Перспектива azure Well-Architected Framework на Брандмауэр Azure
Брандмауэр Azure — это облачная и интеллектуальная служба безопасности брандмауэра сети, которая обеспечивает лучшую защиту от угроз для облачных рабочих нагрузок, работающих в Azure. Это полностью управляемая служба брандмауэра с отслеживанием состояния, которая имеет встроенную высокую доступность и неограниченное масштабируемость облака. Брандмауэр Azure обеспечивает проверку трафика на востоке и на северо-юге.
В этой статье предполагается, что в качестве архитектора вы изучили параметры безопасности виртуальной сети и выбрали Брандмауэр Azure в качестве службы безопасности сети для рабочей нагрузки. В этом руководстве приведены рекомендации по архитектуре, сопоставленные с принципами основных принципов платформы Azure Well-Architected Framework.
Внимание
Как использовать это руководство
Каждый раздел содержит контрольный список проектирования, который представляет архитектурные области, связанные с стратегиями проектирования, локализованными в области технологий.
Также включены рекомендации по возможностям технологий, которые помогут материализовать эти стратегии. Рекомендации не представляют исчерпывающий список всех конфигураций, доступных для Брандмауэр Azure и его зависимостей. Вместо этого они перечисляют ключевые рекомендации, сопоставленные с перспективами проектирования. Используйте рекомендации для создания подтверждения концепции или оптимизации существующих сред.
Базовая архитектура, демонстрирующая ключевые рекомендации: топология центральной сети в Azure.
Область технологий
В этом обзоре рассматриваются взаимосвязанные решения для следующих ресурсов Azure:
- Брандмауэр Azure
- Диспетчер брандмауэра Azure
Надежность
Цель компонента "Надежность" — обеспечить непрерывную функциональность путем создания достаточной устойчивости и возможности быстрого восстановления после сбоев.
Принципы проектирования надежности обеспечивают высокоуровневую стратегию проектирования, применяемую для отдельных компонентов, системных потоков и системы в целом.
Контрольный список проектирования
Запустите стратегию разработки на основе контрольного списка проверки разработки для надежности. Определите свою релевантность бизнес-требований, учитывая политики и тип используемой архитектуры. Расширьте стратегию, чтобы включить дополнительные подходы по мере необходимости.
Просмотрите список известных проблем Брандмауэр Azure. Брандмауэр Azure продукты поддерживают обновленный список известных проблем. В этом списке содержатся важные сведения о поведении по проектированию, исправлении в процессе строительства, ограничениях платформы и возможных обходных решениях или стратегиях устранения рисков.
Убедитесь, что политика Брандмауэр Azure соответствует Брандмауэр Azure ограничениям и рекомендациям. Структура политики имеет ограничения, включая количество правил и групп коллекций правил, общий размер политики, исходные назначения и целевые назначения. Обязательно создайте политику и будьте ниже задокументированных пороговых значений.
Разверните Брандмауэр Azure в нескольких зонах доступности для соглашения об уровне обслуживания (SLA). Брандмауэр Azure предоставляют разные соглашения об уровне обслуживания в зависимости от того, развертываете ли службу в одной зоне доступности или в нескольких зонах. Дополнительные сведения см. в разделе об уровне обслуживания для веб-службы.
Разверните экземпляр Брандмауэр Azure в каждом регионе в средах с несколькими регионами. Сведения о традиционных центральных и периферийных архитектурах см. в рекомендациях по работе с несколькими регионами. Для защищенных центров Azure Виртуальная глобальная сеть настройте намерение маршрутизации и политики для защиты обмена данными между центрами и филиалами. Для отказоустойчивых и отказоустойчивых рабочих нагрузок рассмотрим экземпляры Брандмауэр Azure и Azure виртуальная сеть как региональные ресурсы.
Отслеживайте метрики Брандмауэр Azure и состояние работоспособности ресурсов. Брандмауэр Azure интегрируется с Azure Работоспособность ресурсов. Используйте проверку Работоспособность ресурсов, чтобы просмотреть состояние работоспособности Брандмауэр Azure и устранить проблемы службы, которые могут повлиять на Брандмауэр Azure ресурс.
Развертывание Брандмауэр Azure в центральных виртуальных сетях или в составе Виртуальная глобальная сеть концентраторов.
Примечание.
Доступность сетевых служб отличается от традиционной модели концентраторов и периферийных узлов и модели защищенных центров, управляемых Виртуальная глобальная сеть. Например, в центре Виртуальная глобальная сеть Брандмауэр Azure общедоступный IP-адрес не может поступать из префикса общедоступного IP-адреса и не может включить защиту от атак DDoS Azure. При выборе модели учитывайте ваши требования во всех пяти основных аспектах хорошо спроектированной платформы.
Рекомендации
| Рекомендация | Преимущества |
|---|---|
| Развертывание Брандмауэр Azure в нескольких зонах доступности. | Разверните Брандмауэр Azure в нескольких зонах доступности, чтобы обеспечить определенный уровень устойчивости. Если в одной зоне возникает сбой, другая зона продолжает обслуживать трафик. |
| Мониторинг метрик Брандмауэр Azure в рабочей области Log Analytics. Внимательно отслеживайте метрики, указывающие состояние работоспособности Брандмауэр Azure, например пропускную способность, состояние работоспособности брандмауэра, использование портов SNAT и метрики пробы задержки AZFW. Используйте службу "Работоспособное состояние службы Azure" для мониторинга работоспособности Брандмауэр Azure. |
Отслеживайте метрики ресурсов и работоспособность служб, чтобы определить, когда состояние службы ухудшается и принимает упреждающие меры, чтобы предотвратить сбои. |
Безопасность
Цель компонента "Безопасность" заключается в обеспечении конфиденциальности, целостности и доступности для рабочей нагрузки .
Принципы проектирования безопасности предоставляют высокоуровневую стратегию проектирования для достижения этих целей, применяя подходы к техническому проектированию Брандмауэр Azure.
Контрольный список проектирования
Запустите стратегию проектирования на основе контрольного списка проверки дизайна для безопасности. Выявление уязвимостей и элементов управления для улучшения состояния безопасности. Расширьте стратегию, чтобы включить дополнительные подходы по мере необходимости.
Отправьте весь интернет-трафик из рабочей нагрузки через брандмауэр или сетевое виртуальное устройство (NVA) для обнаружения и блокировки угроз. Настройте определяемые пользователем маршруты (UDR) для принудительного трафика через Брандмауэр Azure. Для веб-трафика рекомендуется использовать Брандмауэр Azure в качестве явного прокси-сервера.
Настройте поддерживаемое партнерское программное обеспечение как поставщики безопасности SaaS в диспетчере брандмауэра, если вы хотите использовать эти поставщики для защиты исходящих подключений.
Ограничить использование общедоступных IP-адресов, которые напрямую привязаны к виртуальным машинам, чтобы трафик не смог обойти брандмауэр. Модель Azure Cloud Adoption Framework назначает определенную политику Azure группе управления CORP.
Следуйте руководству по настройке "Нулевое доверие" для Брандмауэр Azure и Шлюз приложений, если для обеспечения безопасности требуется реализовать подход "Нулевое доверие" для веб-приложений, например добавление проверки и шифрования. Следуйте этому руководству, чтобы интегрировать Брандмауэр Azure и Шлюз приложений для традиционных сценариев концентратора и Виртуальная глобальная сеть.
Дополнительные сведения см. в разделе "Применение брандмауэров" на границе.
Установите периметры сети в рамках стратегии сегментации рабочей нагрузки, чтобы управлять радиусом взрыва, маскировать ресурсы рабочей нагрузки и блокировать непредвиденный, запрещенный и небезопасный доступ. Создайте правила для политик Брандмауэр Azure на основе критериев доступа с наименьшими привилегиями.
Задайте для общедоступного IP-адреса значение None, чтобы развернуть полностью частный плоскость данных при настройке Брандмауэр Azure в режиме принудительного туннелирования. Этот подход не применяется к Виртуальная глобальная сеть.
Используйте полные доменные имена (FQDN) и теги служб при определении правил сети для упрощения управления.
Используйте механизмы обнаружения для тщательного мониторинга угроз и признаков злоупотреблений. Воспользуйтесь преимуществами механизмов и мер обнаружения, предоставляемых платформой. Включите систему обнаружения и предотвращения вторжений (IDPS). Свяжите план защиты от атак DDoS Azure с виртуальной сетью концентратора.
Дополнительные сведения см. в разделе "Обнаружение злоупотреблений".
Рекомендации
| Рекомендация | Преимущества |
|---|---|
| Настройте Брандмауэр Azure в режиме принудительного туннелирования, если необходимо перенаправить весь трафик, связанный с Интернетом, в назначенный следующий прыжок, а не напрямую в Интернет. Эта рекомендация не применяется к Виртуальная глобальная сеть. Брандмауэр Azure должен быть напрямую подключен к Интернету. Если AzureFirewallSubnet узнает маршрут по умолчанию к локальной сети через протокол пограничного шлюза, необходимо настроить Брандмауэр Azure в режиме принудительного туннелирования. Вы можете использовать функцию принудительного туннелирования, чтобы добавить еще одно адресное пространство /26 для подсети управления Брандмауэр Azure. Назовите подсеть AzureFirewallManagementSubnet. Если у вас есть существующий экземпляр Брандмауэр Azure, который нельзя перенастроить в режиме принудительного туннелирования, создайте UDR с маршрутом 0.0.0.0/0. Задайте значение NextHopType как Интернет. Чтобы обеспечить подключение к Интернету, свяжите UDR с AzureFirewallSubnet. Задайте для общедоступного IP-адреса значение None, чтобы развернуть полностью частный плоскость данных при настройке Брандмауэр Azure в режиме принудительного туннелирования. Но плоскость управления по-прежнему требует общедоступного IP-адреса только для целей управления. Внутренний трафик из виртуальных и локальных сетей не использует этот общедоступный IP-адрес. |
Используйте принудительное туннелирование, чтобы вы не предоставляли ресурсы Azure непосредственно в Интернете. Такой подход снижает уровень атаки и снижает риск внешних угроз. Чтобы обеспечить более эффективное применение корпоративных политик и требований к соответствию требованиям, перенаправляйте весь интернет-трафик через локальный брандмауэр или NVA. |
| Создайте правила для политик брандмауэра в иерархической структуре , чтобы наложить центральную базовую политику. Дополнительные сведения см. в разделе "Использование политик Брандмауэр Azure для обработки правил". Создание правил на основе принципа нулевого доверия с минимальными привилегиями |
Упорядочение правил в иерархической структуре, чтобы детализированные политики могли соответствовать требованиям конкретных регионов. Каждая политика может содержать различные наборы правил преобразования сетевых адресов назначения (DNAT), сети и приложений с определенными приоритетами, действиями и заказами на обработку. |
| Настройте поддерживаемых поставщиков партнеров безопасности в диспетчере брандмауэра для защиты исходящих подключений. Для этого сценария требуется Виртуальная глобальная сеть с VPN-шлюзом S2S в концентраторе, так как он использует туннель IPsec для подключения к инфраструктуре поставщика. Управляемые поставщики служб безопасности могут взимать дополнительную плату за лицензии и ограничить пропускную способность для подключений IPsec. Вы также можете использовать альтернативные решения, такие как Zscaler Cloud Connector. |
Включите поставщиков партнеров по безопасности в Брандмауэр Azure воспользоваться преимуществами лучших предложений облачной безопасности в породе, которые обеспечивают расширенную защиту для вашего интернет-трафика. Эти поставщики предлагают специализированные, пользовательские фильтры и комплексные возможности обнаружения угроз, которые повышают общую безопасность. |
| Включите конфигурацию прокси-сервера DNS Брандмауэр Azure. Кроме того, настройте Брандмауэр Azure использовать настраиваемые DNS-запросы для пересылки DNS-запросов. |
Эта функция позволяет указывать клиентам в виртуальных сетях Брандмауэр Azure в качестве DNS-сервера. Эта функция защищает внутреннюю инфраструктуру DNS, доступ к которым не предоставляется напрямую и не предоставляется. |
| Настройте определяемые пользователем параметры для принудительного трафика через Брандмауэр Azure в традиционной архитектуре концентратора и периферийной сети для подключения к периферийным, периферийным и гибридным подключениям. В Виртуальная глобальная сеть настройте намерение маршрутизации и политики для перенаправления частного трафика или интернет-трафика через экземпляр Брандмауэр Azure, интегрированный в концентратор. Если вы не можете применить UDR и требуется перенаправление веб-трафика, используйте Брандмауэр Azure в качестве явного прокси-сервера для исходящего пути. При настройке Брандмауэр Azure в качестве прокси-сервера можно настроить для отправляющее приложение, например веб-браузер. |
Отправьте трафик через брандмауэр, чтобы проверить трафик и помочь определить и заблокировать вредоносный трафик. Используйте Брандмауэр Azure в качестве явного прокси-сервера для исходящего трафика, чтобы веб-трафик достиг частного IP-адреса брандмауэра и поэтому исходящий трафик непосредственно из брандмауэра без использования UDR. Эта функция также упрощает использование нескольких брандмауэров без изменения существующих сетевых маршрутов. |
| Используйте фильтрацию полного доменного имени в правилах сети. Необходимо включить конфигурацию прокси-сервера DNS Брандмауэр Azure для использования полных доменных имен в правилах сети. | Используйте полные доменные имена в правилах сети Брандмауэр Azure, чтобы администраторы могли управлять доменными именами вместо нескольких IP-адресов, что упрощает управление. Это динамическое разрешение гарантирует автоматическое обновление правил брандмауэра при изменении IP-адресов домена. |
| Используйте теги службы Брандмауэр Azure вместо определенных IP-адресов, чтобы обеспечить выборочный доступ к определенным службам в Azure, Microsoft Dynamics 365 и Microsoft 365. | Используйте теги служб в правилах сети, чтобы определить элементы управления доступом на основе имен служб, а не конкретных IP-адресов, что упрощает управление безопасностью. Корпорация Майкрософт автоматически управляет этими тегами и обновляет эти теги при изменении IP-адресов. Этот метод гарантирует, что правила брандмауэра остаются точными и эффективными без вмешательства вручную. |
| Используйте теги FQDN в правилах приложения, чтобы предоставить выборочный доступ к определенным службы Майкрософт. Тег FQDN можно использовать в правилах приложения, чтобы разрешить необходимый исходящий сетевой трафик через брандмауэр для определенных служб Azure, таких как Microsoft 365, Windows 365 и Microsoft Intune. |
Используйте теги FQDN в правилах приложения Брандмауэр Azure для представления группы полных доменных имен, связанных с хорошо известными службы Майкрософт. Этот метод упрощает управление правилами безопасности сети. |
| Включите аналитику угроз для Брандмауэр Azure в режиме оповещения и запрета. | Используйте аналитику угроз для обеспечения защиты от новых угроз в режиме реального времени, что снижает риск кибератак. Эта функция использует веб-канал аналитики угроз Майкрософт для автоматического оповещения и блокировки трафика с известных вредоносных IP-адресов, доменов и URL-адресов. |
| Включите поставщик удостоверений в режиме оповещения или оповещения и запрета. Рассмотрим влияние этой функции на производительность. | Включение фильтрации IDPS в Брандмауэр Azure обеспечивает мониторинг и анализ сетевого трафика в режиме реального времени для обнаружения и предотвращения вредоносных действий. Эта функция использует обнаружение на основе сигнатур для быстрого выявления известных угроз и блокирования их до того, как они причинят вред. Дополнительные сведения см. в разделе "Обнаружение злоупотреблений". |
| Используйте внутренний центр сертификации предприятия (ЦС) для создания сертификатов при использовании проверки TLS с Брандмауэр Azure Premium. Используйте самозаверяемые сертификаты только для тестирования и подтверждения концепции (PoC). | Включите проверку TLS, чтобы Брандмауэр Azure Premium завершает работу и проверяет подключения TLS для обнаружения, оповещения и устранения вредоносных действий в HTTPS. |
| Используйте диспетчер брандмауэра для создания и связывания плана защиты от атак DDoS Azure с виртуальной сетью концентратора. Этот подход не применяется к Виртуальная глобальная сеть. | Настройте план защиты от атак DDoS Azure, чтобы централизованно управлять защитой от атак DDoS вместе с политиками брандмауэра. Этот подход упрощает управление сетевой безопасностью и упрощает развертывание и мониторинг процессов. |
Оптимизация затрат
Оптимизация затрат фокусируется на обнаружении шаблонов расходов, приоритете инвестиций в критически важные области и оптимизации в других целях в соответствии с бюджетом организации при выполнении бизнес-требований.
Принципы проектирования оптимизации затрат обеспечивают высокоуровневую стратегию проектирования для достижения этих целей и обеспечения компромиссов в техническом проектировании, связанном с Брандмауэр Azure и ее средой.
Контрольный список проектирования
Запустите стратегию проектирования на основе контрольного списка проверок проектирования для оптимизации затрат для инвестиций. Настройте структуру, чтобы рабочая нагрузка соответствовала бюджету, выделенному для рабочей нагрузки. Проект должен использовать правильные возможности Azure, отслеживать инвестиции и находить возможности для оптимизации с течением времени.
Выберите номер SKU Брандмауэр Azure для развертывания. Выберите три номера SKU Брандмауэр Azure: "Базовый", "Стандартный" и "Премиум". Используйте Брандмауэр Azure Premium для защиты высокочувствительных приложений, таких как обработка платежей. Используйте Брандмауэр Azure уровня "Стандартный", если для рабочей нагрузки требуется брандмауэр уровня 3 до уровня 7 и требуется автомасштабирование для обработки пиковых периодов трафика до 30 Гбит/с. Используйте Брандмауэр Azure Basic, если используется SMB и требуется до 250 Мбит/с пропускной способности. Вы можете уменьшить или обновить номера SKU уровня "Стандартный" и "Премиум". Дополнительные сведения см. в разделе "Выбор правильного номера SKU Брандмауэр Azure".
Удалите неиспользуемые развертывания брандмауэра и оптимизируйте неиспользуемые развертывания. Остановите Брандмауэр Azure развертывания, которые не должны выполняться непрерывно. Определение и удаление неиспользуемых Брандмауэр Azure развертываний. Чтобы сократить операционные затраты, отслеживать и оптимизировать использование экземпляров брандмауэра, конфигурацию политик диспетчера Брандмауэр Azure и количество общедоступных IP-адресов и политик, которые вы используете.
Совместное использование одного экземпляра Брандмауэр Azure. Вы можете использовать центральный экземпляр Брандмауэр Azure в виртуальной сети концентратора или Виртуальная глобальная сеть безопасного концентратора и предоставить общий доступ к одному экземпляру Брандмауэр Azure между периферийными виртуальными сетями, которые подключаются к одному концентратору из одного региона. Убедитесь, что в топологии концентратора и периферийной топологии нет неожиданного трафика между регионами.
Оптимизируйте трафик через брандмауэр. Регулярно просматривайте трафик, который Брандмауэр Azure процессы. Узнайте, как уменьшить объем трафика, который проходит через брандмауэр.
Уменьшите объем хранимых данных журнала. Брандмауэр Azure можно использовать Центры событий Azure для комплексной регистрации метаданных трафика и отправки его в рабочие области Log Analytics, служба хранилища Azure или решения, отличные от Майкрософт. Все решения для ведения журнала повлечет за собой затраты на обработку данных и предоставление хранилища. Большие объемы данных могут нести значительные затраты. Рассмотрите эффективный подход и альтернативу Log Analytics и оцените затраты. Рассмотрим, нужно ли регистрировать метаданные трафика для всех категорий ведения журнала.
Рекомендации
| Рекомендация | Преимущества |
|---|---|
| Остановите Брандмауэр Azure развертывания, которые не должны выполняться непрерывно. Возможно, у вас есть среды разработки или тестирования, которые используются только в рабочие часы. Дополнительные сведения см. в разделе Deallocate и выделение Брандмауэр Azure. | Завершите работу этих развертываний в нерабочие часы или при простое, чтобы сократить ненужные расходы, но обеспечить безопасность и производительность в критически важные периоды. |
| Регулярно просматривайте трафик, который Брандмауэр Azure процессы и найдите исходные оптимизации рабочей нагрузки. В журнале верхних потоков, также известном как журнал потоков жира, отображаются верхние подключения, которые способствуют максимальной пропускной способности через брандмауэр. | Оптимизируйте рабочие нагрузки, которые создают большую часть трафика через брандмауэр, чтобы уменьшить объем трафика, что снижает нагрузку на брандмауэр и сокращает затраты на обработку данных и пропускную способность. |
| Определение и удаление неиспользуемых Брандмауэр Azure развертываний. Анализ метрик мониторинга и определяемых пользователем пользователей, связанных с подсетями , указывающими на частный IP-адрес брандмауэра. Кроме того, рассмотрите другие проверки и внутреннюю документацию по вашей среде и развертываниям. Например, анализ всех классических правил NAT, сети и приложений для Брандмауэр Azure. И рассмотрим параметры. Например, можно настроить параметр DNS-прокси для отключенного. Дополнительные сведения см. в разделе "Мониторинг Брандмауэр Azure". |
Используйте этот подход для обнаружения экономичных развертываний с течением времени и устранения неиспользуемых ресурсов, что предотвращает ненужные затраты. |
| Внимательно просмотрите политики диспетчера брандмауэра, ассоциации и наследование, чтобы оптимизировать затраты. Счета за политики выставляются на основе связей брандмауэра. Политика с нулевым или одним сопоставлением брандмауэра является бесплатной. Счета за политику с несколькими связями брандмауэра выставляются по фиксированной ставке. Дополнительные сведения см. в разделе о ценах диспетчера брандмауэра. |
Правильно используйте диспетчер брандмауэра и ее политики для снижения операционных затрат, повышения эффективности и снижения затрат на управление. |
| Просмотрите все общедоступные IP-адреса в конфигурации и разъедините и удалите те, которые вы не используете. Оцените использование портов преобразования сетевых адресов источника (SNAT), прежде чем удалять все IP-адреса. Дополнительные сведения см. в разделе "Мониторинг Брандмауэр Azure журналов и метрик" и использования портов SNAT. |
Удалите неиспользуемые IP-адреса для снижения затрат. |
Эффективность работы
Операционное превосходство в основном посвящено процедурам разработки, наблюдаемости и управлению выпусками.
Принципы проектирования операционного превосходства обеспечивают высокоуровневую стратегию разработки для достижения этих целей в отношении операционных требований рабочей нагрузки.
Контрольный список проектирования
Запустите стратегию проектирования на основе контрольного списка проверки разработки для операционного превосходства для определения процессов для наблюдения, тестирования и развертывания, связанных с Брандмауэр Azure.
Используйте диспетчер брандмауэра с традиционными топологиями концентраторов и периферийных узлов или Виртуальная глобальная сеть сетевых топологий для развертывания экземпляров Брандмауэр Azure и управления ими. Используйте собственные службы безопасности для управления трафиком и защиты для создания центральных и транзитных архитектур. Дополнительные сведения см. в разделе "Топология сети" и "Подключение".
Перенос Брандмауэр Azure классических правил в политики диспетчера брандмауэров для существующих развертываний. Используйте диспетчер брандмауэров для централизованного управления брандмауэрами и политиками. Дополнительные сведения см. в статье "Миграция на Брандмауэр Azure Premium".
Сохраняйте регулярные резервные копии артефактов Политика Azure. Если вы используете подход инфраструктуры как кода для поддержания Брандмауэр Azure и всех зависимостей, необходимо создать резервную копию и управление версиями политик Брандмауэр Azure. Если этого не сделать, можно развернуть механизм компаньона, основанный на внешнем приложении логики, чтобы обеспечить эффективное автоматизированное решение.
Мониторинг журналов и метрик Брандмауэра Azure. Воспользуйтесь преимуществами журналов диагностики для мониторинга брандмауэра и устранения неполадок и журналов действий для операций аудита.
Анализ данных мониторинга для оценки общей работоспособности системы. Используйте встроенную книгу мониторинга Брандмауэр Azure, ознакомьтесь с запросами язык запросов Kusto (KQL) и используйте панель мониторинга аналитики политик для выявления потенциальных проблем.
Определите оповещения для ключевых событий , чтобы операторы могли быстро реагировать на них.
Воспользуйтесь преимуществами механизмов обнаружения, предоставляемых платформой в Azure, для обнаружения злоупотреблений. По возможности интегрируйте Брандмауэр Azure с Microsoft Defender для облака и Microsoft Sentinel. Интеграция с Defender для облака позволяет визуализировать состояние сетевой инфраструктуры и сетевой безопасности в одном месте, включая сетевую безопасность Azure во всех виртуальных сетях и виртуальных центрах в разных регионах в Azure. Интеграция с Microsoft Sentinel для обеспечения возможностей обнаружения угроз и предотвращения угроз.
Рекомендации
| Рекомендация | Преимущества |
|---|---|
| Включите журналы диагностики для Брандмауэр Azure. Используйте журналы брандмауэра или книги для мониторинга Брандмауэр Azure. Также журналы действий можно использовать для аудита операций на ресурсах брандмауэра Azure. Используйте формат структурированных журналов брандмауэра. Используйте только предыдущий формат журналов диагностики, если у вас есть существующий инструмент, который требует его. Одновременно не включите оба формата ведения журнала. |
Включите журналы диагностики для оптимизации средств мониторинга и стратегий для Брандмауэр Azure. Используйте структурированные журналы брандмауэра для структуры данных журнала, чтобы легко выполнять поиск, фильтрацию и анализ. Последние средства мониторинга основаны на этом типе журнала, поэтому это часто необходимо. |
| Используйте встроенную книгу Брандмауэр Azure. | Используйте книгу Брандмауэр Azure, чтобы извлечь ценные сведения из событий Брандмауэр Azure, проанализировать правила приложения и сети, а также проверить статистику действий брандмауэра по URL-адресам, портам и адресам. |
| Отслеживайте Брандмауэр Azure журналы и метрики и создавайте оповещения для Брандмауэр Azure емкости. Создание оповещений для мониторинга пропускной способности, состояния работоспособности брандмауэра, использования портов SNAT и метрик пробы задержки AZFW. | Настройте оповещения для ключевых событий, чтобы уведомить операторов до возникновения потенциальных проблем, помочь предотвратить нарушения и инициировать быструю корректировку емкости. |
| Регулярно просматривайте панель мониторинга аналитики политик, чтобы определить потенциальные проблемы. | Используйте аналитику политик для анализа влияния политик Брандмауэр Azure. Определите потенциальные проблемы в политиках, таких как ограничения политики собраний, неправильные правила и неправильное использование групп IP-адресов. Получите рекомендации по улучшению состояния безопасности и производительности обработки правил. |
| Ознакомьтесь с запросами KQL, чтобы использовать журналы Брандмауэр Azure для быстрого анализа и устранения неполадок. Брандмауэр Azure предоставляет примеры запросов. | Используйте запросы KQL, чтобы быстро определить события внутри брандмауэра и проверить, какое правило активируется или какое правило разрешает или блокирует запрос. |
Уровень производительности
Эффективность производительности заключается в поддержании взаимодействия с пользователем даже при увеличении нагрузки путем управления емкостью. Стратегия включает масштабирование ресурсов, определение потенциальных узких мест и оптимизацию потенциальных узких мест и оптимизацию для пиковой производительности.
Принципы проектирования эффективности производительности предоставляют высокоуровневую стратегию проектирования для достижения этих целей емкости в отношении ожидаемого использования.
Контрольный список проектирования
Запустите стратегию разработки на основе контрольного списка проверок разработки для повышения эффективности. Определите базовые показатели, основанные на ключевых показателях производительности для Брандмауэр Azure.
Оптимизируйте конфигурацию Брандмауэр Azure в соответствии с рекомендациями по хорошо спроектированной платформе для оптимизации кода и инфраструктуры и обеспечения пиковых операций. Для поддержания эффективной и безопасной сети регулярно просматривайте и оптимизируйте правила брандмауэра. Эта практика помогает гарантировать, что конфигурации брандмауэра остаются эффективными и актуальными с последними угрозами безопасности.
Оценка требований политики и поиск возможностей для суммирования диапазонов IP-адресов и списков URL-адресов. Используйте веб-категории, чтобы разрешить или запретить исходящий доступ массово для упрощения управления и повышения безопасности. Оцените влияние на производительность поставщиков удостоверений в режиме оповещения и запрета , так как эта конфигурация может повлиять на задержку сети и пропускную способность. Настройте общедоступные IP-адреса для поддержки требований к порту SNAT. Следуйте этим рекомендациям, чтобы создать надежную и масштабируемую инфраструктуру безопасности сети.
Не используйте Брандмауэр Azure для управления трафиком внутри виртуальной сети. Используйте Брандмауэр Azure для управления следующими типами трафика:
- Трафик между виртуальными сетями
- Трафик между виртуальными сетями и локальными сетями
- Исходящий трафик в Интернет
- Входящий трафик, отличный от HTTP или не HTTPS
Для управления трафиком внутри виртуальной сети используйте группы безопасности сети.
Прогревайте Брандмауэр Azure правильно перед тестами производительности. Создайте начальный трафик, который не входит в нагрузочные тесты 20 минут перед тестами. Используйте параметры диагностика для записи событий масштабирования и уменьшения масштаба. Службу нагрузочного тестирования Azure можно использовать для создания начального трафика, чтобы увеличить масштаб Брандмауэр Azure до максимального количества экземпляров.
Настройте подсеть Брандмауэр Azure с адресным пространством /26. Для Брандмауэр Azure требуется выделенная подсеть. Брандмауэр Azure подготавливает большую емкость по мере масштабирования. Диапазон IP-адресов /26 гарантирует, что в брандмауэре достаточно IP-адресов, доступных для масштабирования. Брандмауэр Azure не требует подсети, превышающей /26. Назовите Брандмауэр Azure подсеть AzureFirewallSubnet.
Не включите расширенное ведение журнала, если вам это не нужно. Брандмауэр Azure предоставляет некоторые расширенные возможности ведения журнала, которые могут нести значительные затраты для поддержания активности. Вместо этого эти возможности можно использовать только для устранения неполадок и в течение ограниченного времени. Отключите возможности, если они не нужны. Например, основные потоки и журналы трассировки потока являются дорогостоящими и могут привести к чрезмерному использованию ЦП и хранилища в инфраструктуре Брандмауэр Azure.
Рекомендации
| Рекомендация | Преимущества |
|---|---|
| Используйте панель мониторинга аналитики политик, чтобы определить способы оптимизации политик Брандмауэр Azure. | Используйте аналитику политик для выявления потенциальных проблем в политиках, таких как ограничения политики собраний, неправильные правила и неправильное использование групп IP-адресов. Получите рекомендации по улучшению состояния безопасности и производительности обработки правил. |
| Поместите часто используемые правила в группу для оптимизации задержки для политик Брандмауэр Azure с большими наборами правил. Дополнительные сведения см. в разделе "Использование политик Брандмауэр Azure для обработки правил". |
Поместите часто используемые правила в набор правил для оптимизации задержки обработки. Брандмауэр Azure обрабатывает правила на основе типа правила, наследования, приоритета группы коллекций правил и приоритета коллекции правил. Брандмауэр Azure сначала обрабатывает группы коллекций правил с высоким приоритетом. Внутри группы коллекций правил Брандмауэр Azure обрабатывает коллекции правил, имеющие наивысший приоритет. |
| Используйте группы IP-адресов для суммирования диапазонов IP-адресов и избегайте превышения предела уникальных исходных или уникальных правил сети назначения. Брандмауэр Azure обрабатывает группу IP как один адрес при создании сетевых правил. | Этот подход эффективно увеличивает количество IP-адресов, которые можно охватывать без превышения предела. Для каждого правила Azure умножает порты на IP-адреса. Таким образом, если одно правило имеет четыре диапазона IP-адресов и пять портов, вы используете 20 правил сети. |
| Используйте Брандмауэр Azure веб-категории, чтобы разрешить или запретить исходящий доступ массово, а не явно создавать и поддерживать длинный список общедоступных интернет-сайтов. | Эта функция динамически классифицирует веб-содержимое и позволяет создавать компактные правила приложения, что снижает эксплуатационные расходы. |
| Оцените влияние на производительность поставщиков удостоверений в режиме оповещений и запретов. Дополнительные сведения см. в статье со сравнением Производительность Брандмауэра Azure. | Включите поставщики удостоверений в оповещении и запрете для обнаружения и предотвращения вредоносных действий сети. Эта функция может привести к штрафу производительности. Узнайте о влиянии на рабочую нагрузку, чтобы вы могли планировать их соответствующим образом. |
| Настройте Брандмауэр Azure развертывания с пятью общедоступными IP-адресами для развертываний, которые подвержены исчерпанию портов SNAT. | Брандмауэр Azure поддерживает 2496 портов для каждого общедоступного IP-адреса, который использует каждый внутренний экземпляр Azure Масштабируемые наборы виртуальных машин. Эта конфигурация увеличивает доступные порты SNAT на пять раз. По умолчанию Брандмауэр Azure развертывает два экземпляра Масштабируемые наборы виртуальных машин, поддерживающие 4992 порта для каждого IP-адреса назначения потока, порта назначения и протокола TCP или UDP. Брандмауэр масштабируется до 20 экземпляров. |
Политики Azure
Azure предоставляет широкий набор встроенных политик, связанных с Брандмауэр Azure и его зависимостями. Некоторые из предыдущих рекомендаций можно проверять с помощью Политика Azure. Например, можно проверить, можно ли:
Сетевые интерфейсы не должны иметь общедоступных IP-адресов. Эта политика запрещает сетевые интерфейсы, настроенные с общедоступным IP-адресом. Общедоступные IP-адреса позволяют интернет-ресурсам обмениваться данными с ресурсами Azure, а ресурсы Azure могут обмениваться исходящими данными с Интернетом.
Весь интернет-трафик должен направляться через развернутый экземпляр Брандмауэр Azure. Центр безопасности Azure определяет, что некоторые из подсетей не защищены брандмауэром следующего поколения. Защита подсетей от потенциальных угроз. Используйте Брандмауэр Azure или поддерживаемый брандмауэр следующего поколения, чтобы ограничить доступ к подсетям.
Для комплексного управления просмотрите встроенные определения Политика Azure для Брандмауэр Azure и других политик, которые могут повлиять на безопасность сети.
Рекомендации Помощника по Azure
Помощник по Azure — это персонализированный облачный консультант, который помогает следовать рекомендациям по оптимизации развернутых служб Azure. Ниже приведены некоторые рекомендации, которые помогут повысить надежность, безопасность, эффективность затрат, производительность и эффективность работы Брандмауэр Azure.
Следующие шаги
Ознакомьтесь со следующими ресурсами, демонстрирующими рекомендации в этой статье.
Используйте следующие эталонные архитектуры в качестве примеров применения руководства этой статьи к рабочей нагрузке:
Используйте следующие ресурсы для улучшения опыта реализации.
См. другие ресурсы: