Azure Firewall Premium-functies

PCI-certificeringslogo

Azure Firewall Premium biedt geavanceerde bescherming tegen bedreigingen die voldoet aan de behoeften van zeer gevoelige en gereguleerde omgevingen, zoals de betalings- en gezondheidszorgsector.

Organisaties kunnen premium SKU-functies (stock-keeping unit) zoals IDPS- en TLS-inspectie gebruiken om te voorkomen dat malware en virussen zich verspreiden over netwerken in zowel zijdelingse als horizontale richting. Om te voldoen aan de verhoogde prestatievereisten van IDPS- en TLS-inspectie, gebruikt Azure Firewall Premium een krachtigere virtuele-machine-SKU. Net als de Standard-SKU kan de Premium SKU naadloos omhoog schalen naar 100 Gbps en integreren met beschikbaarheidszones ter ondersteuning van de Sla (Service Level Agreement) van 99,99 procent. De Premium SKU voldoet aan de vereisten van de PCI DSS-omgeving (Payment Card Industry Data Security Standard).

overzichtsdiagram van Azure Firewall Premium

Azure Firewall Premium bevat de volgende functies:

  • TLS-inspectie : ontsleutelt uitgaand verkeer, verwerkt de gegevens, versleutelt de gegevens en verzendt deze naar de bestemming.
  • IDPS : met een netwerkinbraakdetectie- en -preventiesysteem (IDPS) kunt u netwerkactiviteiten controleren op schadelijke activiteiten, informatie over deze activiteit registreren, rapporteren en eventueel proberen deze te blokkeren.
  • URL-filtering: breidt de FQDN-filtermogelijkheid van Azure Firewall uit om een volledige URL te overwegen, samen met een aanvullend pad. Bijvoorbeeld www.contoso.com/a/c in plaats van www.contoso.com.
  • Webcategorieën : beheerders kunnen gebruikerstoegang tot websitecategorieën toestaan of weigeren, zoals websites voor gokken, websites voor sociale media en andere.

Inspectie van TLS

Het TLS-protocol (Transport Layer Security) biedt voornamelijk cryptografie voor privacy, integriteit en echtheid met behulp van certificaten tussen twee of meer communicerende toepassingen. Het wordt uitgevoerd in de toepassingslaag en wordt veel gebruikt om het HTTP-protocol te versleutelen.

Versleuteld verkeer heeft een mogelijk beveiligingsrisico en kan illegale gebruikersactiviteit en schadelijk verkeer verbergen. Azure Firewall zonder TLS-inspectie (zoals weergegeven in het volgende diagram) geen inzicht heeft in de gegevens die in de versleutelde TLS-tunnel stromen en kan daarom geen volledige bescherming bieden.

In het tweede diagram ziet u hoe Azure Firewall Premium TLS-verbindingen beëindigt en inspecteert om schadelijke activiteiten in HTTPS te detecteren, te waarschuwen en te beperken. De firewall maakt eigenlijk twee toegewezen TLS-verbindingen: een met de webserver (contoso.com) en een andere verbinding met de client. Met behulp van het door de klant opgegeven CA-certificaat wordt er on-the-fly een certificaat gegenereerd dat het webservercertificaat vervangt en deelt met de client om de TLS-verbinding tussen de firewall en de client tot stand te brengen.

Azure Firewall zonder TLS-inspectie: end-to-end TLS voor Azure Firewall Standard

Azure Firewall met TLS-inspectie: TLS met Azure Firewall Premium

De volgende use cases worden ondersteund met Azure Firewall:

  • Uitgaande TLS-inspectie

    Ter bescherming tegen schadelijk verkeer dat wordt verzonden vanaf een interne client die wordt gehost in Azure naar internet.

  • East-West TLS-inspectie (inclusief verkeer dat van/naar een on-premises netwerk gaat)

    Om uw Azure-workloads te beschermen tegen mogelijk schadelijk verkeer dat vanuit Azure wordt verzonden.

De volgende use-case wordt ondersteund door Azure Web Application Firewall op Azure Application Gateway:

  • Inspectie van binnenkomende TLS

    Interne servers of toepassingen die in Azure worden gehost, beschermen tegen schadelijke aanvragen die afkomstig zijn van internet of een extern netwerk. Application Gateway biedt end-to-end-versleuteling.

Tip

TLS 1.0 en 1.1 worden afgeschaft en worden niet ondersteund. TLS 1.0- en 1.1-versies van TLS/Secure Sockets Layer (SSL) zijn kwetsbaar gebleken en hoewel ze momenteel nog steeds werken om achterwaartse compatibiliteit toe te staan, worden ze niet aanbevolen. Migreer zo snel mogelijk naar TLS 1.2.

Zie Azure Firewall Premium-certificaten voor meer informatie over Azure Firewall Premium Tussenliggende CA-certificaatvereisten.

ONTHEEMDEN

Met een netwerkinbraakdetectie- en preventiesysteem (IDPS) kunt u uw netwerk controleren op schadelijke activiteiten, informatie over deze activiteit registreren, rapporteren en eventueel proberen het te blokkeren.

Azure Firewall Premium biedt op handtekeningen gebaseerde IDPS om snelle detectie van aanvallen mogelijk te maken door te zoeken naar specifieke patronen, zoals bytereeksen in netwerkverkeer of bekende schadelijke instructiereeksen die door malware worden gebruikt. De IDPS-handtekeningen zijn van toepassing op verkeer op toepassings- en netwerkniveau (lagen 3-7), ze worden volledig beheerd en continu bijgewerkt. IDPS kan worden toegepast op inkomend, spoke-to-spoke (Oost-West) en uitgaand verkeer. Spoke-to-spoke (Oost-West) omvat verkeer dat van/naar een on-premises netwerk gaat. U kunt de privé-IP-adresbereiken van IDPS configureren met behulp van de preview-functie Privé-IP-bereiken . Zie PRIVÉ-IP-adresbereiken van IDPS voor meer informatie.

De Azure Firewall handtekeningen/regelsets zijn onder andere:

  • Een nadruk op het vingerafdruken van werkelijke malware, Command and Control, exploit kits, en in het wild schadelijke activiteiten gemist door traditionele preventiemethoden.
  • Meer dan 58.000 regels in meer dan 50 categorieën.
    • De categorieën omvatten malware command and control, phishing, Trojans, botnets, informatieve gebeurtenissen, aanvallen, beveiligingsproblemen, SCADA-netwerkprotocollen, exploit kit-activiteit en meer.
  • Er worden elke dag 20 tot 40+ nieuwe regels uitgebracht.
  • Lage fout-positieve beoordeling door gebruik te maken van state-of-the-art malwaredetectietechnieken, zoals de wereldwijde feedbacklus van het sensornetwerk.

Met IDPS kunt u aanvallen detecteren in alle poorten en protocollen voor niet-versleuteld verkeer. Wanneer HTTPS-verkeer echter moet worden geïnspecteerd, kunt Azure Firewall de TLS-inspectiefunctie gebruiken om het verkeer te ontsleutelen en schadelijke activiteiten beter te detecteren.

Met de IDPS Bypass-lijst kunt u verkeer niet filteren op een van de IP-adressen, bereiken en subnetten die zijn opgegeven in de bypass-lijst.

Privé-IP-bereiken van IDPS

In Azure Firewall Premium-IDPS worden privé-IP-adresbereiken gebruikt om te bepalen of verkeer binnenkomend, uitgaand of intern is (Oost-West). Elke handtekening wordt toegepast op een specifieke verkeersrichting, zoals aangegeven in de tabel met handtekeningregels. Standaard worden alleen bereiken die zijn gedefinieerd door IANA RFC 1918 beschouwd als privé-IP-adressen. Verkeer dat van een privé-IP-adresbereik naar een privé-IP-adresbereik wordt verzonden, wordt dus als intern beschouwd. Als u uw privé-IP-adressen wilt wijzigen, kunt u nu eenvoudig bereiken bewerken, verwijderen of toevoegen.

Schermopname van privé-IP-adresbereiken van IDPS.

IDPS-handtekeningregels

Met IDPS-handtekeningregels kunt u het volgende doen:

  • Pas een of meer handtekeningen aan en wijzig de modus in Uitgeschakeld, Waarschuwen of Waarschuwen en Weigeren.

    Als u bijvoorbeeld een fout-positief ontvangt waarbij een legitieme aanvraag wordt geblokkeerd door Azure Firewall vanwege een defecte handtekening, kunt u de handtekening-id uit de logboeken voor netwerkregels gebruiken en de IDPS-modus instellen op Uit. Dit zorgt ervoor dat de 'foutieve' handtekening wordt genegeerd en het fout-positieve probleem wordt opgelost.

  • U kunt dezelfde procedure voor het afstemmen toepassen op handtekeningen waarmee te veel waarschuwingen met lage prioriteit worden gemaakt, waardoor de zichtbaarheid voor waarschuwingen met hoge prioriteit wordt verstoord.

  • Krijg een holistische weergave van de volledige 55.000 handtekeningen

  • Slim zoeken

    Hiermee kunt u de hele handtekeningendatabase doorzoeken op elk type kenmerk. U kunt bijvoorbeeld zoeken naar een specifieke CVE-id om te ontdekken welke handtekeningen voor deze CVE zorgen door de id in de zoekbalk te typen.

IDPS-handtekeningregels hebben de volgende eigenschappen:

Kolom Beschrijving
Handtekening-id Interne id voor elke handtekening. Deze id wordt ook weergegeven in Azure Firewall logboeken voor netwerkregels.
Modus Hiermee wordt aangegeven of de handtekening actief is of niet en of de firewall wordt verwijderd of wordt gewaarschuwd bij overeenkomend verkeer. De onderstaande handtekeningmodus kan de IDPS-modus overschrijven
- Uitgeschakeld: de handtekening is niet ingeschakeld op uw firewall.
- Waarschuwing: u ontvangt waarschuwingen wanneer verdacht verkeer wordt gedetecteerd.
- Waarschuwing en weigeren: u ontvangt waarschuwingen en verdacht verkeer wordt geblokkeerd. Enkele handtekeningcategorieën zijn gedefinieerd als Alleen waarschuwingen. Daarom wordt verkeer dat overeenkomt met hun handtekeningen standaard niet geblokkeerd, ook al is de IDPS-modus ingesteld op 'Waarschuwing en weigeren'. Klanten kunnen dit overschrijven door deze specifieke handtekeningen aan te passen in de modus Waarschuwing en Weigeren.

Opmerking: IDPS-waarschuwingen zijn beschikbaar in de portal via een logboekquery voor netwerkregels.
Ernst Elke handtekening heeft een gekoppeld ernstniveau en een toegewezen prioriteit die de waarschijnlijkheid aangeeft dat de handtekening een daadwerkelijke aanval is.
- Laag (prioriteit 3): een abnormale gebeurtenis is een gebeurtenis die normaal gesproken niet optreedt in een netwerk of informatieve gebeurtenissen worden geregistreerd. De kans op een aanval is laag.
- Gemiddeld (prioriteit 2): De handtekening geeft een verdachte aanval aan. De beheerder moet verder onderzoeken.
- Hoog (prioriteit 1): De aanvalshandtekeningen geven aan dat er een aanval van ernstige aard wordt gestart. Er is weinig kans dat de pakketten een legitiem doel hebben.
Richting De verkeersrichting waarop de handtekening wordt toegepast.
- Binnenkomend: De handtekening wordt alleen toegepast op verkeer dat van internet komt en is bestemd voor het geconfigureerde privé-IP-adresbereik.
- Uitgaand: Handtekening wordt alleen toegepast op verkeer dat vanaf het geconfigureerde privé-IP-adresbereik naar internet wordt verzonden.
- Bidirectioneel: handtekening wordt altijd toegepast op een willekeurige verkeersrichting.
Groep De groepsnaam waartoe de handtekening behoort.
Beschrijving Opgebouwd uit de volgende drie onderdelen:
- Categorienaam: de categorienaam waartoe de handtekening behoort, zoals beschreven in Azure Firewall IDPS-handtekeningregelcategorieën.
- Beschrijving op hoog niveau van de handtekening
- CVE-id (optioneel) in het geval dat de handtekening is gekoppeld aan een specifieke CVE.
Protocol Het protocol dat aan deze handtekening is gekoppeld.
Bron-/doelpoorten De poorten die aan deze handtekening zijn gekoppeld.
Laatst bijgewerkt De laatste datum waarop deze handtekening is geïntroduceerd of gewijzigd.

Afbeelding van de idps-handtekeningregelkolommen

URL-filtering

URL-filtering breidt Azure Firewall FQDN-filtermogelijkheid uit om een volledige URL te overwegen. Bijvoorbeeld www.contoso.com/a/c in plaats van www.contoso.com.

URL-filtering kan worden toegepast op zowel HTTP- als HTTPS-verkeer. Wanneer HTTPS-verkeer wordt geïnspecteerd, kan Azure Firewall Premium de TLS-inspectiefunctie gebruiken om het verkeer te ontsleutelen en de doel-URL te extraheren om te controleren of toegang is toegestaan. TLS-inspectie vereist opt-in op het niveau van de toepassingsregel. Als deze optie is ingeschakeld, kunt u URL's gebruiken voor het filteren met HTTPS.

Webcategorieën

Met webcategorieën kunnen beheerders gebruikerstoegang tot websitecategorieën toestaan of weigeren, zoals websites voor gokken, websites voor sociale media en andere. Webcategorieën zijn ook opgenomen in Azure Firewall Standard, maar het is nauwkeuriger afgestemd in Azure Firewall Premium. In tegenstelling tot de mogelijkheid voor webcategorieën in de Standard-SKU die overeenkomt met de categorie op basis van een FQDN, komt de Premium-SKU overeen met de categorie op basis van de volledige URL voor zowel HTTP- als HTTPS-verkeer.

Belangrijk

Microsoft stapt in de komende weken over op een bijgewerkte en nieuwe categoriefeed voor het filteren van webinhoud. Dit bevat meer granulariteit en aanvullende subcategorisaties.

Als gevolg hiervan zijn de volgende webcategorieën niet meer beschikbaar:

  • Ongepast kind, wenskaarten en schoolbedrog.

Daarnaast worden de functies Categoriecontrole en Categoriewijziging tijdelijk uitgeschakeld voor de komende maanden. Dit artikel wordt bijgewerkt wanneer deze functies terugkeren.

We raden u aan om essentiële websites (FQDN's en URL's) rechtstreeks in toepassingsregels te configureren via de Azure Portal/Azure PowerShell/CLI als back-up. Zie Azure Firewall implementeren en configureren met behulp van de Azure Portal voor meer informatie.

Logboekregistratie van webcategorie blijft werken zoals verwacht. We voorspellen geen andere belangrijke wijzigingen in het classificatiegedrag, maar we raden u aan eventuele categorisatieproblemen te melden of een aanvraag voor het uitvoeren van een categoriecontrole uit te voeren via Microsoft ondersteuning voor Azure.

Als Azure Firewall bijvoorbeeld een HTTPS-aanvraag onderschept voor www.google.com/news, wordt de volgende categorisatie verwacht:

  • Firewall Standard: alleen het FQDN-gedeelte wordt onderzocht, dus www.google.com wordt gecategoriseerd als zoekmachine.

  • Firewall Premium: de volledige URL wordt onderzocht, dus www.google.com/news wordt gecategoriseerd als Nieuws.

De categorieën zijn ingedeeld op basis van ernst onder Aansprakelijkheid, Hoge bandbreedte, Zakelijk gebruik, Productiviteitsverlies, Algemeen surfen en Niet-gecategoriseerd. Zie Azure Firewall webcategorieën voor een gedetailleerde beschrijving van de webcategorieën.

Logboekregistratie van webcategorie

U kunt verkeer dat is gefilterd op webcategorieën bekijken in de toepassingslogboeken. Het veld Webcategorieën wordt alleen weergegeven als het expliciet is geconfigureerd in de toepassingsregels van uw firewallbeleid. Als u bijvoorbeeld geen regel hebt die zoekmachines expliciet weigert en een gebruiker vraagt om naar www.bing.com te gaan, wordt alleen een standaard weigeringsbericht weergegeven in plaats van een bericht met webcategorieën. Dit komt doordat de webcategorie niet expliciet is geconfigureerd.

Categorie-uitzonderingen

U kunt uitzonderingen op uw webcategorieregels maken. Maak een afzonderlijke regelverzameling voor toestaan of weigeren met een hogere prioriteit binnen de regelverzamelingsgroep. U kunt bijvoorbeeld een regelverzameling configureren die prioriteit 100 toestaat www.linkedin.com , met een regelverzameling die sociale netwerken met prioriteit 200 weigert. Hierdoor ontstaat de uitzondering voor de vooraf gedefinieerde webcategorie Sociale netwerken .

U kunt bepalen welke categorie een bepaalde FQDN of URL is met behulp van de functie Webcategorie controleren . Als u dit wilt gebruiken, selecteert u het tabblad Webcategorieën onder Instellingen voor firewallbeleid. Dit is handig bij het definiëren van uw toepassingsregels voor doelverkeer.

Zoekdialoogvenster voor firewallcategorie

Belangrijk

Om de functie Webcategorie Controleren te kunnen gebruiken, moet de gebruiker toegang hebben tot Microsoft.Network/azureWebCategories/getwebcategory/action voor abonnementsniveau , niet op het niveau van de resourcegroep.

Categoriewijziging

Op het tabblad Webcategorieën in Instellingen voor firewallbeleid kunt u een categoriewijziging aanvragen als u:

  • denk dat een FQDN of URL onder een andere categorie moet staan

    of

  • een voorgestelde categorie hebben voor een niet-gecategoriseerde FQDN of URL

Zodra u een rapport voor categoriewijziging hebt ingediend, krijgt u een token in de meldingen die aangeven dat we de aanvraag voor verwerking hebben ontvangen. U kunt controleren of de aanvraag wordt uitgevoerd, geweigerd of goedgekeurd door het token in de zoekbalk in te voeren. Zorg ervoor dat u uw token-id opslaat om dit te doen.

Dialoogvenster Rapport voor firewallcategorie

Ondersteunde regio’s

Zie Beschikbare Azure-producten per regio voor de ondersteunde regio's voor Azure Firewall.

Volgende stappen