Wanneer u Azure Firewall Premium gebruikt

  • 8 minuten

Organisaties kunnen Azure Firewall Premium-functies zoals IDPS- en TLS-inspectie gebruiken om te voorkomen dat malware en virussen zich verspreiden over netwerken in zowel zijdelingse als horizontale richtingen. Azure Firewall Premium maakt gebruik van een krachtigere SKU voor virtuele machines om te voldoen aan de verhoogde prestatievereisten van IDPS- en TLS-inspectie. Net als de Standard-SKU kan de Premium-SKU naadloos worden geschaald tot 30 Gbps en worden geïntegreerd met beschikbaarheidszones ter ondersteuning van de SLA (Service Level Agreement) van 99,99 procent. De Premium SKU voldoet aan de behoeften van de PCI DSS-omgeving (Payment Card Industry Data Security Standard).

Overweeg de volgende scenario's om te bepalen of Azure Firewall Premium geschikt is voor uw organisatie:

U wilt uitgaand TLS-versleuteld netwerkverkeer inspecteren

Azure Firewall Premium TLS-inspectie kan uitgaand verkeer ontsleutelen, de gegevens verwerken, vervolgens de gegevens versleutelen en naar de bestemming verzenden.

Azure Firewall Premium beëindigt uitgaande en oost-west TLS-verbindingen. Binnenkomende TLS-inspectie wordt ondersteund met Azure-toepassing Gateway die end-to-end-versleuteling toestaat. Azure Firewall voert de vereiste beveiligingsfuncties met toegevoegde waarde uit en versleutelt het verkeer dat naar de oorspronkelijke bestemming wordt verzonden opnieuw.

U wilt uw netwerk beveiligen met behulp van op handtekeningen gebaseerde detectie van schadelijk verkeer

Met een netwerkinbraakdetectie- en preventiesysteem (IDPS) kunt u uw netwerk controleren op schadelijke activiteiten. Hiermee kunt u ook informatie vastleggen over deze activiteit, deze rapporteren en eventueel proberen deze te blokkeren.

Azure Firewall Premium biedt op handtekeningen gebaseerde IDPS om snelle detectie van aanvallen mogelijk te maken door te zoeken naar specifieke patronen, zoals bytereeksen in netwerkverkeer of bekende schadelijke instructiereeksen die worden gebruikt door malware. De IDPS-handtekeningen zijn van toepassing voor verkeer op toepassings- en netwerkniveau (laag 4-7). Ze worden volledig beheerd en continu bijgewerkt. U kunt IDPS toepassen op inkomend, spoke-to-spoke (oost-west) en uitgaand verkeer.

De Azure Firewall-handtekeningen/regelsets omvatten:

  • Een nadruk op het vingerafdruken van werkelijke malware, Command and Control, exploit kits, en in de wilde schadelijke activiteit gemist door traditionele preventiemethoden.
  • Meer dan 55.000 regels in meer dan 50 categorieën.
  • De categorieën omvatten malware-opdrachten en -controle, DoS-aanvallen, botnets, informatieve gebeurtenissen, aanvallen, beveiligingsproblemen, SCADA-netwerkprotocollen, exploit kit-activiteit en meer.
  • Er worden elke dag 20 tot 40+ nieuwe regels uitgebracht.
  • Lage fout-positieve waardering met behulp van de nieuwste malware-sandbox en wereldwijde sensornetwerkfeedbacklus.

Met IDPS kunt u aanvallen detecteren in alle poorten en protocollen voor niet-versleuteld verkeer. Wanneer HTTPS-verkeer echter moet worden geïnspecteerd, kan Azure Firewall de TLS-inspectiefunctie gebruiken om het verkeer te ontsleutelen en schadelijke activiteiten beter te detecteren.

Met de lijst idPS Bypass kunt u verkeer niet filteren op een van de IP-adressen, bereiken en subnetten die zijn opgegeven in de bypass-lijst.

U kunt ook handtekeningregels gebruiken wanneer de IDPS-modus is ingesteld op Waarschuwing. Er zijn echter een of meer specifieke handtekeningen die u wilt blokkeren, inclusief het bijbehorende verkeer. In dit geval kunt u nieuwe handtekeningregels toevoegen door de TLS-inspectiemodus in te stellen op weigeren.

U wilt de FQDN-filtermogelijkheid van Azure Firewall uitbreiden om een volledige URL te overwegen

Azure Firewall Premium kan filteren op een volledige URL. Bijvoorbeeld, www.contoso.com/a/c in plaats van www.contoso.com.

URL-filtering kan zowel worden toegepast op HTTP- als HTTPS-verkeer. Wanneer HTTPS-verkeer wordt geïnspecteerd, kan Azure Firewall Premium de TLS-inspectiefunctie gebruiken om het verkeer te ontsleutelen en de doel-URL te extraheren om te controleren of toegang is toegestaan. Tls-inspectie vereist aanmelding op toepassingsregelniveau. Zodra deze optie is ingeschakeld, kunt u URL's gebruiken voor filteren met HTTPS.

U wilt toegang toestaan of weigeren op basis van categorieën

Met de functie Webcategorieën kunnen beheerders gebruikerstoegang tot websitecategorieën toestaan of weigeren, zoals gokwebsites, websites voor sociale media en anderen. Webcategorieën zijn ook opgenomen in Azure Firewall Standard, maar deze zijn beter afgestemd op Azure Firewall Premium. In tegenstelling tot de mogelijkheid voor webcategorieën in de Standard-SKU die overeenkomt met de categorie op basis van een FQDN, komt de Premium-SKU overeen met de categorie volgens de volledige URL voor zowel HTTP- als HTTPS-verkeer.

Als Azure Firewall bijvoorbeeld een HTTPS-aanvraag voor www.google.com/news onderschept, wordt de volgende categorisatie verwacht:

  • Firewall Standard: alleen het FQDN-onderdeel wordt onderzocht, dus www.google.com is gecategoriseerd als zoekmachine.
  • Firewall Premium: de volledige URL wordt onderzocht, dus www.google.com/news is gecategoriseerd als Nieuws.

De categorieën zijn ingedeeld op basis van ernst onder aansprakelijkheid, hoge bandbreedte, zakelijk gebruik, productiviteitsverlies, algemeen surfen en niet-gecategoriseerd.