Bekijk de aanbevelingen van Azure Advisor.

Operationele uitmuntendheid

Controle en diagnose zijn essentieel. U kunt prestatiestatistieken en metrische gegevens meten om problemen snel op te lossen.

Controlelijst voor ontwerp

Wanneer u ontwerpkeuzen maakt voor Azure Firewall, bekijkt u de ontwerpprincipes voor operationele uitmuntendheid.

  • Inventaris en back-up van Azure Firewall configuratie en beleid onderhouden.
  • Gebruik diagnostische logboeken voor firewallbewaking en probleemoplossing.
  • Maak gebruik van Azure Firewall werkmap Bewaking.
  • Controleer regelmatig uw beleidsinzichten en -analyses.
  • Integreer Azure Firewall met Microsoft Defender for Cloud en Microsoft Sentinel.

Aanbevelingen

Bekijk de volgende tabel met aanbevelingen om uw Azure Firewall configuratie te optimaliseren voor operationele uitmuntendheid.

Aanbeveling Voordeel
Gebruik Azure Firewall niet voor verkeer binnen het VNet. Azure Firewall moet worden gebruikt voor het beheren van verkeer tussen VNets, tussen VNets en on-premises netwerken, uitgaand verkeer naar internet en binnenkomend niet-HTTP/s-verkeer. Voor het beheer van verkeer binnen VNets is het raadzaam netwerkbeveiligingsgroepen te gebruiken.
Onderhoud regelmatig back-ups van Azure Policy artefacten. Als de IaC-benadering (Infrastructure-as-Code) wordt gebruikt om Azure Firewall en alle afhankelijkheden te onderhouden, moet er al een back-up en versiebeheer van Azure Firewall-beleid zijn ingesteld. Zo niet, dan kan een begeleidend mechanisme op basis van externe logische app worden geïmplementeerd om een effectieve oplossing te automatiseren en te bieden.
Schakel diagnostische logboeken in voor Azure Firewall. Diagnostische logboeken zijn een belangrijk onderdeel voor veel bewakingshulpprogramma's en strategieën voor Azure Firewall en moeten worden ingeschakeld. U kunt Azure Firewall bewaken met behulp van firewalllogboeken of werkmappen. U kunt ook activiteitenlogboeken gebruiken voor het controleren van bewerkingen op Azure Firewall resources.
Gebruik de indeling Gestructureerde firewalllogboeken . Gestructureerde firewalllogboeken zijn een type logboekgegevens die zijn ingedeeld in een specifieke nieuwe indeling. Ze gebruiken een vooraf gedefinieerd schema om logboekgegevens zo te structuren dat u eenvoudig kunt zoeken, filteren en analyseren. De nieuwste bewakingshulpprogramma's zijn gebaseerd op dit type logboeken en daarom is dit vaak een vereiste. Gebruik de vorige indeling voor diagnostische logboeken alleen als er een bestaand hulpprogramma is waarvoor een vereiste is. Schakel niet beide indelingen voor logboekregistratie tegelijk in.
Gebruik de ingebouwde Azure Firewall Werkmap bewaking. Azure Firewall portal-ervaring nu een nieuwe werkmap bevat onder de sectie Gebruikersinterface voor bewaking, is een afzonderlijke installatie niet meer vereist. Met de Azure Firewall Workbook kunt u waardevolle inzichten extraheren uit Azure Firewall gebeurtenissen, zich verdiepen in uw toepassings- en netwerkregels en statistieken bekijken met betrekking tot firewallactiviteiten in URL's, poorten en adressen.
Bewaak belangrijke metrische gegevens en maak waarschuwingen voor indicatoren van het gebruik van Azure Firewall capaciteit. Waarschuwingen moeten worden gemaakt om ten minste de metrische gegevens voor doorvoer, firewallstatus, SNAT-poortgebruik en AZFW-latentietest te bewaken.
Zie Logboeken en metrische gegevens van Azure Firewall bewaken voor meer informatie over bewakingslogboeken en metrische gegevens.
Configureer Azure Firewall integratie met Microsoft Defender for Cloud en Microsoft Sentinel. Als deze hulpprogramma's beschikbaar zijn in de omgeving, is het raadzaam om integratie te gebruiken met Microsoft Defender voor Cloud- en Microsoft Sentinel-oplossingen. Met Microsoft Defender voor cloudintegratie kunt u de status van de netwerkinfrastructuur en netwerkbeveiliging op één plek visualiseren, inclusief Azure-netwerkbeveiliging voor alle VNets en virtuele hubs verspreid over verschillende regio's in Azure. Integratie met Microsoft Sentinel biedt mogelijkheden voor het detecteren en voorkomen van bedreigingen.
Controleer regelmatig het dashboard Van Beleidsanalyse om mogelijke problemen te identificeren. Beleidsanalyse is een nieuwe functie die inzicht biedt in de impact van uw Azure Firewall beleid. Het helpt u bij het identificeren van mogelijke problemen (het bereiken van beleidslimieten, regels voor laag gebruik, redundante regels, regels die te algemeen zijn, aanbevelingen voor het gebruik van IP-groepen) in uw beleid en biedt aanbevelingen voor het verbeteren van uw beveiligingspostuur en de verwerkingsprestaties van regels.
Raak vertrouwd met KQL-query's (Kusto-querytaal) om snelle analyse en probleemoplossing mogelijk te maken met behulp van Azure Firewall logboeken. Er zijn voorbeeldquery's beschikbaar voor Azure Firewall. Hiermee kunt u snel bepalen wat er gebeurt binnen uw firewall en controleren welke regel is geactiveerd of welke regel een aanvraag toestaat/blokkeert.

Azure Advisor helpt u de continuïteit van uw bedrijfskritieke toepassingen te garanderen en te verbeteren. Bekijk de aanbevelingen van Azure Advisor.

Prestatie-efficiëntie

Prestatie-efficiëntie is de mogelijkheid van uw workload om efficiënt te voldoen aan de eisen die gebruikers eraan stellen.

Controlelijst voor ontwerp

Wanneer u ontwerpkeuzen maakt voor Azure Firewall, bekijkt u de ontwerpprincipes voor prestatie-efficiëntie.

  • Controleer en optimaliseer regelmatig firewallregels.
  • Bekijk beleidsvereisten en -mogelijkheden voor het samenvatten van IP-bereiken en URL's.
  • Evalueer uw SNAT-poortvereisten.
  • Plan belastingtests om de prestaties van automatisch schalen in uw omgeving te testen.
  • Schakel diagnostische hulpprogramma's en logboekregistratie niet in als dit niet nodig is.

Aanbevelingen

Bekijk de volgende tabel met aanbevelingen om uw Azure Firewall configuratie te optimaliseren voor prestatie-efficiëntie.

Aanbeveling Voordeel
Gebruik het dashboard Beleidsanalyse om mogelijke optimalisaties voor firewallbeleid te identificeren. Beleidsanalyse is een nieuwe functie die inzicht biedt in de impact van uw Azure Firewall beleid. Het helpt u bij het identificeren van mogelijke problemen (het bereiken van beleidslimieten, regels voor laag gebruik, redundante regels, regels die te algemeen zijn, aanbevelingen voor het gebruik van IP-groepen) in uw beleid en biedt aanbevelingen voor het verbeteren van uw beveiligingspostuur en de verwerkingsprestaties van regels.
Voor firewallbeleid met grote regelsets plaatst u de meest gebruikte regels vroeg in de groep om de latentie te optimaliseren. Regels worden verwerkt op basis van het regeltype, de overname, de prioriteit van de regelverzamelingsgroep en de prioriteit van regelverzameling. Regelverzamelingsgroepen met de hoogste prioriteit worden eerst verwerkt. In een regelverzamelingsgroep worden regelverzamelingen met de hoogste prioriteit eerst verwerkt. Door de meeste gebruikte regels hoger in de regelset te plaatsen, wordt de verwerkingslatentie geoptimaliseerd. In dit artikel wordt uitgelegd hoe regels worden verwerkt en geëvalueerd.
Gebruik IP-groepen om IP-adresbereiken samen te vatten. U kunt IP-groepen gebruiken om IP-bereiken samen te vatten, zodat u de limiet van unieke bron-/doelnetwerkregels niet overschrijdt. Voor elke regel vermenigvuldigt Azure poorten met IP-adressen. Als u dus één regel hebt met vier IP-adresbereiken en vijf poorten, gebruikt u 20 netwerkregels. De IP-groep wordt behandeld als één adres voor het maken van netwerkregels.
Overweeg webcategorieën om uitgaande toegang bulksgewijs toe te staan of te weigeren. In plaats van expliciet een lange lijst met openbare internetsites te maken en bij te houden, kunt u overwegen om Azure Firewall webcategorieën te gebruiken. Deze functie categoriseert webinhoud dynamisch en maakt het mogelijk om compacte toepassingsregels te maken.
Evalueer de impact op de prestaties van IDPS in de waarschuwings- en weigeringsmodus . Als Azure Firewall is vereist om te werken in de IDPS-modusWaarschuwing en weigeren, moet u zorgvuldig rekening houden met de impact op de prestaties, zoals beschreven op deze pagina.
Mogelijke uitputtingsprobleem met SNAT-poorten evalueren. Azure Firewall ondersteunt momenteel 2496 poorten per openbaar IP-adres per back-end exemplaar van virtuele-machineschaalset. Standaard zijn er twee exemplaren van de virtuele-machineschaalset. Er zijn dus 4992 poorten per stroom doel-IP, doelpoort en protocol (TCP of UDP). De firewall schaalt omhoog tot maximaal 20 exemplaren. U kunt de limieten omzeilen door Azure Firewall-implementaties te configureren met minimaal vijf openbare IP-adressen voor implementaties die gevoelig zijn voor SNAT-uitputting.
Warm Azure Firewall goed op vóór een prestatietest. Maak 20 minuten vóór de test initiële verkeer dat geen deel uitmaakt van uw belastingstests. Gebruik diagnostische instellingen om gebeurtenissen voor omhoog en omlaag schalen vast te leggen. U kunt de Azure Load Testing-service gebruiken om het eerste verkeer te genereren. Hiermee kan de Azure Firewall-instantie de exemplaren omhoog schalen tot het maximum.
Configureer een Azure Firewall-subnet (AzureFirewallSubnet) met een /26-adresruimte. Azure Firewall is een toegewezen implementatie in uw virtuele netwerk. Binnen uw virtuele netwerk is een toegewezen subnet vereist voor het exemplaar van Azure Firewall. Azure Firewall zorgt voor meer capaciteit naarmate deze wordt geschaald.
Een /26-adresruimte voor de subnetten zorgt ervoor dat de firewall voldoende IP-adressen beschikbaar heeft voor het schalen. Azure Firewall heeft geen subnet nodig dat groter is dan /26. De naam van het Azure Firewall subnet moet AzureFirewallSubnet zijn.
Geavanceerde logboekregistratie niet inschakelen als dit niet vereist is Azure Firewall biedt een aantal geavanceerde logboekregistratiemogelijkheden die duur kunnen zijn om altijd actief te blijven. In plaats daarvan moeten ze alleen worden gebruikt voor probleemoplossingsdoeleinden en beperkt in duur en vervolgens worden uitgeschakeld wanneer dat niet meer nodig is. Belangrijke stromen en stroomtraceringslogboeken zijn bijvoorbeeld duur, kunnen leiden tot overmatig CPU- en opslaggebruik op de Azure Firewall-infrastructuur.

Azure Advisor helpt u de continuïteit van uw bedrijfskritieke toepassingen te garanderen en te verbeteren. Bekijk de aanbevelingen van Azure Advisor.

Aanbevelingen voor Azure Advisor

Azure Advisor is een persoonlijke cloudconsultant die u helpt bij het volgen van best practices voor het optimaliseren van uw Azure-implementaties. Er is nog geen Azure Firewall specifieke advisor-aanbeveling. Enkele algemene aanbevelingen kunnen worden toegepast om de betrouwbaarheid, beveiliging, kosteneffectiviteit, prestaties en operationele uitmuntendheid te verbeteren.

Aanvullende resources

Richtlijnen voor Azure Architecture Center

Volgende stap

Implementeer een exemplaar van Azure Firewall om te zien hoe het werkt: