Przegląd platformy Azure Well-Architected Framework — Azure Firewall
Ten artykuł zawiera zalecenia dotyczące architektury dla Azure Firewall. Wskazówki są oparte na pięciu filarach doskonałości architektury:
- Niezawodność
- Bezpieczeństwo
- Optymalizacja kosztów
- Efektywność operacyjna
- Zapewnianie wydajności
Zakładamy, że masz wiedzę na temat Azure Firewall i dobrze znasz jej funkcje. Aby uzyskać więcej informacji, zobacz Azure Firewall Przegląd.
Wymagania wstępne
- Zrozumienie filarów platformy Azure Well-Architected Framework może pomóc w utworzeniu wysokiej jakości, stabilnej i wydajnej architektury chmury. Zapoznaj się z obciążeniem, korzystając z oceny przeglądu well-architected Framework .
- Skorzystaj z architektury referencyjnej, aby zapoznać się z zagadnieniami w oparciu o wskazówki podane w tym artykule. Rozpocznij od aplikacji internetowej ze wzmocnionymi zabezpieczeniami sieci z prywatną łącznością z magazynami danych PaaS i zaimplementuj bezpieczną sieć hybrydową.
Niezawodność
Aby dowiedzieć się, jak Azure Firewall niezawodnie obsługuje obciążenia, zobacz następujące artykuły:
- Wprowadzenie do Azure Firewall
- Szybki start: wdrażanie Azure Firewall ze strefami dostępności
- Konfigurowanie usługi Azure Firewall w koncentratorze usługi Virtual WAN
Lista kontrolna projektu
Podczas podejmowania decyzji projektowych dotyczących Azure Firewall zapoznaj się z zasadami projektowania dotyczącymi niezawodności.
- Wdróż Azure Firewall w sieciach wirtualnych koncentratora lub w ramach centrów usługi Azure Virtual WAN.
- Wykorzystanie odporności Strefy dostępności.
- Utwórz strukturę zasad Azure Firewall.
- Zapoznaj się z listą Znany problem.
- Monitorowanie stanu kondycji Azure Firewall.
Uwaga
Istnieją różnice w dostępności usług sieciowych między tradycyjnym modelem piasty & szprych i Virtual WAN zarządzanych zabezpieczonych koncentratorów. Na przykład w centrum Virtual WAN nie można pobrać publicznego adresu IP Azure Firewall z prefiksu publicznego adresu IP i nie można włączyć ochrony przed atakami DDoS. Wybór jednego lub drugiego modelu musi uwzględniać wymagania we wszystkich pięciu filarach platformy Well-Architected Framework.
Zalecenia
Zapoznaj się z poniższą tabelą zaleceń, aby zoptymalizować konfigurację Azure Firewall pod kątem niezawodności.
| Zalecenie | Korzyść |
|---|---|
| Użyj menedżera Azure Firewall z tradycyjnymi topologiami sieci & Hub & lub Azure Virtual WAN, aby wdrażać wystąpienia Azure Firewall i zarządzać nimi. | Łatwe tworzenie architektur piasty i szprych i przechodnich przy użyciu natywnych usług zabezpieczeń na potrzeby zapewniania ładu i ochrony ruchu. Aby uzyskać więcej informacji na temat topologii sieci, zobacz dokumentację usługi Azure Cloud Adoption Framework. |
| Utwórz zasady Azure Firewall, aby zarządzać stanem zabezpieczeń w globalnych środowiskach sieciowych. Przypisz zasady do wszystkich wystąpień Azure Firewall. | Azure Firewall Zasady można rozmieszczać w strukturze hierarchicznej, aby nakładać centralne zasady podstawowe. Zezwalaj na szczegółowe zasady spełniające wymagania określonych regionów. Delegowanie zasad zapory przyrostowej do lokalnych zespołów ds. zabezpieczeń za pomocą kontroli dostępu opartej na rolach (RBAC). Niektóre ustawienia są specyficzne dla każdego wystąpienia, na przykład reguły DNAT i konfiguracja DNS, a następnie może być wymagane wiele wyspecjalizowanych zasad. |
| Migrowanie reguł klasycznych Azure Firewall do zasad menedżera Azure Firewall dla istniejących wdrożeń. | W przypadku istniejących wdrożeń zmigruj reguły Azure Firewall do zasad Azure Firewall Manager. Za pomocą menedżera Azure Firewall można centralnie zarządzać zaporami i zasadami. Aby uzyskać więcej informacji, zobacz Migrowanie do Azure Firewall Premium. |
| Przejrzyj listę Azure Firewall znanych problemów. | Azure Firewall Grupa produktów utrzymuje zaktualizowaną listę znanych problemów w tej lokalizacji. Ta lista zawiera ważne informacje związane z zachowaniem projektu, poprawkami w budowie, ograniczeniami platformy oraz możliwymi obejściami lub ograniczeniem ryzyka. |
| Upewnij się, że zasady Azure Firewall są zgodne z limitami i zaleceniami Azure Firewall. | Istnieją ograniczenia dotyczące struktury zasad, w tym liczby reguł i grup kolekcji reguł, łączny rozmiar zasad, miejsca docelowe źródła/miejsca docelowego. Pamiętaj, aby utworzyć zasady i pozostać za udokumentowanymi progami. |
| Wdróż Azure Firewall w wielu strefach dostępności, aby uzyskać umowę dotyczącą wyższego poziomu usług (SLA). | Azure Firewall zapewnia różne umowy SLA, gdy są wdrażane w jednej strefie dostępności i kiedy są wdrażane w wielu strefach. Aby uzyskać więcej informacji, zobacz Umowa SLA dla Azure Firewall. Aby uzyskać informacje o wszystkich umowach SLA platformy Azure, zobacz Podsumowanie umowy SLA dla usług platformy Azure. |
| W środowiskach z wieloma regionami wdróż wystąpienie Azure Firewall na region. | W przypadku tradycyjnych architektur usługi Hub & Szprych szczegółowe informacje o wielu regionach zostały wyjaśnione w tym artykule. W przypadku zabezpieczonych koncentratorów wirtualnych (Azure Virtual WAN) należy skonfigurować intencję routingu i zasady w celu zabezpieczenia komunikacji między piastami i oddziałami. W przypadku obciążeń, które mają być odporne na awarie i odporność na uszkodzenia, należy wziąć pod uwagę, że wystąpienia Azure Firewall i azure Virtual Network jako zasoby regionalne. |
| Monitorowanie metryk Azure Firewall i stanu Resource Health. | Uważnie monitoruj kluczowy wskaźnik metryk stanu kondycji Azure Firewall, taki jak przepływność, stan kondycji zapory, wykorzystanie portów SNAT i metryki sondy opóźnienia AZFW. Ponadto Azure Firewall teraz integruje się z usługą Azure Resource Health. Po sprawdzeniu Azure Firewall Resource Health możesz teraz wyświetlić stan kondycji Azure Firewall i rozwiązać problemy z usługą, które mogą mieć wpływ na zasób Azure Firewall. |
Usługa Azure Advisor pomaga zapewnić i poprawić ciągłość aplikacji o znaczeniu krytycznym dla działania firmy. Zapoznaj się z zaleceniami usługi Azure Advisor.
Zabezpieczenia
Bezpieczeństwo to jeden z najważniejszych aspektów każdej architektury. Azure Firewall to inteligentna usługa zabezpieczeń zapory, która zapewnia ochronę przed zagrożeniami dla obciążeń w chmurze uruchomionych na platformie Azure.
Lista kontrolna projektu
Podczas podejmowania decyzji projektowych dotyczących Azure Firewall zapoznaj się z zasadami projektowania dotyczącymi zabezpieczeń.
- Ustal, czy potrzebujesz wymuszonego tunelowania.
- Utwórz reguły dla zasad na podstawie kryteriów dostępu do najniższych uprawnień.
- Korzystanie z analizy zagrożeń.
- Włącz serwer proxy DNS Azure Firewall.
- Kierowanie ruchu sieciowego przez Azure Firewall.
- Określ, czy chcesz używać dostawców zabezpieczeń jako usługi (SECaaS) innych firm.
- Ochrona Azure Firewall publicznych adresów IP przy użyciu usługi DDoS.
Zalecenia
Zapoznaj się z poniższą tabelą zaleceń, aby zoptymalizować konfigurację Azure Firewall pod kątem zabezpieczeń.
| Zalecenie | Korzyść |
|---|---|
| Jeśli jest to wymagane do kierowania całego ruchu powiązanego z Internetem do wyznaczonego następnego przeskoku zamiast bezpośredniego przejścia do Internetu, skonfiguruj Azure Firewall w trybie wymuszonego tunelowania (nie ma zastosowania do usługi Azure Virtual WAN). | Usługa Azure Firewall musi mieć bezpośrednie połączenie z Internetem. Jeśli twoja sieć AzureFirewallSubnet pozna domyślną trasę do sieci lokalnej za pośrednictwem protokołu Border Gateway Protocol, musisz skonfigurować Azure Firewall w trybie wymuszonego tunelowania. Korzystając z funkcji wymuszonego tunelowania, potrzebna będzie inna przestrzeń adresowa /26 dla podsieci zarządzania Azure Firewall. Musisz nazwać ją azureFirewallManagementSubnet. Jeśli jest to istniejące wystąpienie Azure Firewall, którego nie można ponownie skonfigurować w trybie wymuszonego tunelowania, utwórz trasę zdefiniowaną przez użytkownika z trasą 0.0.0.0/0. Ustaw wartość NextHopType jako Internet. Skojarz ją z usługą AzureFirewallSubnet , aby zachować łączność z Internetem. |
| Ustaw publiczny adres IP na Wartość Brak, aby wdrożyć w pełni prywatną płaszczyznę danych podczas konfigurowania Azure Firewall w trybie wymuszonego tunelowania (nie ma zastosowania do usługi Azure Virtual WAN). | Podczas wdrażania nowego wystąpienia Azure Firewall, jeśli włączysz tryb wymuszonego tunelowania, możesz ustawić publiczny adres IP na Wartość Brak, aby wdrożyć w pełni prywatną płaszczyznę danych. Jednak płaszczyzna zarządzania nadal wymaga publicznego adresu IP tylko do celów zarządzania. Ruch wewnętrzny z sieci wirtualnych i lokalnych nie będzie używać tego publicznego adresu IP. Aby uzyskać więcej informacji na temat wymuszonego tunelowania, zobacz Azure Firewall wymuszone tunelowanie. |
| Utwórz reguły dla zasad zapory na podstawie kryteriów dostępu do najniższych uprawnień. | Azure Firewall Zasady można rozmieszczać w strukturze hierarchicznej, aby nakładać centralne zasady podstawowe. Zezwalaj na szczegółowe zasady spełniające wymagania określonych regionów. Każda zasada może zawierać różne zestawy reguł DNAT, sieci i aplikacji z określonym priorytetem, akcją i kolejnością przetwarzania. Utwórz reguły na podstawie zasady Zero Trust najniższych uprawnień. Sposób przetwarzania reguł wyjaśniono w tym artykule. |
| Włącz analizę zagrożeń na Azure Firewall w trybie alertu i odmowy. | Możesz włączyć filtrowanie oparte na inteligencji zagrożeń dla zapory, aby otrzymywać alerty i odrzucać ruch z lub do nieznanych adresów IP i domen. Adresy IP i domeny pochodzą z kanału informacyjnego analizy zagrożeń firmy Microsoft. Usługa Intelligent Security Graph obsługuje analizę zagrożeń firmy Microsoft i jest używana przez wiele usług, w tym Microsoft Defender for Cloud. |
| Włącz dostawcę tożsamości w trybie alertu lub alertu i odmowy . | IdPS to jedna z najbardziej zaawansowanych funkcji zabezpieczeń Azure Firewall (Premium) i powinna być włączona. Na podstawie wymagań dotyczących zabezpieczeń i aplikacji oraz biorąc pod uwagę wpływ na wydajność (zobacz sekcję Koszt poniżej), można wybrać tryby alertu lub alertu i odmowy . |
| Włącz konfigurację serwera proxy Azure Firewall (DNS). | Włączenie tej funkcji wskazuje klientów w sieciach wirtualnych w celu Azure Firewall jako serwera DNS. Będzie ona chronić wewnętrzną infrastrukturę DNS, która nie będzie bezpośrednio uzyskiwana i uwidoczniona. Azure Firewall należy również skonfigurować do używania niestandardowego systemu DNS, który będzie używany do przekazywania zapytań DNS. |
| Skonfiguruj trasy zdefiniowane przez użytkownika (UDR), aby wymusić ruch przez Azure Firewall. | W tradycyjnej architekturze piasty & szprych skonfiguruj trasy zdefiniowane przez użytkownika, aby wymusić ruch przez Azure Firewall dla SpoketoSpoke, SpoketoInterneti SpoketoHybrid łączności. Zamiast tego w usłudze Azure Virtual WAN skonfiguruj intencję routingu i zasady, aby przekierowywać ruch prywatny i/lub internetowy za pośrednictwem wystąpienia Azure Firewall zintegrowanego z centrum. |
| Ograniczanie użycia publicznych adresów IP bezpośrednio powiązanych z Virtual Machines | Aby zapobiec pomijaniu zapory przez ruch, skojarzenie publicznych adresów IP z interfejsami sieciowymi maszyn wirtualnych powinno być ograniczone. W modelu usługi Azure Cloud Adoption Framework (CAF) określony Azure Policy jest przypisywany do grupy zarządzania CORP. |
| Jeśli nie można zastosować trasy zdefiniowanej przez użytkownika i wymagane jest tylko przekierowanie ruchu internetowego, rozważ użycie Azure Firewall jako jawnego serwera proxy | Funkcja jawnego serwera proxy włączona w ścieżce ruchu wychodzącego umożliwia skonfigurowanie ustawienia serwera proxy dla wysyłającej aplikacji internetowej (takiej jak przeglądarka internetowa) z Azure Firewall skonfigurowanym jako serwer proxy. W związku z tym ruch internetowy osiągnie prywatny adres IP zapory i w związku z tym wychodzący bezpośrednio z zapory bez użycia trasy zdefiniowanej przez użytkownika. Ta funkcja ułatwia również użycie wielu zapór bez modyfikowania istniejących tras sieciowych. |
| Skonfiguruj obsługiwanych dostawców zabezpieczeń oprogramowania jako usługi (SaaS) innych firm w programie Firewall Manager, jeśli chcesz używać tych rozwiązań do ochrony połączeń wychodzących. | Aby chronić dostęp do Internetu dla użytkowników, możesz użyć znanych, najlepszych w swojej rasie ofert SECaaS innych firm . Ten scenariusz wymaga Virtual WAN platformy Azure z VPN Gateway S2S w centrum, ponieważ używa tunelu IPSec do łączenia się z infrastrukturą dostawcy. Dostawcy SECaaS mogą pobierać dodatkowe opłaty za licencje i ograniczać przepływność połączeń IPSec. Istnieją alternatywne rozwiązania, takie jak łącznik chmury ZScaler i mogą być bardziej odpowiednie. |
| Użyj filtrowania w pełni kwalifikowanej nazwy domeny (FQDN) w regułach sieci. | Nazwy FQDN można używać na podstawie rozpoznawania nazw DNS w zasadach Azure Firewall i zapory. Ta funkcja umożliwia filtrowanie ruchu wychodzącego przy użyciu dowolnego protokołu TCP/UDP (w tym NTP, SSH, RDP i innych). Należy włączyć konfigurację serwera proxy DNS Azure Firewall do używania nazw FQDN w regułach sieciowych. Aby dowiedzieć się, jak to działa, zobacz Azure Firewall filtrowanie nazw FQDN w regułach sieci. |
| Użyj tagów usługi w regułach sieci, aby włączyć selektywny dostęp do określonych usług firmy Microsoft. | Tag usługi reprezentuje grupę prefiksów adresów IP, aby zminimalizować złożoność tworzenia reguły zabezpieczeń. Przy użyciu tagów usługi w regułach sieciowych można włączyć dostęp wychodzący do określonych usług na platformie Azure, dynamics i Office 365 bez otwierania szerokiego zakresu adresów IP. Platforma Azure będzie automatycznie obsługiwać mapowanie między tymi tagami i źródłowymi adresami IP używanymi przez każdą usługę. Lista tagów usługi dostępnych dla Azure Firewall znajduje się tutaj: Az Firewall Service Tags(Az Firewall Service Tags). |
| Użyj tagów FQDN w regułach aplikacji, aby umożliwić selektywny dostęp do określonych usług firmy Microsoft. | Tag FQDN reprezentuje grupę w pełni kwalifikowanych nazw domen (FQDN) skojarzonych z dobrze znanymi usługami firmy Microsoft. Możesz użyć tagu FQDN w regułach aplikacji, aby zezwolić na wymagany ruch sieciowy wychodzący przez zaporę dla niektórych określonych usług platformy Azure, Office 365, Windows 365 i Intune. |
| Użyj menedżera Azure Firewall, aby utworzyć i skojarzyć plan ochrony przed atakami DDoS z siecią wirtualną koncentratora (nie ma zastosowania do usługi Azure Virtual WAN). | Plan ochrony przed atakami DDoS zapewnia ulepszone funkcje ograniczania ryzyka w celu obrony zapory przed atakami DDoS. Azure Firewall Manager to zintegrowane narzędzie do tworzenia infrastruktury zapory i planów ochrony przed atakami DDoS. Aby uzyskać więcej informacji, zobacz Konfigurowanie planu usługi Azure DDoS Protection przy użyciu menedżera Azure Firewall. |
| Używanie infrastruktury kluczy publicznych przedsiębiorstwa do generowania certyfikatów na potrzeby inspekcji protokołu TLS. | W przypadku Azure Firewall Premium, jeśli jest używana funkcja inspekcji protokołu TLS, zaleca się wykorzystanie wewnętrznego urzędu certyfikacji przedsiębiorstwa (CA) dla środowiska produkcyjnego. Certyfikaty z podpisem własnym powinny być używane tylko do celów testowania/weryfikacji koncepcji. |
| Zapoznaj się z przewodnikiem konfiguracji Zero-Trust dla Azure Firewall i Application Gateway | Jeśli wymagania dotyczące zabezpieczeń wymagają wdrożenia podejścia Zero-Trust dla aplikacji internetowych (inspekcji i szyfrowania), zaleca się wykonanie tego przewodnika. W tym dokumencie wyjaśniono, jak zintegrować Azure Firewall i Application Gateway zarówno w tradycyjnych scenariuszach & Szprychy piasty, jak i Virtual WAN. |
Usługa Azure Advisor pomaga zapewnić i poprawić ciągłość aplikacji o znaczeniu krytycznym dla działania firmy. Zapoznaj się z zaleceniami usługi Azure Advisor.
Definicje zasad
Interfejsy sieciowe nie powinny mieć publicznych adresów IP. Te zasady odrzucają interfejsy sieciowe skonfigurowane przy użyciu dowolnego publicznego adresu IP. Publiczne adresy IP umożliwiają zasobom internetowym komunikowanie się w ramach ruchu przychodzącego z zasobami platformy Azure, a zasobom platformy Azure komunikowanie się w ramach ruchu wychodzącego z Internetem.
Cały ruch internetowy powinien być kierowany za pośrednictwem wdrożonego Azure Firewall. Azure Security Center zidentyfikowano, że niektóre podsieci nie są chronione za pomocą zapory nowej generacji. Chroń podsieci przed potencjalnymi zagrożeniami, ograniczając dostęp do nich za pomocą Azure Firewall lub obsługiwanej zapory nowej generacji.
Zasady zapory platformy Azure powinny włączyć inspekcję protokołu TLS w regułach aplikacji. Włączenie inspekcji protokołu TLS jest zalecane dla wszystkich reguł aplikacji w celu wykrywania, zgłaszania alertów i ograniczania złośliwych działań w protokole HTTPS. Aby dowiedzieć się więcej na temat inspekcji protokołu TLS za pomocą Azure Firewall, odwiedź stronę https://aka.ms/fw-tlsinspect.
Azure Firewall Premium należy skonfigurować prawidłowy certyfikat pośredni, aby umożliwić inspekcję protokołu TLS. Skonfiguruj prawidłowy certyfikat pośredni i włącz inspekcję protokołu TLS w warstwie Azure Firewall Premium, aby wykrywać, ostrzegać i ograniczać złośliwe działania w protokole HTTPS. Aby dowiedzieć się więcej na temat inspekcji protokołu TLS za pomocą Azure Firewall, odwiedź stronę https://aka.ms/fw-tlsinspect.
Lista pomijania systemu wykrywania i zapobiegania włamaniom powinna być pusta w zasadach zapory Premium. Lista obejścia systemu wykrywania i zapobiegania włamaniom (IDPS) pozwala nie filtrować ruchu do żadnego z adresów IP, zakresów i podsieci określonych na liście obejścia. Jednak włączenie dostawcy tożsamości jest zalecane dla wszystkich przepływów ruchu w celu lepszego identyfikowania znanych zagrożeń. Aby dowiedzieć się więcej na temat sygnatur systemu wykrywania i zapobiegania włamaniom (IDPS) z Azure Firewall Premium, odwiedź stronę https://aka.ms/fw-idps-signature.
Zasady zapory Premium powinny włączyć wszystkie reguły sygnatur DOSTAWCY tożsamości w celu monitorowania wszystkich przepływów ruchu przychodzącego i wychodzącego. Włączenie wszystkich reguł sygnatur systemu wykrywania i zapobiegania włamaniom (IDPS) jest zalecane, aby lepiej identyfikować znane zagrożenia w przepływach ruchu. Aby dowiedzieć się więcej na temat sygnatur systemu wykrywania i zapobiegania włamaniom (IDPS) z Azure Firewall Premium, odwiedź stronę https://aka.ms/fw-idps.
Zasady zapory Premium powinny włączyć system wykrywania i zapobiegania włamaniom (IDPS). Włączenie systemu wykrywania i zapobiegania włamaniom (IDPS) umożliwia monitorowanie sieci pod kątem złośliwych działań, rejestrowanie informacji o tym działaniu, zgłaszanie go i opcjonalne próby jego zablokowania. Aby dowiedzieć się więcej na temat systemu wykrywania i zapobiegania włamaniom (IDPS) z usługą Azure Firewall Premium, odwiedź stronę https://aka.ms/fw-idps.
Subskrypcja powinna skonfigurować Azure Firewall Premium, aby zapewnić dodatkową warstwę ochrony. Azure Firewall Premium zapewnia zaawansowaną ochronę przed zagrożeniami, która spełnia potrzeby wysoce wrażliwych i regulowanych środowisk. Wdróż Azure Firewall Premium w ramach subskrypcji i upewnij się, że cały ruch usługi jest chroniony przez usługę Azure Firewall Premium. Aby dowiedzieć się więcej o Azure Firewall Premium, odwiedź stronę https://aka.ms/fw-premium.
Wszystkie wbudowane definicje zasad związane z siecią platformy Azure są wymienione w temacie Wbudowane zasady — sieć.
Optymalizacja kosztów
Optymalizacja kosztów dotyczy sposobów zmniejszenia niepotrzebnych wydatków i poprawy wydajności operacyjnej.
Lista kontrolna projektu
Podczas podejmowania decyzji projektowych dotyczących Azure Firewall zapoznaj się z zasadami projektowania optymalizacji kosztów.
- Wybierz jednostkę SKU Azure Firewall do wdrożenia.
- Ustal, czy niektóre wystąpienia nie potrzebują stałej alokacji 24x7.
- Określ, gdzie można zoptymalizować użycie zapory między obciążeniami.
- Monitorowanie i optymalizowanie użycia wystąpień zapory w celu określenia efektywności kosztowej.
- Przejrzyj i zoptymalizuj liczbę wymaganych publicznych adresów IP i użytych zasad.
- Przejrzyj wymagania dotyczące rejestrowania, szacowanie kosztów i kontroli w czasie.
Zalecenia
Zapoznaj się z poniższą tabelą zaleceń, aby zoptymalizować konfigurację Azure Firewall pod kątem optymalizacji kosztów.
| Zalecenie | Korzyść |
|---|---|
| Wdróż odpowiednią jednostkę SKU Azure Firewall. | Azure Firewall można wdrożyć w trzech różnych jednostkach SKU: Podstawowa, Standardowa i Premium. Azure Firewall Premium zaleca się zabezpieczanie wysoce poufnych aplikacji (takich jak przetwarzanie płatności). Azure Firewall Standard jest zalecany dla klientów poszukujących zapory warstwy 3–Layer 7 i wymaga automatycznego skalowania w celu obsługi szczytowych okresów ruchu do 30 Gb/s. Azure Firewall Podstawowa jest zalecana dla klientów protokołu SMB z wymaganiami dotyczącymi przepływności wynoszącą 250 Mb/s. W razie potrzeby można obniżyć lub podwyższyć poziom między warstwami Standardowa i Premium, jak opisano tutaj. Aby uzyskać więcej informacji, zobacz Wybieranie odpowiedniej jednostki SKU Azure Firewall w celu spełnienia Twoich potrzeb. |
| Zatrzymaj Azure Firewall wdrożenia, które nie muszą być uruchamiane przez 24x7. | Mogą istnieć środowiska programistyczne lub testowe, które są używane tylko w godzinach pracy. Aby uzyskać więcej informacji, zobacz Cofanie przydziału i przydzielanie Azure Firewall. |
| Współużytkuj to samo wystąpienie Azure Firewall w wielu obciążeniach i w sieciach wirtualnych platformy Azure. | Możesz użyć centralnego wystąpienia Azure Firewall w sieci wirtualnej koncentratora lub Virtual WAN bezpiecznego koncentratora i współużytkować tę samą zaporę w wielu sieciach wirtualnych szprych połączonych z tym samym koncentratorem z tego samego regionu. Upewnij się, że w topologii piasty i szprych nie ma nieoczekiwanego ruchu między regionami. |
| Regularne przeglądanie ruchu przetwarzanego przez Azure Firewall i wyszukiwanie pochodzących optymalizacji obciążeń | Najlepszy dziennik przepływów (znany w branży jako przepływy tłuszczu) pokazuje najważniejsze połączenia, które przyczyniają się do najwyższej przepływności przez zaporę. Zaleca się regularne przeglądanie ruchu przetwarzanego przez Azure Firewall i wyszukiwanie możliwych optymalizacji w celu zmniejszenia ilości ruchu przechodzącego przez zaporę. |
| Przejrzyj niedostatecznie używane wystąpienia Azure Firewall. Identyfikowanie i usuwanie nieużywanych wdrożeń Azure Firewall. | Aby zidentyfikować nieużywane wdrożenia Azure Firewall, zacznij od przeanalizowanie metryk monitorowania i tras zdefiniowanych przez użytkownika skojarzonych z podsieciami wskazującymi prywatny adres IP zapory. Połącz te informacje z innymi weryfikacjami, takimi jak jeśli wystąpienie Azure Firewall ma jakiekolwiek reguły (klasyczne) dla translatora adresów sieciowych, sieci i aplikacji, a nawet jeśli ustawienie serwera proxy DNS jest skonfigurowane na wartość Wyłączone, oraz z wewnętrzną dokumentacją dotyczącą środowiska i wdrożeń. Możesz wykryć wdrożenia, które są opłacalne w czasie. Aby uzyskać więcej informacji na temat monitorowania dzienników i metryk, zobacz Monitorowanie dzienników i metryk Azure Firewall oraz wykorzystanie portów SNAT. |
| Użyj Azure Firewall Manager i jego zasad, aby zmniejszyć koszty operacyjne, zwiększyć wydajność i zmniejszyć nakłady pracy związane z zarządzaniem. | Dokładnie przejrzyj zasady, skojarzenia i dziedziczenie menedżera zapory. Zasady są rozliczane na podstawie skojarzeń zapory. Zasady z zerowym lub jednym skojarzeniem zapory są bezpłatne. Zasady z wieloma skojarzeniami zapory są rozliczane według stałej stawki. Aby uzyskać więcej informacji, zobacz Cennik — Azure Firewall Manager. |
| Usuń nieużywane publiczne adresy IP. | Sprawdź, czy wszystkie skojarzone publiczne adresy IP są używane. Jeśli nie są używane, usuń skojarzenie i usunięcie ich. Przed usunięciem jakichkolwiek adresów IP oceń wykorzystanie portów SNAT. Będziesz używać tylko liczby publicznych adresów IP, których potrzebuje zapora. Aby uzyskać więcej informacji, zobacz Monitorowanie dzienników i metryk Azure Firewall oraz wykorzystanie portów SNAT. |
| Przejrzyj wymagania dotyczące rejestrowania. | Azure Firewall ma możliwość kompleksowego rejestrowania metadanych całego ruchu, które widzi, do obszarów roboczych usługi Log Analytics, magazynu lub rozwiązań innych firm za pośrednictwem usługi Event Hubs. Jednak wszystkie rozwiązania rejestrowania generują koszty przetwarzania i magazynowania danych. W bardzo dużych ilościach koszty te mogą być znaczące, należy rozważyć i oszacować koszty, a także ekonomiczną metodę i alternatywę dla usługi Log Analytics . Zastanów się, czy jest to wymagane do rejestrowania metadanych ruchu dla wszystkich kategorii rejestrowania i modyfikowania w ustawieniach diagnostycznych w razie potrzeby. |
Aby uzyskać więcej sugestii, zobacz Lista kontrolna projektu dotycząca optymalizacji kosztów.
Usługa Azure Advisor pomaga zapewnić i poprawić ciągłość aplikacji krytycznych dla działania firmy. Zapoznaj się z zaleceniami usługi Azure Advisor.
Efektywność operacyjna
Monitorowanie i diagnostyka są niezwykle istotne. Aby szybko rozwiązywać i rozwiązywać problemy, można mierzyć statystyki wydajności i metryki.
Lista kontrolna projektu
Podczas dokonywania wyborów projektowych dla Azure Firewall zapoznaj się z zasadami projektowania doskonałości operacyjnej.
- Obsługa spisu i tworzenia kopii zapasowych Azure Firewall konfiguracji i zasad.
- Skorzystaj z dzienników diagnostycznych na potrzeby monitorowania zapory i rozwiązywania problemów.
- Skorzystaj ze skoroszytu monitorowania Azure Firewall.
- Regularnie przeglądaj szczegółowe informacje i analizy zasad.
- Integrowanie Azure Firewall z usługą Microsoft Defender dla chmury i usługi Microsoft Sentinel.
Zalecenia
Zapoznaj się z poniższą tabelą zaleceń, aby zoptymalizować konfigurację Azure Firewall pod kątem doskonałości operacyjnej.
| Zalecenie | Korzyść |
|---|---|
| Nie należy używać Azure Firewall do sterowania ruchem wewnątrz sieci wirtualnej. | Azure Firewall należy użyć do kontrolowania ruchu między sieciami wirtualnymi, między sieciami wirtualnymi i sieciami lokalnymi, ruchem wychodzącym do Internetu i przychodzącym ruchem innych niż HTTP/s. W przypadku kontroli ruchu wewnątrz sieci wirtualnej zaleca się używanie sieciowych grup zabezpieczeń. |
| Zachowaj regularne kopie zapasowe artefaktów Azure Policy. | Jeśli podejście infrastruktury jako kodu (IaC) jest używane do obsługi Azure Firewall i wszystkich zależności, tworzenie kopii zapasowych i przechowywanie wersji Azure Firewall Zasady powinny być już stosowane. Jeśli nie, mechanizm uzupełniający oparty na zewnętrznej aplikacji logiki można wdrożyć w celu zautomatyzowania i zapewnienia skutecznego rozwiązania. |
| Włącz dzienniki diagnostyczne dla Azure Firewall. | Dzienniki diagnostyczne są kluczowym składnikiem wielu narzędzi i strategii monitorowania dla Azure Firewall i powinny być włączone. Można monitorować Azure Firewall przy użyciu dzienników zapory lub skoroszytów. Dzienniki aktywności można również używać do inspekcji operacji na zasobach Azure Firewall. |
| Użyj formatu dzienników zapory strukturalnej . | Dzienniki zapory strukturalnej to typ danych dziennika zorganizowanych w określonym nowym formacie. Używają wstępnie zdefiniowanego schematu do struktury danych dziennika w sposób ułatwiając wyszukiwanie, filtrowanie i analizowanie. Najnowsze narzędzia do monitorowania są oparte na tym typie dzienników, dlatego często jest to wymaganie wstępne. Użyj poprzedniego formatu dzienników diagnostycznych tylko wtedy, gdy istnieje istniejące narzędzie z wymaganiami wstępnymi. Nie włączaj jednocześnie obu formatów rejestrowania. |
| Użyj wbudowanego skoroszytu monitorowania Azure Firewall. | Azure Firewall środowisko portalu zawiera teraz nowy skoroszyt w interfejsie użytkownika sekcji Monitorowanie, oddzielna instalacja nie jest już wymagana. Za pomocą skoroszytu Azure Firewall możesz wyodrębnić cenne szczegółowe informacje z Azure Firewall zdarzeń, zagłębić się w reguły aplikacji i sieci oraz zbadać statystyki dotyczące działań zapory między adresami URL, portami i adresami. |
| Monitoruj kluczowe metryki i twórz alerty dotyczące wskaźników wykorzystania Azure Firewall pojemności. | Należy utworzyć alerty, aby monitorować co najmniej przepływność, stan kondycji zapory, wykorzystanie portów SNAT i metryki sondy opóźnienia AZFW . Aby uzyskać informacje na temat monitorowania dzienników i metryk, zobacz Monitorowanie dzienników i metryk Azure Firewall. |
| Konfigurowanie integracji Azure Firewall z Microsoft Defender dla usług Cloud i Microsoft Sentinel. | Jeśli te narzędzia są dostępne w środowisku, zaleca się korzystanie z integracji z Microsoft Defender dla rozwiązań w chmurze i Microsoft Sentinel. Dzięki integracji Microsoft Defender dla chmury można wizualizować stan całej infrastruktury sieciowej i zabezpieczeń sieci w jednym miejscu, w tym zabezpieczenia sieci platformy Azure we wszystkich sieciach wirtualnych i centrach wirtualnych rozmieszczonych w różnych regionach na platformie Azure. Integracja z usługą Microsoft Sentinel zapewnia możliwości wykrywania i zapobiegania zagrożeniom. |
| Regularnie przeglądaj pulpit nawigacyjny analizy zasad , aby zidentyfikować potencjalne problemy. | Analiza zasad to nowa funkcja, która zapewnia wgląd w wpływ zasad Azure Firewall. Pomaga zidentyfikować potencjalne problemy (osiąganie limitów zasad, reguł niskiego użycia, nadmiarowych reguł, reguł zbyt ogólnych, rekomendacji użycia grup adresów IP) w zasadach i udostępnia zalecenia dotyczące poprawy stanu zabezpieczeń i wydajności przetwarzania reguł. |
| Zapoznaj się z zapytaniami KQL (język zapytań Kusto), aby umożliwić szybką analizę i rozwiązywanie problemów przy użyciu dzienników Azure Firewall. | Przykładowe zapytania są udostępniane dla Azure Firewall. Umożliwi to szybkie zidentyfikowanie, co dzieje się wewnątrz zapory, i sprawdzenie, która reguła została wyzwolona lub która reguła zezwala na żądanie lub blokuje je. |
Usługa Azure Advisor pomaga zapewnić i poprawić ciągłość aplikacji krytycznych dla działania firmy. Zapoznaj się z zaleceniami usługi Azure Advisor.
Efektywność wydajności
Wydajność to możliwość skalowania obciążenia w celu wydajnego spełnienia wymagań, które są na nim nakładane przez użytkowników.
Lista kontrolna projektu
Podczas podejmowania decyzji projektowych dotyczących Azure Firewall zapoznaj się z zasadami projektowania dotyczącymi wydajności.
- Regularnie przeglądaj i optymalizuj reguły zapory.
- Przejrzyj wymagania dotyczące zasad i możliwości podsumowywania zakresów adresów IP i listy adresów URL.
- Ocena wymagań dotyczących portów SNAT.
- Zaplanuj testy obciążeniowe, aby przetestować wydajność skalowania automatycznego w danym środowisku.
- Nie włączaj narzędzi diagnostycznych i rejestrowania, jeśli nie jest to wymagane.
Zalecenia
Zapoznaj się z poniższą tabelą zaleceń, aby zoptymalizować konfigurację Azure Firewall pod kątem wydajności.
| Zalecenie | Korzyść |
|---|---|
| Użyj pulpitu nawigacyjnego analizy zasad , aby zidentyfikować potencjalne optymalizacje zasad zapory. | Analiza zasad to nowa funkcja, która zapewnia wgląd w wpływ zasad Azure Firewall. Ułatwia to identyfikowanie potencjalnych problemów (osiąganie limitów zasad, reguł niskiego użycia, reguł nadmiarowych, reguł zbyt ogólnych, rekomendacji użycia grup IP) w zasadach i zawiera zalecenia dotyczące poprawy stanu zabezpieczeń i wydajności przetwarzania reguł. |
| W przypadku zasad zapory z dużymi zestawami reguł umieść najczęściej używane reguły na początku grupy, aby zoptymalizować opóźnienie. | Reguły są przetwarzane na podstawie typu reguły, dziedziczenia, priorytetu grupy kolekcji reguł i priorytetu kolekcji reguł. Grupy kolekcji reguł o najwyższym priorytcie są najpierw przetwarzane. W grupie kolekcji reguł kolekcji kolekcje reguł o najwyższym priorytetyzują się najpierw. Umieszczenie większości używanych reguł w zestawie reguł spowoduje optymalizację opóźnienia przetwarzania. Sposób przetwarzania i oceniania reguł wyjaśniono w tym artykule. |
| Użyj grup adresów IP , aby podsumować zakresy adresów IP. | Możesz użyć grup adresów IP do podsumowania zakresów adresów IP, aby nie przekraczać limitu unikatowych reguł sieci źródłowych/docelowych. Dla każdej reguły platforma Azure mnoży porty według adresów IP. Jeśli więc masz jedną regułę z czterema zakresami adresów IP i pięcioma portami, użyjesz 20 reguł sieciowych. Grupa adresów IP jest traktowana jako pojedynczy adres w celu tworzenia reguł sieci. |
| Rozważnie kategorii sieci Web, aby zezwolić na dostęp wychodzący lub odmówić go zbiorczo. | Zamiast jawnie tworzyć i utrzymywać długą listę publicznych witryn internetowych, rozważ użycie Azure Firewall kategorii sieci Web. Ta funkcja będzie dynamicznie kategoryzować zawartość internetową i zezwoli na tworzenie kompaktowych reguł aplikacji. |
| Oceń wpływ wydajności dostawcy tożsamości na tryb alertu i odmowy . | Jeśli Azure Firewall jest wymagany do działania w trybie IDPSAlert i odmów, należy dokładnie rozważyć wpływ wydajności, jak opisano na tej stronie. |
| Oceń potencjalny problem z wyczerpaniem portów SNAT. | Azure Firewall obecnie obsługuje 2496 portów na publiczny adres IP na wystąpienie zestawu skalowania maszyn wirtualnych zaplecza. Domyślnie istnieją dwa wystąpienia zestawu skalowania maszyn wirtualnych. W związku z tym istnieje 4992 porty na docelowy adres IP przepływu, port docelowy i protokół (TCP lub UDP). Zapora skaluje maksymalnie 20 wystąpień. Możesz obejść te limity, konfigurując wdrożenia Azure Firewall z co najmniej pięcioma publicznymi adresami IP dla wdrożeń podatnych na wyczerpanie sieci SNAT. |
| Prawidłowo rozgrzej Azure Firewall przed każdym testem wydajnościowym. | Utwórz początkowy ruch, który nie jest częścią testów obciążeniowych 20 minut przed testem. Użyj ustawień diagnostycznych, aby przechwytywać zdarzenia skalowane w górę i skalowane w dół. Możesz użyć usługi Azure Load Testing , aby wygenerować początkowy ruch. Umożliwia Azure Firewall wystąpieniu skalowanie w górę wystąpień do maksymalnej wartości. |
| Skonfiguruj podsieć Azure Firewall (AzureFirewallSubnet) z przestrzenią adresową /26. | Azure Firewall jest dedykowanym wdrożeniem w sieci wirtualnej. W sieci wirtualnej jest wymagana dedykowana podsieć dla wystąpienia Azure Firewall. Azure Firewall aprowizuje większą pojemność podczas skalowania. Przestrzeń adresowa /26 dla jej podsieci gwarantuje, że zapora ma wystarczającą liczbę adresów IP dostępnych do obsługi skalowania. Azure Firewall nie wymaga podsieci większej niż /26. Nazwa podsieci Azure Firewall musi być azureFirewallSubnet. |
| Nie włączaj rejestrowania zaawansowanego, jeśli nie jest to wymagane | Azure Firewall zapewnia zaawansowane funkcje rejestrowania, które mogą być kosztowne, aby zachować zawsze aktywne. Zamiast tego powinny one być używane tylko do celów rozwiązywania problemów i ograniczone w czasie trwania, a następnie wyłączone, gdy nie są już potrzebne. Na przykład najważniejsze przepływy i dzienniki śledzenia przepływów są kosztowne, może spowodować nadmierne użycie procesora CPU i magazynu w infrastrukturze Azure Firewall. |
Usługa Azure Advisor pomaga zapewnić i poprawić ciągłość aplikacji o znaczeniu krytycznym dla działania firmy. Zapoznaj się z zaleceniami usługi Azure Advisor.
Zalecenia dotyczące usługi Azure Advisor
Azure Advisor to spersonalizowany konsultant ds. chmury, który ułatwia przestrzeganie najlepszych rozwiązań w celu zoptymalizowania wdrożeń platformy Azure. Nie ma jeszcze Azure Firewall rekomendacji usługi Advisor. Niektóre ogólne zalecenia można zastosować, aby ułatwić poprawę niezawodności, bezpieczeństwa, opłacalności, wydajności i doskonałości operacyjnej.
- Tworzenie alertów usługi Azure Service Health, które mają być powiadamiane, gdy problemy z platformą Azure wpływają na Ciebie
- Upewnij się, że masz dostęp do ekspertów w chmurze platformy Azure, gdy jej potrzebujesz
- Włączanie analizy ruchu na potrzeby wglądu we wzorce ruchu w zasobach platformy Azure
- Postępuj zgodnie z wystarczającą ilością administracji (zasada najniższych uprawnień)
- Ochrona zasobów sieciowych przy użyciu Microsoft Defender for Cloud
Dodatkowe zasoby
- Dokumentacja usługi Azure Firewall
- Co to jest usługa Azure Firewall Manager?
- Azure Firewall limity usług, limity przydziału i ograniczenia
- Punkt odniesienia zabezpieczeń platformy Azure dla Azure Firewall
Wskazówki dotyczące centrum architektury platformy Azure
- Omówienie architektury Azure Firewall
- Używanie Azure Firewall w celu ochrony klastra Azure Kubernetes Service (AKS)
- Używanie Azure Firewall do ochrony wdrożeń usługi Azure Virtual Desktop (AVD)
- Ochrona Office 365 przy użyciu Azure Firewall
- Topologia sieci piasty i szprych na platformie Azure
- Sieć zerowego zaufania dla aplikacji internetowych z Azure Firewall i Application Gateway
- Implementowanie bezpiecznej sieci hybrydowej
- Aplikacja internetowa ze wzmocnionymi zabezpieczeniami sieci z prywatną łącznością z magazynami danych PaaS
Następny krok
Wdróż wystąpienie Azure Firewall, aby zobaczyć, jak to działa:
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla