Planowanie, implementowanie i zarządzanie usługą Azure Firewall, usługą Azure Firewall Manager i zasadami zapory

  • 7 min

Azure Firewall to natywna dla chmury i inteligentna usługa zabezpieczeń zapory sieciowej, która zapewnia najlepszą ochronę przed zagrożeniami dla obciążeń w chmurze działających na platformie Azure. Jest to w pełni stanowa zapora oferowana jako usługa, z wbudowaną wysoką dostępnością i możliwością nieograniczonego skalowania w chmurze. Zapewnia zarówno inspekcję ruchu na wschód-zachód, jak i północ-południe.

Usługa Azure Firewall jest oferowana w trzech jednostkach SKU: Standardowa, Premium i Podstawowa.

Usługa Azure Firewall w warstwie Standardowa

Usługa Azure Firewall Standard zapewnia filtrowanie warstwy 3 do warstwy 7 (L3-L7) i źródła danych analizy zagrożeń bezpośrednio z usługi Microsoft Cyber Security. Filtrowanie oparte na analizie zagrożeń może kierować alerty i blokować ruch ze znanych złośliwych adresów IP i domen, które są aktualizowane w czasie rzeczywistym w celu ochrony przed nowymi i pojawiającymi się atakami.

Diagram przedstawiający przykład standardowej usługi Azure Firewall.

Usługa Azure Firewall w warstwie Premium

Usługa Azure Firewall Premium oferuje zaawansowane funkcje, takie jak wykrywanie nieautoryzowanego dostępu opartego na podpisie system wykrywania i zapobiegania atakom (IDPS), aby umożliwić szybkie wykrywanie ataków, wyszukując określone wzorce. Te wzorce mogą obejmować sekwencje bajtów w ruchu sieciowym lub znane złośliwe sekwencje instrukcji używane przez złośliwe oprogramowanie. Istnieje ponad 67 000 podpisów w ponad 50 kategoriach, które są aktualizowane w czasie rzeczywistym w celu ochrony przed nowymi i pojawiającymi się programami wykorzystującymi luki. Kategorie wykorzystujące luki obejmują złośliwe oprogramowanie, wyłudzanie informacji, wyszukiwania monet i ataki trojańskie.

Diagram przedstawiający przykład usługi Azure Firewall — wersja Premium.

Usługa Azure Firewall w warstwie Podstawowa

Usługa Azure Firewall w warstwie Podstawowa jest przeznaczona dla klientów o małym i średnim rozmiarze (SMB), aby zabezpieczyć swoje środowiska w chmurze platformy Azure. Zapewnia podstawową ochronę klientów SMB potrzebnych w przystępnej cenie.

Podstawowa usługa Azure Firewall jest podobna do zapory w warstwie Standardowa, ale ma następujące główne ograniczenia:

  • Obsługuje tylko tryb alertu funkcji Threat Intel
  • Naprawiono jednostkę skalowania, aby uruchomić usługę w dwóch wystąpieniach zaplecza maszyny wirtualnej
  • Zalecane w przypadku środowisk z szacowaną przepływnością wynoszącą 250 Mb/s

Diagram przedstawiający przykład usługi Azure Firewall w warstwie Podstawowa.

Azure Firewall Manager

Azure Firewall Manager to usługa do zarządzania zabezpieczeniami, która umożliwia centralne zarządzanie zasadami zabezpieczeń i trasami dla obwodów zabezpieczeń opartych na chmurze.

Usługa Firewall Manager może zapewnić zarządzanie zabezpieczeniami dla dwóch typów architektury sieci:

  • Bezpieczny koncentrator wirtualny
    Koncentrator usługi Azure Virtual WAN jest zarządzanym przez firmę Microsoft zasobem, który pozwala łatwo tworzyć architektury gwiazdy. Po skojarzeniu zasad zabezpieczeń i routingu z takim koncentratorem jest on nazywany bezpiecznym koncentratorem wirtualnym.
  • Sieć wirtualna koncentratora
    Jest to standardowa sieć wirtualna platformy Azure, którą samodzielnie tworzysz i zarządzasz nią. Gdy zasady zabezpieczeń są skojarzone z takim koncentratorem, jest nazywane siecią wirtualną koncentratora. Obecnie obsługiwana jest tylko usługa Azure Firewall Policy. Sieci wirtualne będące szprychami, które zawierają serwery obciążeń i usługi. Zapory można również zarządzać w autonomicznych sieciach wirtualnych, które nie są równorzędne z żadną szprychą.

Diagram przedstawiający przykład usługi Azure Firewall Manager.

Funkcje usługi Azure Firewall Manager

Usługa Azure Firewall Manager oferuje następujące funkcje:

Centralne wdrażanie i konfiguracja usługi Azure Firewall

Można centralnie wdrażać i konfigurować wiele wystąpień usługi Azure Firewall obejmujących różne regiony i subskrypcje platformy Azure.

Zasady hierarchiczne (globalne i lokalne)

Za pomocą usługi Azure Firewall Manager można centralnie zarządzać zasadami usługi Azure Firewall w wielu zabezpieczonych koncentratorach wirtualnych. Centralne zespoły IT mogą tworzyć globalne zasady zapory w celu wymuszania zasad zapory dla całej organizacji w zespołach. Lokalnie utworzone zasady zapory umożliwiają samoobsługowy model devOps w celu uzyskania lepszej elastyczności.

Integracja z zabezpieczeniami jako usługą innych firm w celu zapewnienia zaawansowanych zabezpieczeń

Oprócz usługi Azure Firewall można zintegrować dostawców zabezpieczeń jako usługi (SECaaS) innych firm, aby zapewnić dodatkową ochronę sieci dla sieci wirtualnej i połączeń internetowych gałęzi.

Ta funkcja jest dostępna tylko w przypadku zabezpieczonych wdrożeń koncentratora wirtualnego.

  • Filtrowanie ruchu między sieciami wirtualnymi (V2I)

    • Odfiltruj wychodzący ruch sieci wirtualnej za pomocą preferowanego dostawcy zabezpieczeń innej firmy.
    • Korzystaj z zaawansowanej ochrony internetu z obsługą użytkowników dla obciążeń w chmurze uruchomionych na platformie Azure.

  • Filtrowanie ruchu odgałęzienia do Internetu (B2I) Wykorzystanie łączności platformy Azure i dystrybucji globalnej w celu łatwego dodawania filtrowania dla gałęzi do scenariuszy internetowych.

Scentralizowane zarządzanie trasami

Łatwe kierowanie ruchu do zabezpieczonego centrum w celu filtrowania i rejestrowania bez konieczności ręcznego konfigurowania tras zdefiniowanych przez użytkownika (UDR) w sieciach wirtualnych szprych.

Ta funkcja jest dostępna tylko w przypadku zabezpieczonych wdrożeń koncentratora wirtualnego.

Możesz używać dostawców innych firm do filtrowania ruchu między firmami branch to Internet (B2I) obok usługi Azure Firewall for Branch to VNet (B2V), sieci wirtualnej do sieci wirtualnej (V2V) i sieci wirtualnej do Internetu (V2I).

Plan ochrony przed atakami DDoS

Sieci wirtualne można skojarzyć z planem ochrony przed atakami DDoS w usłudze Azure Firewall Manager. Aby uzyskać więcej informacji, zobacz Konfigurowanie planu usługi Azure DDoS Protection przy użyciu usługi Azure Firewall Manager.

Zarządzanie zasadami zapory aplikacji internetowej

Możesz centralnie tworzyć i kojarzyć zasady zapory aplikacji internetowej (WAF) dla platform dostarczania aplikacji, w tym usług Azure Front Door i aplikacja systemu Azure Gateway. Aby uzyskać więcej informacji, zobacz Zarządzanie zasadami zapory aplikacji internetowej.

Dostępność w regionach

Zasady usługi Azure Firewall mogą być używane w różnych regionach. Można na przykład utworzyć zasady w regionie Zachodnie stany USA i użyć ich w regionie Wschodnie stany USA.