Azure Well-Architected Framework perspectief op Azure Firewall
Azure Firewall is een cloudeigen en intelligente netwerkfirewallbeveiligingsservice die de beste bedreigingsbeveiliging biedt voor uw cloudworkloads die worden uitgevoerd in Azure. Het is een volledig stateful beheerde firewallservice met ingebouwde hoge beschikbaarheid en onbeperkte schaalbaarheid van de cloud. Azure Firewall biedt zowel oost-west- als noord-zuid verkeersinspectie.
In dit artikel wordt ervan uitgegaan dat u als architect de beveiligingsopties voor het virtuele netwerk hebt bekeken en Azure Firewall hebt gekozen als de netwerkbeveiligingsservice voor uw workload. De richtlijnen in dit artikel bevatten architectuuraanbevelingen die zijn toegewezen aan de principes van de pijlers van het Azure Well-Architected Framework.
Belangrijk
Deze handleiding gebruiken
Elke sectie bevat een ontwerpcontrolelijst die architectuurgebieden presenteert, samen met ontwerpstrategieën die zijn gelokaliseerd in het technologiebereik.
Ook zijn inbegrepen aanbevelingen voor de technologiemogelijkheden die kunnen helpen bij het materialiseren van deze strategieën. De aanbevelingen vertegenwoordigen geen volledige lijst met alle configuraties die beschikbaar zijn voor Azure Firewall en de bijbehorende afhankelijkheden. In plaats daarvan worden de belangrijkste aanbevelingen vermeld die zijn toegewezen aan de ontwerpperspectieven. Gebruik de aanbevelingen om uw proof-of-concept te bouwen of uw bestaande omgevingen te optimaliseren.
Basisarchitectuur die de belangrijkste aanbevelingen demonstreert: hub-spoke-netwerktopologie in Azure.
Technologiebereik
Deze beoordeling is gericht op de onderling gerelateerde beslissingen voor de volgende Azure-resources:
- Azure Firewall
- Azure Firewall Manager
Betrouwbaarheid
Het doel van de pijler Betrouwbaarheid is om doorlopende functionaliteit te bieden door voldoende tolerantie en de mogelijkheid om snel te herstellen na storingen.
De principes voor betrouwbaarheidsontwerp bieden een ontwerpstrategie op hoog niveau die wordt toegepast op afzonderlijke onderdelen, systeemstromen en het systeem als geheel.
Controlelijst voor ontwerp
Start uw ontwerpstrategie op basis van de controlelijst voor ontwerpbeoordeling voor betrouwbaarheid. Bepaal de relevantie van uw bedrijfsvereisten, terwijl u rekening houdt met het beleid en het type architectuur dat u gebruikt. Breid de strategie uit om zo nodig meer benaderingen op te nemen.
Bekijk de lijst met bekende problemen met Azure Firewall. Azure Firewall-producten onderhouden een bijgewerkte lijst met bekende problemen. Deze lijst bevat belangrijke informatie over standaardgedrag, oplossingen onder constructie, platformbeperkingen en mogelijke tijdelijke oplossingen of risicobeperkingsstrategieën.
Zorg ervoor dat uw Azure Firewall-beleid voldoet aan de limieten en aanbevelingen van Azure Firewall. De beleidsstructuur heeft limieten, waaronder het aantal regels en regelverzamelingsgroepen, de totale beleidsgrootte, de bronbestemmingen en doelbestemmingen. Zorg ervoor dat u uw beleid opstelt en onder de gedocumenteerde drempelwaarden blijft.
Azure Firewall implementeren in meerdere beschikbaarheidszones voor een hogere SLA (Service Level Agreement). Azure Firewall biedt verschillende SLA's, afhankelijk van of u de service in één beschikbaarheidszone of meerdere zones implementeert. Zie SLA's voor onlineservices voor meer informatie.
Implementeer een Azure Firewall-exemplaar in elke regio in omgevingen met meerdere regio's. Zie overwegingen voor meerdere regio's voor traditionele hub-and-spoke-architecturen. Voor beveiligde Azure Virtual WAN-hubs configureert u routeringsintentie en beleid om communicatie tussen hubs en vertakkingen te beveiligen. Voor foutbestendige en fouttolerante workloads kunt u exemplaren van Azure Firewall en Azure Virtual Network beschouwen als regionale resources.
Metrische gegevens van Azure Firewall en de status van de resource bewaken. Azure Firewall kan worden geïntegreerd met Azure Resource Health. Gebruik de Resource Health-controle om de status van Azure Firewall weer te geven en serviceproblemen op te lossen die van invloed kunnen zijn op uw Azure Firewall-resource.
Azure Firewall implementeren in virtuele hubnetwerken of als onderdeel van Virtual WAN-hubs.
Notitie
De beschikbaarheid van netwerkservices verschilt tussen het traditionele hub-and-spoke-model en het door Virtual WAN beheerde beveiligde hubsmodel. In een Virtual WAN-hub kan het openbare IP-adres van Azure Firewall bijvoorbeeld niet afkomstig zijn van een openbaar IP-voorvoegsel en kan Azure DDoS Protection niet zijn ingeschakeld. Wanneer u uw model kiest, moet u rekening houden met uw vereisten voor alle vijf de pijlers van het Well-Architected Framework.
Aanbevelingen
| Aanbeveling | Voordeel |
|---|---|
| Azure Firewall implementeren in meerdere beschikbaarheidszones. | Implementeer Azure Firewall in meerdere beschikbaarheidszones om een specifiek tolerantieniveau te behouden. Als de ene zone een storing ondervindt, blijft een andere zone verkeer bedienen. |
| Metrische gegevens van Azure Firewall bewaken in een Log Analytics-werkruimte. Controleer de metrische gegevens die de status van de Azure Firewall aangeven, zoals doorvoer, firewallstatus, SNAT-poortgebruik en metrische gegevens over azfw-latentietests. Gebruik Azure Service Health om de Status van Azure Firewall te bewaken. |
Bewaak metrische gegevens en servicestatus van resources, zodat u kunt detecteren wanneer een servicestatus verslechtert en proactieve maatregelen neemt om fouten te voorkomen. |
Beveiliging
Het doel van de beveiligingspijler is het bieden van vertrouwelijkheid, integriteit en beschikbaarheidsgaranties voor de workload.
De ontwerpprincipes voor beveiliging bieden een ontwerpstrategie op hoog niveau voor het bereiken van deze doelen door benaderingen toe te passen op het technische ontwerp van Azure Firewall.
Controlelijst voor ontwerp
Start uw ontwerpstrategie op basis van de controlelijst voor ontwerpbeoordeling voor Beveiliging. Identificeer beveiligingsproblemen en besturingselementen om het beveiligingspostuur te verbeteren. Breid de strategie uit om zo nodig meer benaderingen op te nemen.
Verzend al het internetverkeer van uw workload via een firewall of een NVA (network virtual appliance) om bedreigingen te detecteren en te blokkeren. Configureer door de gebruiker gedefinieerde routes (UDR's) om verkeer via Azure Firewall af te dwingen. Overweeg het gebruik van Azure Firewall als een expliciete proxy voor webverkeer.
Configureer ondersteunde SaaS-beveiligingsproviders (Software as a Service) in Firewall Manager als u deze providers wilt gebruiken om uitgaande verbindingen te beveiligen.
Beperk het gebruik van openbare IP-adressen die rechtstreeks zijn gekoppeld aan virtuele machines, zodat verkeer de firewall niet kan omzeilen. Het Azure Cloud Adoption Framework-model wijst een specifiek Azure-beleid toe aan de CORP-beheergroep.
Volg de Zero Trust-configuratiehandleiding voor Azure Firewall en Application Gateway als uw beveiligingsbehoeften vereisen dat u een Zero Trust-benadering voor webtoepassingen implementeert, zoals het toevoegen van inspectie en versleuteling. Volg deze handleiding om Azure Firewall en Application Gateway te integreren voor zowel traditionele hub-and-spoke- als Virtual WAN-scenario's.
Zie Firewalls aan de rand toepassen voor meer informatie.
Stel netwerkperimeters in als onderdeel van uw strategie voor workloadsegmentatie om de straalstraal te beheren, resources voor werkbelastingen te verbergen en onverwachte, verboden en onveilige toegang te blokkeren. Regels maken voor Azure Firewall-beleid op basis van de toegangscriteria met minimale bevoegdheden .
Stel het openbare IP-adres in op Geen om een volledig privégegevensvlak te implementeren wanneer u Azure Firewall configureert in de modus voor geforceerde tunneling. Deze benadering is niet van toepassing op Virtual WAN.
Gebruik FQDN(Fully Qualified Domain Names) en servicetags wanneer u netwerkregels definieert om het beheer te vereenvoudigen.
Gebruik detectiemechanismen om zorgvuldig te controleren op bedreigingen en tekenen van misbruik. Profiteer van door het platform geleverde detectiemechanismen en -metingen. Schakel het inbraakdetectie- en preventiesysteem (IDPS) in. Koppel een Azure DDoS Protection-plan aan uw virtuele hubnetwerk.
Zie Misbruik detecteren voor meer informatie.
Aanbevelingen
| Aanbeveling | Voordeel |
|---|---|
| Configureer Azure Firewall in de modus voor geforceerde tunneling als u al het internetverkeer naar een aangewezen volgende hop moet routeren in plaats van rechtstreeks naar internet. Deze aanbeveling is niet van toepassing op Virtual WAN. Azure Firewall moeten directe verbinding met internet hebben. Als uw AzureFirewallSubnet een standaardroute naar uw on-premises netwerk leert via het Border Gateway Protocol, moet u Azure Firewall configureren in de modus voor geforceerde tunneling. U kunt de functie voor geforceerde tunneling gebruiken om nog een /26-adresruimte toe te voegen voor het Subnet van Azure Firewall Management. Geef het subnet de naam AzureFirewallManagementSubnet. Als u een bestaand Azure Firewall-exemplaar hebt dat u niet opnieuw kunt configureren in de modus voor geforceerde tunneling, maakt u een UDR met een route 0.0.0.0/0. Stel de waarde NextHopType in als internet. Als u de internetverbinding wilt behouden, koppelt u de UDR aan AzureFirewallSubnet. Stel het openbare IP-adres in op Geen om een volledig privégegevensvlak te implementeren wanneer u Azure Firewall configureert in de modus voor geforceerde tunneling. Maar het beheervlak vereist nog steeds alleen een openbaar IP-adres voor beheerdoeleinden. Het interne verkeer van virtuele en on-premises netwerken gebruikt dat openbare IP-adres niet. |
Gebruik geforceerde tunneling zodat u uw Azure-resources niet rechtstreeks beschikbaar maakt op internet. Deze aanpak vermindert het kwetsbaarheid voor aanvallen en minimaliseert het risico op externe bedreigingen. Om bedrijfsbeleid en nalevingsvereisten effectiever af te dwingen, routeert u al het internetverkeer via een on-premises firewall of een NVA. |
| Maak regels voor firewallbeleid in een hiërarchische structuur om een centraal basisbeleid over te leggen. Zie Azure Firewall-beleid gebruiken om regels te verwerken voor meer informatie. Uw regels maken op basis van het principe van zero trust-toegang met minimale bevoegdheden |
Organiseer regels in een hiërarchische structuur, zodat gedetailleerde beleidsregels aan de vereisten van specifieke regio's kunnen voldoen. Elk beleid kan verschillende sets DNAT(Destination Network Address Translation), netwerk- en toepassingsregels bevatten die specifieke prioriteiten, acties en verwerkingsorders hebben. |
| Configureer ondersteunde beveiligingspartnerproviders in Firewall Manager om uitgaande verbindingen te beveiligen. Voor dit scenario is Virtual WAN met een S2S VPN-gateway in de hub vereist, omdat er een IPsec-tunnel wordt gebruikt om verbinding te maken met de infrastructuur van de provider. Beheerde beveiligingsserviceproviders kunnen extra licentiekosten in rekening brengen en de doorvoer voor IPsec-verbindingen beperken. U kunt ook alternatieve oplossingen gebruiken, zoals Zscaler Cloud Connector. |
Schakel beveiligingspartnerproviders in Azure Firewall in om te profiteren van best-in-breed cloudbeveiligingsaanbiedingen, die geavanceerde beveiliging bieden voor uw internetverkeer. Deze providers bieden gespecialiseerde, gebruikersbewuste filters en uitgebreide mogelijkheden voor detectie van bedreigingen die uw algehele beveiligingspostuur verbeteren. |
| Azure Firewall DNS-proxyconfiguratie inschakelen. Configureer ook Azure Firewall voor het gebruik van aangepaste DNS voor het doorsturen van DNS-query's. |
Schakel deze functie in om clients in de virtuele netwerken te laten verwijzen naar Azure Firewall als een DNS-server. Deze functie beveiligt de interne DNS-infrastructuur die niet rechtstreeks wordt geopend en beschikbaar wordt gesteld. |
| Configureer UDR's om verkeer via Azure Firewall af te dwingen in een traditionele hub-and-spoke-architectuur voor spoke-to-spoke-, spoke-to-internet- en spoke-to-hybrid-connectiviteit . Configureer in Virtual WAN routeringsintentie en beleid om privéverkeer of internetverkeer om te leiden via het Azure Firewall-exemplaar dat is geïntegreerd in de hub. Als u geen UDR kunt toepassen en u alleen omleiding van webverkeer nodig hebt, gebruikt u Azure Firewall als een expliciete proxy op het uitgaande pad. U kunt een proxy-instelling configureren voor de verzendende toepassing, zoals een webbrowser, wanneer u Azure Firewall configureert als proxy. |
Verzend verkeer via de firewall om verkeer te controleren en om schadelijk verkeer te identificeren en te blokkeren. Gebruik Azure Firewall als een expliciete proxy voor uitgaand verkeer, zodat webverkeer het privé-IP-adres van de firewall bereikt en daarom rechtstreeks vanuit de firewall wordt doorgestuurd zonder een UDR te gebruiken. Deze functie vereenvoudigt ook het gebruik van meerdere firewalls zonder bestaande netwerkroutes te wijzigen. |
| Gebruik FQDN-filtering in netwerkregels. U moet de DNS-proxyconfiguratie van Azure Firewall inschakelen voor het gebruik van FQDN's in uw netwerkregels. | Gebruik FQDN's in Azure Firewall-netwerkregels, zodat beheerders domeinnamen kunnen beheren in plaats van meerdere IP-adressen, wat het beheer vereenvoudigt. Deze dynamische resolutie zorgt ervoor dat firewallregels automatisch worden bijgewerkt wanneer domein-IP-adressen worden gewijzigd. |
| Gebruik Azure Firewall-servicetags in plaats van specifieke IP-adressen om selectieve toegang te bieden tot specifieke services in Azure, Microsoft Dynamics 365 en Microsoft 365. | Gebruik servicetags in netwerkregels, zodat u toegangsbeheer kunt definiëren op basis van servicenamen in plaats van specifieke IP-adressen, wat het beveiligingsbeheer vereenvoudigt. Microsoft beheert en werkt deze tags automatisch bij wanneer IP-adressen worden gewijzigd. Deze methode zorgt ervoor dat uw firewallregels nauwkeurig en effectief blijven zonder handmatige tussenkomst. |
| Gebruik FQDN-tags in toepassingsregels om selectieve toegang te bieden tot specifieke Microsoft-services. U kunt een FQDN-tag in toepassingsregels gebruiken om het vereiste uitgaande netwerkverkeer via uw firewall toe te staan voor specifieke Azure-services, zoals Microsoft 365, Windows 365 en Microsoft Intune. |
Gebruik FQDN-tags in Azure Firewall-toepassingsregels om een groep FQDN's weer te geven die zijn gekoppeld aan bekende Microsoft-services. Deze methode vereenvoudigt het beheer van netwerkbeveiligingsregels. |
| Schakel bedreigingsinformatie in op Azure Firewall in de waarschuwings- en weigeringsmodus . | Gebruik bedreigingsinformatie om realtime bescherming te bieden tegen opkomende bedreigingen, waardoor het risico op cyberaanvallen wordt verminderd. Deze functie maakt gebruik van de Microsoft Threat Intelligence-feed om verkeer van bekende schadelijke IP-adressen, domeinen en URL's automatisch te waarschuwen en te blokkeren. |
| Schakel de IDPS in de modus Waarschuwing of Waarschuwing en weigeren in. Houd rekening met de invloed van de prestaties van deze functie. | Het inschakelen van IDPS-filtering in Azure Firewall biedt realtime bewaking en analyse van netwerkverkeer om schadelijke activiteiten te detecteren en te voorkomen. Deze functie maakt gebruik van detectie op basis van handtekeningen om bekende bedreigingen snel te identificeren en te blokkeren voordat ze schade veroorzaken. Zie Misbruik detecteren voor meer informatie. |
| Gebruik een interne certificeringsinstantie (CA) om certificaten te genereren wanneer u TLS-inspectie gebruikt met Azure Firewall Premium. Gebruik zelfondertekende certificaten alleen voor test- en conceptdoeleinden (PoC). | Schakel TLS-inspectie in zodat Azure Firewall Premium TLS-verbindingen beëindigt en inspecteert om schadelijke activiteiten in HTTPS te detecteren, waarschuwen en beperken. |
| Gebruik Firewall Manager om een Azure DDoS Protection-plan te maken en te koppelen aan uw virtuele hubnetwerk. Deze benadering is niet van toepassing op Virtual WAN. | Configureer een Azure DDoS Protection-plan zodat u DDoS-beveiliging centraal naast uw firewallbeleid kunt beheren. Deze aanpak stroomlijnt hoe u uw netwerkbeveiliging beheert en vereenvoudigt hoe u processen implementeert en bewaakt. |
Kostenoptimalisatie
Kostenoptimalisatie is gericht op het detecteren van uitgavenpatronen, het prioriteren van investeringen in kritieke gebieden en het optimaliseren van anderen om te voldoen aan het budget van de organisatie terwijl aan de bedrijfsvereisten wordt voldaan.
De ontwerpprincipes voor kostenoptimalisatie bieden een ontwerpstrategie op hoog niveau voor het bereiken van deze doelen en het waar nodig maken van compromissen in het technische ontwerp met betrekking tot Azure Firewall en de bijbehorende omgeving.
Controlelijst voor ontwerp
Start uw ontwerpstrategie op basis van de controlelijst voor ontwerpbeoordeling voor Kostenoptimalisatie voor investeringen. Verfijn het ontwerp zodat de workload is afgestemd op het budget dat is toegewezen voor de workload. Uw ontwerp moet gebruikmaken van de juiste Azure-mogelijkheden, investeringen bewaken en mogelijkheden vinden om in de loop van de tijd te optimaliseren.
Selecteer een Azure Firewall-SKU die u wilt implementeren. Kies uit drie Azure Firewall-SKU's: Basic, Standard en Premium. Gebruik Azure Firewall Premium om zeer gevoelige toepassingen, zoals betalingsverwerking, te beveiligen. Gebruik Azure Firewall Standard als uw workload een Laag 3-naar-Laag 7-firewall nodig heeft en automatisch schalen nodig heeft om piekperioden van maximaal 30 Gbps af te handelen. Gebruik Azure Firewall Basic als u SMB gebruikt en maximaal 250 Mbps doorvoer nodig hebt. U kunt downgraden of upgraden tussen Standard- en Premium-SKU's. Zie De juiste Azure Firewall-SKU kiezen voor meer informatie.
Verwijder ongebruikte firewallimplementaties en optimaliseer ondergegebruikersimplementaties. Stop Azure Firewall-implementaties die niet continu hoeven te worden uitgevoerd. Ongebruikte Azure Firewall-implementaties identificeren en verwijderen. Om operationele kosten te verlagen, kunt u het gebruik van firewallexemplaren bewaken en optimaliseren, configuratie van Azure Firewall Manager-beleid en het aantal openbare IP-adressen en beleidsregels dat u gebruikt.
Deel hetzelfde exemplaar van Azure Firewall. U kunt een centraal exemplaar van Azure Firewall gebruiken in het virtuele hubnetwerk of virtuele WAN-beveiligde hub en hetzelfde Azure Firewall-exemplaar delen in virtuele spoke-netwerken die verbinding maken met dezelfde hub vanuit dezelfde regio. Zorg ervoor dat u geen onverwacht verkeer tussen regio's hebt in een hub-and-spoke-topologie.
Optimaliseer verkeer via de firewall. Controleer regelmatig verkeer dat door Azure Firewall wordt verwerkt. Zoek mogelijkheden om de hoeveelheid verkeer te verminderen die de firewall doorkruist.
Verlaag de hoeveelheid logboekgegevens die u opslaat. Azure Firewall kan Azure Event Hubs gebruiken om de metagegevens van het verkeer uitgebreid te registreren en te verzenden naar Log Analytics-werkruimten, Azure Storage of niet-Microsoft-oplossingen. Voor alle logboekoplossingen worden kosten in rekening gebracht voor het verwerken van gegevens en het leveren van opslag. Grote hoeveelheden gegevens kunnen aanzienlijke kosten met zich meebrengen. Overweeg een kosteneffectieve benadering en alternatief voor Log Analytics en schat de kosten. Overweeg of u metagegevens van verkeer moet registreren voor alle logboekregistratiecategorieën.
Aanbevelingen
| Aanbeveling | Voordeel |
|---|---|
| Stop Azure Firewall-implementaties die niet continu hoeven te worden uitgevoerd. Mogelijk hebt u ontwikkel- of testomgevingen die u alleen tijdens kantooruren gebruikt. Zie Toewijzing van Azure Firewall ongedaan maken en toewijzen voor meer informatie. | Sluit deze implementaties af tijdens daluren of wanneer deze niet actief zijn om onnodige uitgaven te verminderen, maar tijdens kritieke tijden beveiliging en prestaties te handhaven. |
| Controleer regelmatig het verkeer dat door Azure Firewall wordt verwerkt en zoek naar optimalisaties van oorspronkelijke werkbelastingen. In het logboek met topstromen, ook wel bekend als het fatflowlogboek, ziet u de belangrijkste verbindingen die bijdragen aan de hoogste doorvoer via de firewall. | Optimaliseer workloads die het meeste verkeer genereren via de firewall om het volume van het verkeer te verminderen, waardoor de belasting van de firewall wordt verminderd en de kosten voor gegevensverwerking en bandbreedte worden geminimaliseerd. |
| Ongebruikte Azure Firewall-implementaties identificeren en verwijderen. Analyseer metrische gegevens en UDR's die zijn gekoppeld aan subnetten die verwijzen naar het privé-IP-adres van de firewall. Overweeg ook andere validaties en interne documentatie over uw omgeving en implementaties. Analyseer bijvoorbeeld eventuele klassieke NAT-, netwerk- en toepassingsregels voor Azure Firewall. En houd rekening met uw instellingen. U kunt bijvoorbeeld de DNS-proxyinstelling configureren op Uitgeschakeld. Zie Azure Firewall bewaken voor meer informatie. |
Gebruik deze methode om kostenefficiënte implementaties in de loop van de tijd te detecteren en ongebruikte resources te elimineren, waardoor onnodige kosten worden voorkomen. |
| Controleer uw Firewall Manager-beleid, -koppelingen en -overname zorgvuldig om de kosten te optimaliseren. Beleid wordt gefactureerd op basis van firewallkoppelingen. Een beleid met nul of één firewallkoppeling is gratis. Beleid met meerdere firewallkoppelingen wordt gefactureerd tegen een vast bedrag. Zie prijzen voor Firewall Manager voor meer informatie. |
Gebruik Firewall Manager en het bijbehorende beleid op de juiste manier om operationele kosten te verlagen, de efficiëntie te verhogen en de beheeroverhead te verminderen. |
| Controleer alle openbare IP-adressen in uw configuratie en ontkoppel en verwijder de adressen die u niet gebruikt. Evalueer het SNAT-poortgebruik (Source Network Address Translation) voordat u IP-adressen verwijdert. Zie Logboeken en metrische gegevens van Azure Firewall bewaken en het gebruik van SNAT-poorten voor meer informatie. |
Verwijder ongebruikte IP-adressen om de kosten te verlagen. |
Operationele topprestaties
Operational Excellence richt zich voornamelijk op procedures voor ontwikkelprocedures, waarneembaarheid en releasebeheer.
De ontwerpprincipes van Operational Excellence bieden een ontwerpstrategie op hoog niveau voor het bereiken van deze doelstellingen voor de operationele vereisten van de workload.
Controlelijst voor ontwerp
Start uw ontwerpstrategie op basis van de controlelijst voor ontwerpbeoordeling voor Operational Excellence voor het definiëren van processen voor waarneembaarheid, testen en implementatie met betrekking tot Azure Firewall.
Gebruik Firewall Manager met traditionele hub-and-spoke-topologieën of Virtual WAN-netwerktopologieën voor het implementeren en beheren van exemplaren van Azure Firewall. Gebruik systeemeigen beveiligingsservices voor verkeersbeheer en -beveiliging om hub-and-spoke- en transitieve architecturen te maken. Zie Netwerktopologie en -connectiviteit voor meer informatie.
Klassieke Azure Firewall-regels migreren naar Firewall Manager-beleid voor bestaande implementaties. Gebruik Firewall Manager om uw firewalls en beleidsregels centraal te beheren. Zie Migreren naar Azure Firewall Premium voor meer informatie.
Regelmatige back-ups van Azure Policy-artefacten onderhouden. Als u een infrastructuur-as-code-benadering gebruikt om Azure Firewall en alle afhankelijkheden te onderhouden, moet u back-up en versiebeheer van Azure Firewall-beleid hebben. Als u dat niet doet, kunt u een secundair mechanisme implementeren dat is gebaseerd op een externe logische app om een effectieve geautomatiseerde oplossing te bieden.
Azure Firewall-logboeken en metrische gegevens bewaken. Profiteer van diagnostische logboeken voor firewallbewaking en probleemoplossing en activiteitenlogboeken voor controlebewerkingen.
Bewakingsgegevens analyseren om de algehele status van het systeem te beoordelen. Gebruik de ingebouwde Azure Firewall-bewakingswerkmap, maak vertrouwd met Kusto-querytaal (KQL)-query's en gebruik het dashboard voor beleidsanalyse om potentiële problemen te identificeren.
Definieer waarschuwingen voor belangrijke gebeurtenissen , zodat operators er snel op kunnen reageren.
Profiteer van door het platform geleverde detectiemechanismen in Azure om misbruik te detecteren. Integreer Azure Firewall met Microsoft Defender voor Cloud en Microsoft Sentinel, indien mogelijk. Integreer met Defender voor Cloud, zodat u de status van de netwerkinfrastructuur en netwerkbeveiliging op één plaats kunt visualiseren, inclusief Azure-netwerkbeveiliging in alle virtuele netwerken en virtuele hubs in verschillende regio's in Azure. Integreer met Microsoft Sentinel om mogelijkheden voor detectie en preventie van bedreigingen te bieden.
Aanbevelingen
| Aanbeveling | Voordeel |
|---|---|
| Schakel diagnostische logboeken in voor Azure Firewall. Gebruik firewalllogboeken of werkmappen om Azure Firewall te bewaken. U kunt ook activiteitenlogboeken gebruiken om bewerkingen in Azure Firewall-resources te controleren. Gebruik de indeling van de gestructureerde firewalllogboeken . Gebruik alleen de vorige indeling voor diagnostische logboeken als u een bestaand hulpprogramma hebt dat dit vereist. Schakel beide notaties voor logboekregistratie niet tegelijkertijd in. |
Schakel diagnostische logboeken in om uw bewakingshulpprogramma's en strategieën voor Azure Firewall te optimaliseren. Gebruik gestructureerde firewalllogboeken om logboekgegevens te structureren, zodat u eenvoudig kunt zoeken, filteren en analyseren. De nieuwste bewakingshulpprogramma's zijn gebaseerd op dit type logboek, dus dit is vaak een vereiste. |
| Gebruik de ingebouwde Azure Firewall-werkmap. | Gebruik de Azure Firewall-werkmap voor het extraheren van waardevolle inzichten uit Azure Firewall-gebeurtenissen, het analyseren van uw toepassings- en netwerkregels en het onderzoeken van statistieken over firewallactiviteiten in URL's, poorten en adressen. |
| Bewaak azure Firewall-logboeken en metrische gegevens en maak waarschuwingen voor Azure Firewall-capaciteit. Maak waarschuwingen voor het bewaken van de doorvoer, de status van de firewall, het SNAT-poortgebruik en de metrische gegevens van de AZFW-latentietest . | Stel waarschuwingen in voor belangrijke gebeurtenissen om operators op de hoogte te stellen voordat er potentiële problemen optreden, om onderbrekingen te voorkomen en snelle capaciteitsaanpassingen te starten. |
| Controleer regelmatig het dashboard voor beleidsanalyse om potentiële problemen te identificeren. | Gebruik beleidsanalyse om de impact van uw Azure Firewall-beleid te analyseren. Identificeer mogelijke problemen in uw beleid, zoals het voldoen aan beleidslimieten, onjuiste regels en onjuist gebruik van IP-groepen. Krijg aanbevelingen om de prestaties van uw beveiligingspostuur en regelverwerking te verbeteren. |
| Inzicht in KQL-query's, zodat u Azure Firewall-logboeken kunt gebruiken om snel problemen te analyseren en op te lossen. Azure Firewall biedt voorbeeldquery's. | Gebruik KQL-query's om snel gebeurtenissen in uw firewall te identificeren en te controleren welke regel wordt geactiveerd of welke regel een aanvraag toestaat of blokkeert. |
Prestatie-efficiëntie
Prestatie-efficiëntie gaat over het onderhouden van de gebruikerservaring, zelfs wanneer er een toename van de belasting is door capaciteit te beheren. De strategie omvat het schalen van resources, het identificeren en optimaliseren van potentiële knelpunten en het optimaliseren van piekprestaties.
De ontwerpprincipes prestatie-efficiëntie bieden een ontwerpstrategie op hoog niveau voor het bereiken van deze capaciteitsdoelen ten opzichte van het verwachte gebruik.
Controlelijst voor ontwerp
Start uw ontwerpstrategie op basis van de controlelijst voor ontwerpbeoordeling voor Prestatie-efficiëntie. Definieer een basislijn die is gebaseerd op key performance indicators voor Azure Firewall.
Optimaliseer uw Azure Firewall-configuratie in overeenstemming met de goed ontworpen Framework-aanbevelingen om code en infrastructuur te optimaliseren en piekbewerkingen te garanderen. Als u een efficiënt en beveiligd netwerk wilt onderhouden, controleert en optimaliseert u regelmatig firewallregels. Deze procedure helpt ervoor te zorgen dat uw firewallconfiguraties effectief en up-to-date blijven met de nieuwste beveiligingsrisico's.
Evalueer beleidsvereisten en zoek mogelijkheden om IP-bereiken en URL-lijsten samen te vatten. Gebruik webcategorieën om uitgaande toegang bulksgewijs toe te staan of te weigeren om het beheer te stroomlijnen en de beveiliging te verbeteren. Evalueer de invloed van de prestaties van IDPS in de waarschuwings- en weigeringsmodus , omdat deze configuratie invloed kan hebben op de netwerklatentie en doorvoer. Configureer openbare IP-adressen ter ondersteuning van uw SNAT-poortvereisten. Volg deze procedures om een robuuste en schaalbare netwerkbeveiligingsinfrastructuur te maken.
Gebruik Azure Firewall niet voor verkeer binnen virtuele netwerken. Gebruik Azure Firewall om de volgende typen verkeer te beheren:
- Verkeer tussen virtuele netwerken
- Verkeer tussen virtuele netwerken en on-premises netwerken
- Uitgaand verkeer naar internet
- Binnenkomend niet-HTTP- of niet-HTTPS-verkeer
Gebruik netwerkbeveiligingsgroepen voor verkeer binnen virtuele netwerken.
Warm Azure Firewall goed op voordat u prestatietests uitvoert. Maak initiële verkeer dat geen deel uitmaakt van uw belastingstests 20 minuten vóór uw tests. Gebruik diagnostische instellingen om gebeurtenissen voor omhoog en omlaag schalen vast te leggen. U kunt de Azure Load Testing-service gebruiken om het eerste verkeer te genereren, zodat u Azure Firewall kunt opschalen naar het maximum aantal exemplaren.
Configureer een Azure Firewall-subnet met een /26-adresruimte. U hebt een toegewezen subnet nodig voor Azure Firewall. Azure Firewall richt meer capaciteit in terwijl deze wordt geschaald. Een /26-adresruimte zorgt ervoor dat de firewall voldoende IP-adressen heeft die beschikbaar zijn voor de schaalaanpassing. Voor Azure Firewall is geen subnet vereist dat groter is dan /26. Geef het Azure Firewall-subnet de naam AzureFirewallSubnet.
Schakel geavanceerde logboekregistratie niet in als u deze niet nodig hebt. Azure Firewall biedt enkele geavanceerde mogelijkheden voor logboekregistratie die aanzienlijke kosten in rekening kunnen houden om actief te blijven. In plaats daarvan kunt u deze mogelijkheden alleen gebruiken voor het oplossen van problemen en voor beperkte tijd. Schakel mogelijkheden uit wanneer u ze niet nodig hebt. Topstromen en stroomtraceringslogboeken zijn bijvoorbeeld duur en kunnen overmatig CPU- en opslaggebruik veroorzaken in de Azure Firewall-infrastructuur.
Aanbevelingen
| Aanbeveling | Voordeel |
|---|---|
| Gebruik het dashboard beleidsanalyse om manieren te identificeren om Azure Firewall-beleid te optimaliseren. | Gebruik beleidsanalyse om potentiële problemen in uw beleid te identificeren, zoals het voldoen aan beleidslimieten, onjuiste regels en onjuist gebruik van IP-groepen. Krijg aanbevelingen om de prestaties van uw beveiligingspostuur en regelverwerking te verbeteren. |
| Plaats veelgebruikte regels vroeg in een groep om de latentie voor Azure Firewall-beleidsregels met grote regelsets te optimaliseren. Zie Azure Firewall-beleid gebruiken om regels te verwerken voor meer informatie. |
Plaats veelgebruikte regels hoog in een regelset om de latentie van de verwerking te optimaliseren. Azure Firewall verwerkt regels op basis van het regeltype, de overname, de prioriteit van de regelverzamelingsgroep en de prioriteit van de regelverzameling. Azure Firewall verwerkt eerst verzamelingsgroepen met hoge prioriteit. Binnen een regelverzamelingsgroep verwerkt Azure Firewall regelverzamelingen met de hoogste prioriteit. |
| Gebruik IP-groepen om IP-adresbereiken samen te vatten en te voorkomen dat de limiet van unieke bron- of unieke doelnetwerkregels wordt overschreden. Azure Firewall behandelt de IP-groep als één adres wanneer u netwerkregels maakt. | Deze aanpak verhoogt het aantal IP-adressen dat u kunt dekken zonder de limiet te overschrijden. Voor elke regel vermenigvuldigt Azure poorten met IP-adressen. Als één regel dus vier IP-adresbereiken en vijf poorten heeft, gebruikt u 20 netwerkregels. |
| Gebruik Azure Firewall-webcategorieën om uitgaande toegang bulksgewijs toe te staan of te weigeren, in plaats van expliciet een lange lijst met openbare internetsites te bouwen en te onderhouden. | Deze functie categoriseert webinhoud dynamisch en maakt het mogelijk om compacte toepassingsregels te maken, waardoor de operationele overhead wordt verminderd. |
| Evalueer de invloed van de prestaties van IDPS in de waarschuwings- en weigeringsmodus . Zie De prestaties van Azure Firewall voor meer informatie. | Schakel IDPS in in de waarschuwings- en weigeringsmodus om schadelijke netwerkactiviteiten te detecteren en te voorkomen. Deze functie kan leiden tot een prestatiestraf. Inzicht in het effect op uw workload, zodat u dienovereenkomstig kunt plannen. |
| Configureer Azure Firewall-implementaties met minimaal vijf openbare IP-adressen voor implementaties die vatbaar zijn voor uitputting van SNAT-poorten. | Azure Firewall ondersteunt 2496 poorten voor elk openbaar IP-adres dat door elke back-end azure Virtual Machine Scale Sets-instantie wordt gebruikt. Deze configuratie verhoogt de beschikbare SNAT-poorten vijf keer. Standaard implementeert Azure Firewall twee instanties van virtuele-machineschaalsets die ondersteuning bieden voor 4.992 poorten voor elk doel-IP, doelpoort en TCP- of UDP-protocol. De firewall schaalt maximaal 20 exemplaren op. |
Azure-beleid
Azure biedt een uitgebreide set ingebouwde beleidsregels met betrekking tot Azure Firewall en de bijbehorende afhankelijkheden. Enkele van de voorgaande aanbevelingen kunnen worden gecontroleerd via Azure Policy. U kunt bijvoorbeeld controleren of:
Netwerkinterfaces mogen geen openbare IP-adressen hebben. Dit beleid weigert netwerkinterfaces die zijn geconfigureerd met een openbaar IP-adres. Met openbare IP-adressen kunnen internetbronnen binnenkomend communiceren met Azure-resources, en Azure-resources kunnen uitgaand communiceren met internet.
Al het internetverkeer moet worden gerouteerd via uw geïmplementeerde Azure Firewall-exemplaar. Azure Security Center identificeert dat sommige van uw subnetten niet worden beveiligd met een firewall van de volgende generatie. Bescherm uw subnetten tegen mogelijke bedreigingen. Gebruik Azure Firewall of een ondersteunde firewall van de volgende generatie om de toegang tot uw subnetten te beperken.
Raadpleeg de ingebouwde Azure Policy-definities voor Azure Firewall en andere beleidsregels die van invloed kunnen zijn op de beveiliging van het netwerk voor uitgebreide governance.
Aanbevelingen van Azure Advisor
Azure Advisor is een persoonlijke cloudconsultant die u helpt aanbevolen procedures voor het optimaliseren van uw Azure-implementaties te volgen. Hier volgen enkele aanbevelingen waarmee u de betrouwbaarheid, beveiliging, kosteneffectiviteit, prestaties en operationele uitmuntendheid van Azure Firewall kunt verbeteren.
Volgende stappen
Zie de volgende bronnen die de aanbevelingen in dit artikel laten zien.
Gebruik de volgende referentiearchitecturen als voorbeelden van het toepassen van de richtlijnen van dit artikel op een workload:
Gebruik de volgende resources om uw implementatie-expertise te verbeteren:
Zie andere resources: