Обзор Azure Well-Architected Framework — Брандмауэр Azure
В этой статье приведены рекомендации по архитектуре для Брандмауэр Azure. Руководство основано на пяти основных принципах архитектуры:
- надежность;
- Безопасность
- Оптимизация затрат
- эффективность работы;
- оптимизация производительности;
Предполагается, что вы хорошо разбираелись в Брандмауэр Azure и хорошо разбираелись в его функциях. Дополнительные сведения см. в Брандмауэр Azure Обзор.
Предварительные требования
- Понимание основных принципов Azure Well-Architected Framework поможет создать высококачественную, стабильную и эффективную облачную архитектуру. Проверьте рабочую нагрузку с помощью оценки проверки Well-Architected Framework .
- Используйте эталонную архитектуру для рассмотрения рекомендаций, приведенных в этой статье. Начните с веб-приложения с защищенной сетью с частным подключением к хранилищам данных PaaS и реализуйте безопасную гибридную сеть.
надежность;
Чтобы узнать, как Брандмауэр Azure надежно поддерживает рабочие нагрузки, ознакомьтесь со следующими статьями:
- Общие сведения о Брандмауэре Azure
- Краткое руководство. Развертывание Брандмауэр Azure с помощью зон доступности
- Настройка брандмауэра Azure в концентраторе виртуальной глобальной сети
Контрольный список проектирования
При выборе проекта для Брандмауэр Azure ознакомьтесь с принципами проектирования для обеспечения надежности.
- Развертывание Брандмауэр Azure в виртуальных сетях концентратора или в составе концентраторов azure Виртуальная глобальная сеть.
- Используйте устойчивость Зоны доступности.
- Создание структуры политики Брандмауэр Azure.
- Просмотрите список известных проблем.
- Мониторинг состояния работоспособности Брандмауэр Azure.
Примечание
Существуют различия в доступности сетевых служб между традиционной моделью концентратора & периферийной и Виртуальная глобальная сеть управляемых защищенных концентраторов. Например, в концентраторе Виртуальная глобальная сеть общедоступный IP-адрес Брандмауэр Azure не может быть получен из префикса общедоступного IP-адреса и не может быть включена защита от атак DDoS. При выборе одной или другой модели необходимо учитывать требования по всем пяти основным аспектам платформы Well-Architected.
Рекомендации
Ознакомьтесь со следующей таблицей рекомендаций по оптимизации конфигурации Брандмауэр Azure для обеспечения надежности.
| Рекомендация | Преимущество |
|---|---|
| Используйте Брандмауэр Azure Manager с традиционными периферийными & концентраторами или сетевыми топологиями Azure Виртуальная глобальная сеть для развертывания экземпляров Брандмауэр Azure и управления ими. | Легко создавайте звездообразную и транзитивную архитектуру с помощью собственных служб безопасности для управления трафиком и защиты. Дополнительные сведения о топологиях сети см. в документации по azure Cloud Adoption Framework. |
| Создайте политики Брандмауэр Azure для управления состоянием безопасности в глобальных сетевых средах. Назначьте политики всем экземплярам Брандмауэр Azure. | Политики Брандмауэр Azure можно упорядочить в иерархической структуре для наложения центральной базовой политики. Разрешите детализированные политики в соответствии с требованиями конкретных регионов. Делегируйте добавочные политики брандмауэра локальным группам безопасности с помощью управления доступом на основе ролей (RBAC). Некоторые параметры являются конкретными для каждого экземпляра, например правила DNAT и конфигурация DNS, то может потребоваться несколько специализированных политик. |
| Перенос классических правил Брандмауэр Azure в политики диспетчера Брандмауэр Azure для существующих развертываний. | Для существующих развертываний перенесите правила Брандмауэр Azure в политики Брандмауэр Azure Manager. Используйте Брандмауэр Azure Manager для централизованного управления брандмауэрами и политиками. Дополнительные сведения см. в статье Миграция на Брандмауэр Azure Premium. |
| Просмотрите список известных проблем Брандмауэр Azure. | Брандмауэр Azure Product Group ведет обновленный список известных проблем в этом расположении. Этот список содержит важную информацию, связанную с поведением по умолчанию, исправлениями в процессе разработки, ограничениями платформы, а также возможными обходными решениями или устранением рисков. |
| Убедитесь, что политика Брандмауэр Azure соответствует Брандмауэр Azure ограничениям и рекомендациям. | Существуют ограничения на структуру политики, включая количество правил и групп коллекций правил, общий размер политики, исходные и целевые назначения. Обязательно создайте политику и не забывайте о превышении задокументированных пороговых значений. |
| Развертывание Брандмауэр Azure в нескольких зонах доступности для более высокого уровня обслуживания (SLA). | Брандмауэр Azure предоставляет различные соглашения об уровне обслуживания при развертывании в одной зоне доступности и при развертывании в нескольких зонах. Дополнительные сведения см. в разделе Соглашение об уровне обслуживания для Брандмауэр Azure. Сведения обо всех соглашениях об уровне обслуживания Azure см. в статье Сводка по соглашению об уровне обслуживания для служб Azure. |
| В средах с несколькими регионами разверните экземпляр Брандмауэр Azure для каждого региона. | Для традиционных архитектур звездообразной & в этой статье описаны сведения о нескольких регионах. Для защищенных виртуальных концентраторов (Azure Виртуальная глобальная сеть) необходимо настроить назначение и политики маршрутизации для защиты обмена данными между концентраторами и филиалами. Для рабочих нагрузок, устойчивых к сбоям и отказоустойчивости, следует учитывать, что экземпляры Брандмауэр Azure и Azure виртуальная сеть в качестве региональных ресурсов. |
| Отслеживайте метрики Брандмауэр Azure и состояние Работоспособность ресурсов. | Внимательно отслеживайте ключевые показатели Брандмауэр Azure состояния работоспособности, такие как пропускная способность, состояние работоспособности брандмауэра, использование портов SNAT и метрики пробы задержки AZFW. Кроме того, Брандмауэр Azure теперь интегрируется с Azure Работоспособность ресурсов. С помощью Брандмауэр Azure Работоспособность ресурсов проверка теперь можно просматривать состояние работоспособности Брандмауэр Azure и устранять проблемы службы, которые могут повлиять на Брандмауэр Azure ресурс. |
Помощник по Azure помогает обеспечить работу критически важных бизнес-приложений и их целостность. Ознакомьтесь с рекомендациями Помощника по Azure.
Безопасность
Безопасность является одним из наиболее важных аспектов любой архитектуры. Брандмауэр Azure — это интеллектуальная служба безопасности брандмауэра, которая обеспечивает защиту от угроз для облачных рабочих нагрузок, работающих в Azure.
Контрольный список проектирования
При выборе макета для Брандмауэр Azure ознакомьтесь с принципами проектирования для обеспечения безопасности.
- Определите, требуется ли принудительное туннелирование.
- Создайте правила для политик на основе критериев доступа с минимальными привилегиями.
- Используйте аналитику угроз.
- Включите Брандмауэр Azure DNS-прокси.
- Перенаправление сетевого трафика через Брандмауэр Azure.
- Определите, хотите ли вы использовать сторонние поставщики системы безопасности как услуги (SECaaS).
- Защитите общедоступные IP-адреса Брандмауэр Azure с помощью DDoS.
Рекомендации
Ознакомьтесь со следующей таблицей рекомендаций по оптимизации конфигурации Брандмауэр Azure для обеспечения безопасности.
| Рекомендация | Преимущество |
|---|---|
| Если требуется направить весь трафик, связанный с Интернетом, на назначенный следующий прыжок, а не напрямую в Интернет, настройте Брандмауэр Azure в режиме принудительного туннелирования (не применяется к Azure Виртуальная глобальная сеть). | Брандмауэр Azure должен быть напрямую подключен к Интернету. Если azureFirewallSubnet узнает маршрут по умолчанию к локальной сети через протокол пограничного шлюза, необходимо настроить Брандмауэр Azure в режиме принудительного туннелирования. Используя функцию принудительного туннелирования, вам потребуется еще одно адресное пространство /26 для подсети управления Брандмауэр Azure. Необходимо присвоить ему имя AzureFirewallManagementSubnet. Если это существующий экземпляр Брандмауэр Azure, который не может быть перенастроен в режиме принудительного туннелирования, создайте определяемый пользователем маршрут с маршрутом 0.0.0.0/0. Задайте для параметра NextHopType значение Интернет. Свяжите его с AzureFirewallSubnet , чтобы поддерживать подключение к Интернету. |
| Задайте для общедоступного IP-адреса значение Нет, чтобы развернуть полностью частную плоскость данных при настройке Брандмауэр Azure в режиме принудительного туннелирования (не применяется к azure Виртуальная глобальная сеть). | Если при развертывании нового экземпляра Брандмауэр Azure включен режим принудительного туннелирования, для общедоступного IP-адреса можно задать значение Нет, чтобы развернуть полностью частную плоскость данных. Однако плоскости управления по-прежнему требуется общедоступный IP-адрес только для целей управления. Внутренний трафик из виртуальных и локальных сетей не будет использовать этот общедоступный IP-адрес. Дополнительные сведения о принудительном туннелированиях см. в разделе Брандмауэр Azure принудительного туннелирования. |
| Создайте правила для политик брандмауэра на основе критериев доступа с минимальными привилегиями. | Политики Брандмауэр Azure можно упорядочить в иерархической структуре для наложения центральной базовой политики. Разрешите детализированные политики в соответствии с требованиями конкретных регионов. Каждая политика может содержать различные наборы правил DNAT, сети и приложений с определенным приоритетом, действием и порядком обработки. Создайте правила на основе принципа доступа с минимальными привилегиями "Никому не доверяй". В этой статье описано, как обрабатываются правила. |
| Включите аналитику угроз на Брандмауэр Azure в режиме оповещения и запрета. | Фильтрация на основе аналитики угроз может быть включена в брандмауэре с целю создания оповещений и запрета входящего или исходящего трафика известных IP-адресов и доменов IP-адреса и домены также передаются из канала Microsoft Threat Intelligence. Intelligent Security Graph обеспечивает аналитику угроз Майкрософт и используется несколькими службами, включая Microsoft Defender для облака. |
| Включите IDPS в режиме оповещения или оповещения и запрета . | IDPS — это одна из самых мощных функций безопасности Брандмауэр Azure (премиум), и ее необходимо включить. В зависимости от требований к безопасности и приложению, а также с учетом влияния на производительность (см. раздел Затраты ниже) можно выбрать режимы оповещенияили оповещения и запрета . |
| Включите конфигурацию прокси-сервера Брандмауэр Azure (DNS). | Включение этой функции указывает клиентам в виртуальных сетей Брандмауэр Azure в качестве DNS-сервера. Он защитит внутреннюю инфраструктуру DNS, к которым не будет напрямую обращаться и предоставляться. Брандмауэр Azure также необходимо настроить для использования пользовательской службы DNS, которая будет использоваться для пересылки запросов DNS. |
| Настройте определяемые пользователем маршруты (UDR) для принудительной передачи трафика через Брандмауэр Azure. | В традиционной архитектуре периферийных & концентраторов настройте определяемые пользователем маршруты для принудительного передачи трафика через Брандмауэр Azure для SpoketoSpokeподключения , SpoketoInternetи SpoketoHybrid . Вместо этого в Azure Виртуальная глобальная сеть настройте намерения и политики маршрутизации для перенаправления частного и (или) интернет-трафика через экземпляр Брандмауэр Azure, интегрированный в концентратор. |
| Ограничить использование общедоступных IP-адресов, напрямую связанных с Виртуальные машины | Чтобы предотвратить трафик в обход брандмауэра, необходимо ограничить связь общедоступных IP-адресов с сетевыми интерфейсами виртуальных машин. В модели Azure Cloud Adoption Framework (CAF) определенная Политика Azure назначается группе управления CORP. |
| Если невозможно применить определяемый пользователем маршрут и требуется только перенаправление веб-трафика, рассмотрите возможность использования Брандмауэр Azure в качестве явного прокси-сервера. | Если для исходящего пути включена функция явного прокси-сервера, вы можете настроить параметр прокси-сервера в отправляющее веб-приложение (например, веб-браузер) с Брандмауэр Azure настроен в качестве прокси-сервера. В результате веб-трафик достигнет частного IP-адреса брандмауэра и, следовательно, будет выходить непосредственно из брандмауэра без использования UDR. Эта функция также упрощает использование нескольких брандмауэров без изменения существующих сетевых маршрутов. |
| Настройте поддерживаемые сторонние поставщики безопасности SaaS в диспетчере брандмауэра, если вы хотите использовать эти решения для защиты исходящих подключений. | Вы можете использовать знакомые, лучшие в своем роде сторонние предложения SECaaS для защиты доступа пользователей к Интернету. Для этого сценария требуется Виртуальная глобальная сеть Azure с VPN-шлюз S2S в концентраторе, так как для подключения к инфраструктуре поставщика используется туннель IPSec. Поставщики SECaaS могут взимать дополнительные лицензионные сборы и ограничивать пропускную способность подключений IPSec. Альтернативные решения, такие как ZScaler Cloud Connector, существуют и могут быть более подходящими. |
| Используйте фильтрацию полного доменного имени (FQDN) в сетевых правилах. | Полное доменное имя можно использовать на основе разрешения DNS в Брандмауэр Azure и политиках брандмауэра. Эта возможность позволяет фильтровать исходящий трафик по любому протоколу TCP/UDP (включая NTP, SSH, RDP и т. д.). Чтобы использовать полные доменные имена в сетевых правилах, необходимо включить конфигурацию dns-прокси Брандмауэр Azure. Чтобы узнать, как это работает, см. Брандмауэр Azure фильтрации полных доменных имен в сетевых правилах. |
| Используйте теги служб в правилах сети, чтобы обеспечить выборочный доступ к определенным службам Майкрософт. | Тег службы представляет группу префиксов IP-адресов, чтобы упростить создание правила безопасности. С помощью тегов служб в правилах сети можно включить исходящий доступ к определенным службам в Azure, Dynamics и Office 365, не открывая широкий диапазон IP-адресов. Azure будет автоматически поддерживать сопоставление между этими тегами и базовыми IP-адресами, используемыми каждой службой. Список тегов служб, доступных для Брандмауэр Azure, приведен здесь: Теги службы Az Firewall. |
| Используйте теги FQDN в правилах приложений, чтобы обеспечить выборочный доступ к определенным службам Майкрософт. | Тег FQDN представляет группу полных доменных имен (FQDN), связанных с хорошо известными службами Майкрософт. Вы можете использовать тег FQDN в правилах приложения, чтобы разрешить необходимый исходящий сетевой трафик через брандмауэр для некоторых конкретных служб Azure, Office 365, Windows 365 и Intune. |
| Используйте Брандмауэр Azure Manager для создания и связывания плана защиты от атак DDoS с виртуальной сетью концентратора (не применяется к azure Виртуальная глобальная сеть). | План защиты от атак DDoS предоставляет расширенные функции защиты брандмауэра от атак DDoS. Брандмауэр Azure Manager — это интегрированное средство для создания инфраструктуры брандмауэра и планов защиты от атак DDoS. Дополнительные сведения можно найти в статье Настройка плана Защиты от атак DDoS Azure с помощью Диспетчера брандмауэра Azure. |
| Используйте корпоративную PKI для создания сертификатов для проверки TLS. | При использовании Брандмауэр Azure Premium, если используется функция проверки TLS, рекомендуется использовать внутренний центр сертификации предприятия (ЦС) для рабочей среды. Самозаверяющий сертификат следует использовать только в целях тестирования или проверки концепции. |
| Ознакомьтесь с руководством по настройке Zero-Trust для Брандмауэр Azure и Шлюз приложений | Если требования к безопасности требуют реализации Zero-Trust подхода для веб-приложений (проверка и шифрование), рекомендуется следовать этому руководству. В этом документе описано, как интегрировать Брандмауэр Azure и Шлюз приложений в традиционных сценариях с & Виртуальная глобальная сеть. |
Помощник по Azure помогает обеспечить работу критически важных бизнес-приложений и их целостность. Ознакомьтесь с рекомендациями Помощника по Azure.
Определения политик
Сетевые интерфейсы не должны иметь общедоступных IP-адресов. Эта политика запрещает сетевые интерфейсы, настроенные с помощью любого общедоступного IP-адреса. Общедоступные IP-адреса позволяют интернет-ресурсам устанавливать входящие подключения к ресурсам Azure, а ресурсам Azure — исходящие подключения к Интернету.
Весь интернет-трафик должен направляться через развернутые Брандмауэр Azure. В Центре безопасности Azure обнаружено, что некоторые подсети не защищены брандмауэром следующего поколения. Защитите подсети от возможных угроз, запретив доступ к ним с помощью Брандмауэра Azure или поддерживаемого брандмауэра следующего поколения.
Политика брандмауэра Azure должна включать проверку TLS в правилах приложения. Включение проверки TLS рекомендуется для всех правил приложений, чтобы обнаруживать, предупреждать и устранять вредоносную активность в HTTPS. Дополнительные сведения о проверке TLS с помощью Брандмауэр Azure см. на сайте https://aka.ms/fw-tlsinspect.
Брандмауэр Azure Premium должен настроить допустимый промежуточный сертификат для включения проверки TLS. Настройте допустимый промежуточный сертификат и включите Брандмауэр Azure проверку TLS уровня "Премиум" для обнаружения, оповещения и устранения вредоносных действий в HTTPS. Дополнительные сведения о проверке TLS с помощью Брандмауэр Azure см. на сайте https://aka.ms/fw-tlsinspect.
Список обходов системы обнаружения и предотвращения вторжений (IDPS) должен быть пустым в политике брандмауэра уровня "Премиум". Список обхода системы обнаружения и предотвращения вторжений (IDPS) позволяет не фильтровать трафик по ip-адресам, диапазонам и подсетям, указанным в списке обхода. Однако рекомендуется включить IDPS для всех потоков трафика, чтобы лучше выявлять известные угрозы. Дополнительные сведения о сигнатурах системы обнаружения и предотвращения вторжений (IDPS) с Брандмауэр Azure Premium см. на сайте https://aka.ms/fw-idps-signature.
Политика брандмауэра уровня "Премиум" должна включать все правила подписи IDPS для мониторинга всех потоков входящего и исходящего трафика. Рекомендуется включить все правила подписи системы обнаружения и предотвращения вторжений (IDPS), чтобы лучше выявлять известные угрозы в потоках трафика. Дополнительные сведения о сигнатурах системы обнаружения и предотвращения вторжений (IDPS) с Брандмауэр Azure Premium см. на сайте https://aka.ms/fw-idps.
Политика брандмауэра уровня "Премиум" должна включать систему обнаружения и предотвращения вторжений (IDPS). Включение системы обнаружения и предотвращения вторжений (IDPS) позволяет отслеживать вредоносные действия в сети, записывать в журнал сведения об этом действии, сообщать о ней и при необходимости пытаться заблокировать ее. Дополнительные сведения о системе обнаружения и предотвращения вторжений (IDPS) с Брандмауэр Azure Premium см. на сайте https://aka.ms/fw-idps.
Подписка должна настроить Брандмауэр Azure Premium, чтобы обеспечить дополнительный уровень защиты. Брандмауэр Azure Premium обеспечивает расширенную защиту от угроз, которая соответствует потребностям высокочувствительных и регулируемых сред. Разверните Брандмауэр Azure Premium в подписке и убедитесь, что весь трафик службы защищен Брандмауэр Azure Premium. Дополнительные сведения о Брандмауэр Azure Premium см. на сайте https://aka.ms/fw-premium.
Все встроенные определения политик, связанные с сетью Azure, перечислены в разделе Встроенные политики — сеть.
Оптимизация затрат
Оптимизация затрат заключается в поиске способов уменьшения ненужных расходов и повышения эффективности работы.
Контрольный список проектирования
При выборе макета для Брандмауэр Azure ознакомьтесь с принципами проектирования для оптимизации затрат.
- Выберите номер SKU Брандмауэр Azure для развертывания.
- Определите, требуется ли для некоторых экземпляров постоянное выделение 24x7.
- Определите, где можно оптимизировать использование брандмауэра в разных рабочих нагрузках.
- Мониторинг и оптимизация использования экземпляров брандмауэра для определения экономичности.
- Проверьте и оптимизируйте необходимое количество общедоступных IP-адресов и используемые политики.
- Изучите требования к ведению журнала, оцените затраты и контроль за временем.
Рекомендации
Ознакомьтесь со следующей таблицей рекомендаций по оптимизации конфигурации Брандмауэр Azure для оптимизации затрат.
| Рекомендация | Преимущество |
|---|---|
| Разверните соответствующий номер SKU Брандмауэр Azure. | Брандмауэр Azure можно развернуть в трех разных SKU: "Базовый", "Стандартный" и "Премиум". Брандмауэр Azure Premium рекомендуется для защиты приложений с высокой степенью конфиденциальности (например, для обработки платежей). Брандмауэр Azure Standard рекомендуется для клиентов, которые ищут брандмауэр уровня 3–7, и требует автоматического масштабирования для обработки пиковых периодов трафика до 30 Гбит/с. Брандмауэр Azure Базовый рекомендуется клиентам SMB с пропускной способностью 250 Мбит/с. При необходимости можно перейти на более раннюю версию или перейти на уровень "Стандартный" или "Премиум", как описано здесь. Дополнительные сведения см. в статье Выбор подходящего номера SKU Брандмауэр Azure в соответствии с вашими потребностями. |
| Остановите Брандмауэр Azure развертывания, которые не должны выполняться в течение 24x7. | У вас могут быть среды разработки или тестирования, которые используются только в рабочее время. Дополнительные сведения см. в разделе Освобождение и выделение Брандмауэр Azure. |
| Совместное использование одного экземпляра Брандмауэр Azure в нескольких рабочих нагрузках и виртуальных сетях Azure. | Вы можете использовать центральный экземпляр Брандмауэр Azure в виртуальной сети концентратора или Виртуальная глобальная сеть безопасного концентратора и совместно использовать один и тот же брандмауэр во многих периферийных виртуальных сетях, подключенных к одному концентратору из одного региона. Убедитесь, что в топологии звездообразной топологии нет непредвиденного трафика между регионами. |
| Регулярно проверяйте трафик, обрабатываемый Брандмауэр Azure, и ищите оптимизации исходной рабочей нагрузки. | Журнал top Flows (известный в отрасли как fat flows) показывает основные подключения, которые способствуют максимальной пропускной способности через брандмауэр. Рекомендуется регулярно проверять трафик, обрабатываемый Брандмауэр Azure, и искать возможные оптимизации, чтобы уменьшить объем трафика, проходящего через брандмауэр. |
| Проверка недостаточно используемых экземпляров Брандмауэр Azure. Определение и удаление неиспользуемых развертываний Брандмауэр Azure. | Чтобы определить неиспользуемые Брандмауэр Azure развертываниях, сначала проанализируйте метрики мониторинга и определяемые пользователем маршруты, связанные с подсетями, указывающими на частный IP-адрес брандмауэра. Объедините эти сведения с другими проверками, например, если в вашем экземпляре Брандмауэр Azure есть какие-либо правила (классические) для NAT, сети и приложения или даже если для параметра DNS-прокси настроено значение Отключено, и с внутренней документацией по вашей среде и развертываниям. Вы можете обнаружить развертывания, которые являются экономичными с течением времени. Дополнительные сведения о журналах мониторинга и метриках см. в статье Мониторинг журналов и метрик Брандмауэр Azure и использование портов SNAT. |
| Используйте Брандмауэр Azure Manager и его политики, чтобы сократить эксплуатационные расходы, повысить эффективность и снизить затраты на управление. | Внимательно изучите политики, связи и наследование диспетчера брандмауэра. Счета за политики выставляются на основе связей брандмауэра. Плата за политику с нулевой или одной связью брандмауэра не взимается. Счета за политику с несколькими связями брандмауэра выставляются по фиксированной ставке. Дополнительные сведения см. в разделе Цены — Брандмауэр Azure Manager. |
| Удаление неиспользуемых общедоступных IP-адресов. | Проверьте, используются ли все связанные общедоступные IP-адреса. Если они не используются, разъедините их и удалите. Оцените использование портов SNAT перед удалением IP-адресов. Вы будете использовать только количество общедоступных IP-адресов, необходимых брандмауэру. Дополнительные сведения см. в разделе Мониторинг журналов и метрик Брандмауэр Azure и использования портов SNAT. |
| Ознакомьтесь с требованиями к ведению журнала. | Брандмауэр Azure имеет возможность комплексно регистрировать метаданные всего просматриваемого трафика в рабочие области Log Analytics, хранилище или сторонние решения через Центры событий. Однако все решения для ведения журнала влечет за собой затраты на обработку и хранение данных. При очень больших объемах эти затраты могут быть значительными, следует рассмотреть экономичный подход и альтернативу Log Analytics и оценить затраты . Определите, требуется ли регистрировать метаданные трафика для всех категорий ведения журнала, и при необходимости измените их в параметрах диагностики. |
Дополнительные рекомендации см. в разделе Контрольный список проверки проекта для оптимизации затрат.
Помощник по Azure помогает обеспечить работу критически важных бизнес-приложений и их целостность. Ознакомьтесь с рекомендациями Помощника по Azure.
эффективность работы;
Мониторинг и диагностика имеют огромное значение. Вы можете измерять статистику производительности и метрики, чтобы быстро устранять неполадки и устранять их.
Контрольный список проектирования
При выборе вариантов проектирования для Брандмауэр Azure ознакомьтесь с принципами проектирования для повышения эффективности работы.
- Вести инвентаризацию и резервное копирование конфигурации и политик Брандмауэр Azure.
- Используйте журналы диагностики для мониторинга брандмауэра и устранения неполадок.
- Используйте книгу мониторинга Брандмауэр Azure.
- Регулярно просматривайте аналитические сведения и аналитику политики.
- Интеграция Брандмауэр Azure с Microsoft Defender for Cloud и Microsoft Sentinel.
Рекомендации
Ознакомьтесь со следующей таблицей рекомендаций по оптимизации конфигурации Брандмауэр Azure для повышения эффективности работы.
| Рекомендация | Преимущество |
|---|---|
| Не используйте Брандмауэр Azure для управления трафиком внутри виртуальной сети. | Брандмауэр Azure следует использовать для управления трафиком между виртуальными сетями, между виртуальными сетями и локальными сетями, исходящим трафиком в Интернет и входящим трафиком, не входящим по протоколу HTTP/s. Для управления трафиком внутри виртуальной сети рекомендуется использовать группы безопасности сети. |
| Регулярное резервное копирование артефактов Политика Azure. | Если для поддержания Брандмауэр Azure и всех зависимостей используется подход "инфраструктура как код" (IaC), то резервное копирование и управление версиями политик Брандмауэр Azure уже должны быть на месте. В противном случае можно развернуть сопутствующий механизм , основанный на внешнем приложении логики, для автоматизации и предоставления эффективного решения. |
| Включите журналы диагностики для Брандмауэр Azure. | Журналы диагностики являются ключевым компонентом для многих средств и стратегий мониторинга для Брандмауэр Azure и должны быть включены. Вы можете отслеживать Брандмауэр Azure с помощью журналов брандмауэра или книг. Журналы действий также можно использовать для операций аудита Брандмауэр Azure ресурсов. |
| Используйте формат структурированных журналов брандмауэра . | Структурированные журналы брандмауэра — это тип данных журнала, упорядоченных в определенном новом формате. Они используют предопределенную схему для структурирования данных журнала таким образом, чтобы упростить поиск, фильтрацию и анализ. Новейшие средства мониторинга основаны на журналах этого типа, поэтому это часто является предварительным требованием. Используйте предыдущий формат журналов диагностики только в том случае, если имеется средство с предварительными условиями для этого. Не включайте оба формата ведения журнала одновременно. |
| Используйте встроенную книгу мониторинга Брандмауэр Azure. | Брандмауэр Azure интерфейсе портала теперь содержит новую книгу в разделе Пользовательский интерфейс раздела "Мониторинг", отдельная установка больше не требуется. С помощью книги Брандмауэр Azure вы можете извлечь ценные сведения из событий Брандмауэр Azure, углубиться в приложения и правила сети, а также изучить статистику действий брандмауэра по URL-адресам, портам и адресам. |
| Отслеживайте ключевые метрики и создавайте оповещения для индикаторов использования Брандмауэр Azure емкости. | Оповещения следует создавать для отслеживания по крайней мере пропускной способности, состояния работоспособности брандмауэра, использования портов SNAT и метрик проверки задержки AZFW . Сведения о журналах мониторинга и метриках см. в статье Мониторинг журналов и метрик Брандмауэр Azure. |
| Настройте интеграцию Брандмауэр Azure с Microsoft Defender для облака и Microsoft Sentinel. | Если эти средства доступны в среде, рекомендуется использовать интеграцию с решениями Microsoft Defender для облака и Microsoft Sentinel. С помощью Microsoft Defender для интеграции с облаком вы можете визуализировать состояние сетевой инфраструктуры и сетевой безопасности в одном месте, включая сетевую безопасность Azure во всех виртуальных сетях и виртуальные концентраторы, распределенные по разным регионам в Azure. Интеграция с Microsoft Sentinel предоставляет возможности обнаружения и предотвращения угроз. |
| Регулярно просматривайте панель мониторинга Аналитики политик , чтобы выявить потенциальные проблемы. | Аналитика политик — это новая функция, которая предоставляет аналитические сведения о влиянии политик Брандмауэр Azure. Она помогает выявлять потенциальные проблемы (превышение ограничений политики, правила низкого использования, избыточные правила, слишком общие правила, рекомендации по использованию групп IP-адресов) и предоставляет рекомендации по повышению уровня безопасности и производительности обработки правил. |
| Ознакомьтесь с запросами KQL (язык запросов Kusto), чтобы обеспечить быстрый анализ и устранение неполадок с помощью журналов Брандмауэр Azure. | Для Брандмауэр Azure приведены примеры запросов. Они позволят быстро определить, что происходит внутри брандмауэра, и проверка, чтобы узнать, какое правило было активировано или какое правило разрешает или блокирует запрос. |
Помощник по Azure помогает обеспечить работу критически важных бизнес-приложений и их целостность. Ознакомьтесь с рекомендациями Помощника по Azure.
оптимизация производительности;
Эффективность производительности — это возможность масштабирования рабочей нагрузки в соответствии с требованиями пользователей.
Контрольный список проектирования
При выборе проекта для Брандмауэр Azure ознакомьтесь с принципами проектирования для повышения производительности.
- Регулярно проверяйте и оптимизируйте правила брандмауэра.
- Ознакомьтесь с требованиями политики и возможностями для суммирования диапазонов IP-адресов и списка URL-адресов.
- Оцените требования к портам SNAT.
- Спланируйте нагрузочные тесты для тестирования производительности автомасштабирования в вашей среде.
- Не включайте средства диагностики и ведение журнала, если это не требуется.
Рекомендации
Ознакомьтесь со следующей таблицей рекомендаций по оптимизации конфигурации Брандмауэр Azure для повышения производительности.
| Рекомендация | Преимущество |
|---|---|
| Используйте панель мониторинга аналитики политик , чтобы определить потенциальные оптимизации для политик брандмауэра. | Аналитика политик — это новая функция, которая предоставляет аналитические сведения о влиянии политик Брандмауэр Azure. Она помогает выявлять потенциальные проблемы (превышение ограничений политики, правила низкого использования, избыточные правила, слишком общие правила, рекомендации по использованию групп IP-адресов) и предоставляет рекомендации по повышению уровня безопасности и производительности обработки правил. |
| Для политик брандмауэра с большими наборами правил поместите наиболее часто используемые правила на раннем этапе в группу, чтобы оптимизировать задержку. | Правила обрабатываются на основе типа правила, наследования, приоритета группы коллекции правил и приоритета коллекции правил. Группы коллекций правил с наивысшим приоритетом обрабатываются первыми. В группе коллекций правил сначала обрабатываются коллекции правил с наивысшим приоритетом. Размещение наиболее часто используемых правил в наборе правил оптимизирует задержку обработки. В этой статье описано, как обрабатываются и оцениваются правила. |
| Используйте группы IP-адресов для суммы диапазонов IP-адресов. | Группы IP-адресов можно использовать для суммирования диапазонов IP-адресов, чтобы не превышать ограничения уникальных правил сети источника или назначения. Для каждого правила Azure умножает порты на IP-адреса. Таким образом, если у вас есть одно правило с четырьмя диапазонами IP-адресов и пятью портами, вы будете использовать 20 правил сети. Группа IP-адресов рассматривается как один адрес для создания правил сети. |
| Рассмотрите веб-категории , чтобы разрешить или запретить исходящий доступ в массовом режиме. | Вместо того, чтобы явно создавать и поддерживать длинный список общедоступных интернет-сайтов, рассмотрите возможность использования Брандмауэр Azure веб-категорий. Эта функция динамически классифицирует веб-содержимое и позволяет создавать компактные правила приложений. |
| Оцените влияние IDPS на производительность в режиме оповещения и запрета . | Если Брандмауэр Azure требуется для работы в режиме IDPS Оповещение и запретить, тщательно продумайте влияние на производительность, как описано на этой странице. |
| Оцените потенциальную проблему нехватки портов SNAT. | Брандмауэр Azure в настоящее время поддерживает 2496 портов на каждый общедоступный IP-адрес на экземпляр серверного масштабируемого набора виртуальных машин. По умолчанию существует два экземпляра масштабируемого набора виртуальных машин. Таким образом, на IP-адрес назначения потока, порт назначения и протокол (TCP или UDP) приходится 4992 порта. Брандмауэр масштабируется до 20 экземпляров. Вы можете обойти эти ограничения, указав минимум пять общедоступных IP-адресов для развертываний Брандмауэра Azure, в которых может возникнуть проблема нехватки SNAT. |
| Правильно разогрейте Брандмауэр Azure перед любым тестом производительности. | Создайте начальный трафик, который не является частью нагрузочных тестов за 20 минут до теста. Используйте параметры диагностика для записи событий увеличения и уменьшения масштаба. Для создания начального трафика можно использовать службу нагрузочного тестирования Azure . Позволяет экземпляру Брандмауэр Azure масштабировать свои экземпляры до максимального масштаба. |
| Настройте подсеть Брандмауэр Azure (AzureFirewallSubnet) с адресным пространством /26. | Брандмауэр Azure — это выделенное развертывание в виртуальной сети. В виртуальной сети для экземпляра Брандмауэр Azure требуется выделенная подсеть. Брандмауэр Azure подготавливает больше емкости по мере масштабирования. Диапазон адресов /26 для своих подсетей гарантирует, что брандмауэр имеет достаточное количество IP-адресов для масштабирования. Для Брандмауэра Azure не нужна подсеть больше /26. Имя Брандмауэр Azure подсети должно быть AzureFirewallSubnet. |
| Не включайте расширенное ведение журнала, если это не требуется | Брандмауэр Azure предоставляет некоторые расширенные возможности ведения журнала, которые могут быть дорогостоящими для поддержания постоянной активности. Вместо этого они должны использоваться только для устранения неполадок и ограничены по длительности, а затем отключаются, когда это не требуется. Например, самые дорогие потоки и журналы трассировки потоков могут привести к чрезмерному использованию ЦП и хранилища в Брандмауэр Azure инфраструктуре. |
Помощник по Azure помогает обеспечить работу критически важных бизнес-приложений и их целостность. Ознакомьтесь с рекомендациями Помощника по Azure.
Рекомендации Помощника по Azure
Помощник по Azure — это персонализированный облачный консультант, который помогает следовать рекомендациям по оптимизации развернутых служб Azure. Брандмауэр Azure рекомендации помощника пока нет. Некоторые общие рекомендации могут быть применены для повышения надежности, безопасности, экономичности, производительности и операционной эффективности.
- Создание оповещений о Работоспособности служб Azure для получения уведомлений о возникновении проблем в Azure
- Обеспечение доступа к экспертам по облаку Azure, когда это необходимо
- Включение решения "Аналитика трафика" для просмотра информации о шаблонах трафика ресурсов Azure
- Соблюдайте достаточное администрирование (принцип минимальных привилегий)
- Защита сетевых ресурсов с помощью Microsoft Defender для облака
Дополнительные ресурсы
- Документация по Брандмауэру Azure
- Что такое Диспетчер брандмауэра Azure?
- Брандмауэр Azure ограничения службы, квоты и ограничения
- Базовый план безопасности Azure для Брандмауэра Azure
Руководство по Центру архитектуры Azure
- Общие сведения об архитектуре Брандмауэра Azure
- Использование Брандмауэр Azure для защиты кластера Служба Azure Kubernetes (AKS)
- Использование Брандмауэр Azure для защиты развертываний Виртуального рабочего стола Azure (AVD)
- Использование Брандмауэр Azure для защиты Office 365
- Звездообразная топологии сети в Azure
- Сеть для веб-приложений с Брандмауэром Azure и Шлюзом приложений, действующая по принципу “Никому не доверяй”
- Реализация безопасной гибридной сети
- Веб-приложение, защищенное сетью, с частным подключением к хранилищам данных PaaS
Следующий шаг
Разверните экземпляр Брандмауэр Azure, чтобы увидеть, как он работает:
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по