Granskning av Azure Well-Architected Framework – Azure Firewall
Den här artikeln innehåller arkitekturrekommendationer för Azure Firewall. Vägledningen baseras på de fem grundpelarna för utmärkt arkitektur:
- Tillförlitlighet
- Säkerhet
- Kostnadsoptimering
- Utmärkt driftseffektivitet
- Prestandaeffektivitet
Vi förutsätter att du har arbetskunskaper om Azure Firewall och är väl insatt i dess funktioner. Mer information finns i Azure Firewall Översikt.
Förutsättningar
- Genom att förstå grundpelarna för Azure Well-Architected Framework kan du skapa en högkvalitativ, stabil och effektiv molnarkitektur. Granska din arbetsbelastning med granskningsutvärderingen Well-Architected Framework .
- Använd en referensarkitektur för att granska övervägandena baserat på vägledningen i den här artikeln. Börja med nätverkshärdade webbprogram med privat anslutning till PaaS-datalager och implementera ett säkert hybridnätverk.
Tillförlitlighet
Information om hur Azure Firewall stöder arbetsbelastningar på ett tillförlitligt sätt finns i följande artiklar:
- Introduktion till Azure Firewall
- Snabbstart: Distribuera Azure Firewall med tillgänglighetszoner
- Konfigurera Azure Firewall i en Virtual WAN-hubb
Checklista för design
När du gör designval för Azure Firewall granskar du designprinciperna för tillförlitlighet.
- Distribuera Azure Firewall i virtuella hubbnätverk eller som en del av Azure Virtual WAN hubbar.
- Utnyttja Tillgänglighetszoner återhämtning.
- Skapa Azure Firewall principstruktur.
- Granska listan med kända problem.
- Övervaka Azure Firewall hälsotillstånd.
Anteckning
Det finns skillnader i tillgängligheten för nätverkstjänster mellan den traditionella Hub & Spoke-modellen och Virtual WAN hanterade skyddade hubbar. I en Virtual WAN Hub kan till exempel Azure Firewall offentlig IP inte hämtas från ett offentligt IP-prefix och kan inte ha DDoS-skydd aktiverat. Valet av den ena eller den andra modellen måste ta hänsyn till kraven för alla fem pelarna i Well-Architected Framework.
Rekommendationer
Utforska följande tabell med rekommendationer för att optimera din Azure Firewall konfiguration för tillförlitlighet.
| Rekommendation | Fördelar |
|---|---|
| Använd Azure Firewall Manager med traditionella Hub & Spokes eller Azure Virtual WAN-nätverkstopologier för att distribuera och hantera instanser av Azure Firewall. | Skapa enkelt nav-och-eker-arkitekturer och transitiva arkitekturer med interna säkerhetstjänster för trafikstyrning och skydd. Mer information om nätverkstopologier finns i dokumentationen för Azure Cloud Adoption Framework. |
| Skapa Azure Firewall principer för att styra säkerhetsstatusen i globala nätverksmiljöer. Tilldela principer till alla instanser av Azure Firewall. | Azure Firewall principer kan ordnas i en hierarkisk struktur för att lägga över en central basprincip. Tillåt detaljerade principer för att uppfylla kraven för specifika regioner. Delegera inkrementella brandväggsprinciper till lokala säkerhetsteam via rollbaserad åtkomstkontroll (RBAC). Vissa inställningar är specifika per instans, till exempel DNAT-regler och DNS-konfiguration, och sedan kan flera specialiserade principer krävas. |
| Migrera Azure Firewall klassiska regler till Azure Firewall Manager-principer för befintliga distributioner. | För befintliga distributioner migrerar du Azure Firewall regler till Azure Firewall Manager-principer. Använd Azure Firewall Manager för att centralt hantera brandväggar och principer. Mer information finns i Migrera till Azure Firewall Premium. |
| Granska listan över Azure Firewall kända problem. | Azure Firewall Produktgrupp har en uppdaterad lista över kända problem på den här platsen. Den här listan innehåller viktig information som rör designbeteende, korrigeringar under uppbyggnad, plattformsbegränsningar samt möjliga lösningar eller åtgärder. |
| Se till att din Azure Firewall policy följer Azure Firewall gränser och rekommendationer. | Det finns gränser för principstrukturen, inklusive antal regler och regelsamlingsgrupper, total principstorlek, käll-/målmål. Kom ihåg att skapa principen och hålla dig bakom de dokumenterade tröskelvärdena. |
| Distribuera Azure Firewall över flera tillgänglighetszoner för ett högre serviceavtal (SLA). | Azure Firewall tillhandahåller olika serviceavtal när den distribueras i en enda tillgänglighetszon och när den distribueras i flera zoner. Mer information finns i SLA för Azure Firewall. Information om alla Azure-serviceavtal finns i SLA-sammanfattning för Azure-tjänster. |
| Distribuera en Azure Firewall instans per region i miljöer med flera regioner. | För traditionella Hub & Spokes-arkitekturer förklaras information om flera regioner i den här artikeln. För skyddade virtuella hubbar (Azure Virtual WAN) måste routnings avsikt och principer konfigureras för att skydda kommunikation mellan hubbar och filialer. För arbetsbelastningar som är utformade för att vara resistenta mot fel och feltoleranta bör du tänka på att instanser av Azure Firewall och Azure Virtual Network som regionala resurser. |
| Övervaka Azure Firewall mått och Resource Health tillstånd. | Övervaka noga viktiga måttindikatorer för Azure Firewall hälsotillstånd, till exempel dataflöde, brandväggens hälsotillstånd, SNAT-portanvändning och azfw-mått för svarstidsavsökning. Dessutom integreras Azure Firewall nu med Azure Resource Health. Med Azure Firewall Resource Health kontroll kan du nu visa hälsostatusen för dina Azure Firewall och åtgärda tjänstproblem som kan påverka din Azure Firewall resurs. |
Azure Advisor hjälper dig att säkerställa och förbättra kontinuiteten i dina affärskritiska program. Granska Azure Advisor-rekommendationerna.
Säkerhet
Säkerhet är en av de viktigaste aspekterna, oavsett arkitektur. Azure Firewall är en intelligent brandväggssäkerhetstjänst som ger skydd mot hot för dina molnarbetsbelastningar som körs i Azure.
Checklista för design
När du gör designval för Azure Firewall granskar du designprinciperna för säkerhet.
- Kontrollera om du behöver tvingad tunneltrafik.
- Skapa regler för principer baserat på villkor för lägsta behörighetsåtkomst.
- Utnyttja hotinformation.
- Aktivera Azure Firewall DNS-proxy.
- Dirigera nätverkstrafik via Azure Firewall.
- Fastställ om du vill använda leverantörer av säkerhet som en tjänst (SECaaS) från tredje part.
- Skydda dina Azure Firewall offentliga IP-adresser med DDoS.
Rekommendationer
Utforska följande tabell med rekommendationer för att optimera din Azure Firewall konfiguration för säkerhet.
| Rekommendation | Fördelar |
|---|---|
| Om det krävs för att dirigera all internetbunden trafik till ett angivet nästa hopp i stället för att gå direkt till Internet konfigurerar du Azure Firewall i läget för tvingad tunneltrafik (gäller inte för Azure Virtual WAN). | Azure Firewall måste ha direkt Internetanslutning. Om ditt AzureFirewallSubnet lär sig en standardväg till ditt lokala nätverk via Border Gateway Protocol måste du konfigurera Azure Firewall i läget för tvingad tunneltrafik. Med funktionen för tvingad tunneltrafik behöver du ytterligare ett /26-adressutrymme för Azure Firewall Management-undernätet. Du måste ge den namnet AzureFirewallManagementSubnet. Om det här är en befintlig Azure Firewall instans som inte kan konfigureras om i läget för tvingad tunneltrafik skapar du en UDR med en 0.0.0.0/0-väg. Ange Värdet NextHopType som Internet. Associera det med AzureFirewallSubnet för att upprätthålla internetanslutningen. |
| Ställ in den offentliga IP-adressen på Ingen för att distribuera ett helt privat dataplan när du konfigurerar Azure Firewall i läget för tvingad tunneltrafik (gäller inte för Azure Virtual WAN). | Om du aktiverar läget för tvingad tunneltrafik när du distribuerar en ny Azure Firewall instans kan du ställa in den offentliga IP-adressen på Ingen för att distribuera ett helt privat dataplan. Hanteringsplanet kräver dock fortfarande en offentlig IP-adress endast i hanteringssyfte. Den interna trafiken från virtuella och lokala nätverk använder inte den offentliga IP-adressen. Mer information om tvingad tunneltrafik finns i Azure Firewall tvingad tunneltrafik. |
| Skapa regler för brandväggsprinciper baserat på villkor för lägsta behörighetsåtkomst. | Azure Firewall Principer kan ordnas i en hierarkisk struktur för att lägga över en central basprincip. Tillåt att detaljerade principer uppfyller kraven för specifika regioner. Varje princip kan innehålla olika uppsättningar DNAT-, nätverks- och programregler med specifik prioritet, åtgärd och bearbetningsordning. Skapa dina regler baserat på principen om lägsta behörighetsåtkomst Nolltillit . Hur regler bearbetas förklaras i den här artikeln. |
| Aktivera hotinformation på Azure Firewall i aviserings- och neka-läge. | Du kan aktivera hotinformationsbaserad filtrering för brandväggen för att avisera och neka trafik från eller till okända IP-adresser och domäner. IP-adresserna och domänerna kommer från Microsoft Threat Intelligence Feed. Intelligent Security Graph driver Microsofts hotinformation och används av flera tjänster, inklusive Microsoft Defender för molnet. |
| Aktivera IDPS i aviserings- eller aviseringsläge och neka läge. | IDPS är en av de mest kraftfulla säkerhetsfunktionerna Azure Firewall (Premium) och bör aktiveras. Baserat på säkerhets- och programkrav och med tanke på prestandapåverkan (se avsnittet Kostnad nedan) kan aviserings- eller aviserings- och neka-lägen väljas. |
| Aktivera proxykonfiguration för Azure Firewall (DNS). | Om du aktiverar den här funktionen kan klienter i de virtuella nätverken Azure Firewall som en DNS-server. Den skyddar den interna DNS-infrastrukturen som inte kommer att nås direkt och exponeras. Azure Firewall måste också konfigureras för att använda anpassad DNS som ska användas för att vidarebefordra DNS-frågor. |
| Konfigurera användardefinierade vägar (UDR) för att tvinga trafik genom Azure Firewall. | I en traditionell arkitektur för Hub & Spokes konfigurerar du UDR:erna för att tvinga trafik via Azure Firewall för SpoketoSpoke, SpoketoInternetoch SpoketoHybrid anslutning. I Azure Virtual WAN konfigurerar du i stället routnings avsikt och principer för att omdirigera privat och/eller Internettrafik via den Azure Firewall instans som är integrerad i hubben. |
| Begränsa användningen av offentliga IP-adresser som är direkt kopplade till Virtual Machines | För att förhindra att trafik kringgår brandväggen bör associationen mellan offentliga IP-adresser och vm-nätverksgränssnitt begränsas. I Azure Cloud Adoption Framework-modellen (CAF) tilldelas en specifik Azure Policy till CORP-hanteringsgruppen. |
| Om det inte går att tillämpa UDR, och endast omdirigering av webbtrafik krävs, bör du överväga att använda Azure Firewall som en explicit proxy | Med den explicita proxyfunktionen aktiverad på den utgående sökvägen kan du konfigurera en proxyinställning för det sändande webbprogrammet (till exempel en webbläsare) med Azure Firewall konfigurerad som proxy. Därför når webbtrafiken brandväggens privata IP-adress och utgående direkt från brandväggen utan att använda en UDR. Den här funktionen underlättar också användningen av flera brandväggar utan att ändra befintliga nätverksvägar. |
| Konfigurera saaS-säkerhetsleverantörer från tredje part som stöds i Firewall Manager om du vill använda dessa lösningar för att skydda utgående anslutningar. | Du kan använda dina välbekanta SECaaS-erbjudanden från tredje part för att skydda internetåtkomsten för dina användare. Det här scenariot kräver Azure Virtual WAN med en S2S-VPN Gateway i hubben, eftersom den använder en IPSec-tunnel för att ansluta till leverantörens infrastruktur. SECaaS-leverantörer kan ta ut ytterligare licensavgifter och begränsa dataflödet för IPSec-anslutningar. Alternativa lösningar som ZScaler Cloud Connector finns och kan vara lämpligare. |
| Använd filtrering av fullständigt kvalificerade domännamn (FQDN) i nätverksregler. | Du kan använda FQDN baserat på DNS-matchning i Azure Firewall- och brandväggsprinciper. Med den här funktionen kan du filtrera utgående trafik med valfritt TCP/UDP-protokoll (inklusive NTP, SSH, RDP med mera). Du måste aktivera Azure Firewall DNS-proxykonfiguration för att kunna använda FQDN i dina nätverksregler. Information om hur det fungerar finns i Azure Firewall FQDN-filtrering i nätverksregler. |
| Använd tjänsttaggar i nätverksregler för att aktivera selektiv åtkomst till specifika Microsoft-tjänster. | En tjänsttagg representerar en grupp IP-adressprefix och används i syfte att minska komplexiteten vid skapande av säkerhetsregler. Med hjälp av tjänsttaggar i nätverksregler är det möjligt att aktivera utgående åtkomst till specifika tjänster i Azure, Dynamics och Office 365 utan att öppna ett stort antal IP-adresser. Azure underhåller automatiskt mappningen mellan dessa taggar och underliggande IP-adresser som används av varje tjänst. Listan över tjänsttaggar som är tillgängliga för Azure Firewall visas här: Az Firewall Service Tags. |
| Använd FQDN-taggar i programregler för att aktivera selektiv åtkomst till specifika Microsoft-tjänster. | En FQDN-tagg representerar en grupp fullständigt kvalificerade domännamn (FQDN) som är associerade med välkända Microsoft-tjänster. Du kan använda en FQDN-tagg i programregler för att tillåta den utgående nätverkstrafik som krävs via brandväggen för vissa specifika Azure-tjänster, Office 365, Windows 365 och Intune. |
| Använd Azure Firewall Manager för att skapa och associera en DDoS-skyddsplan med ditt virtuella hubbnätverk (gäller inte för Azure Virtual WAN). | En DDoS-skyddsplan ger förbättrade åtgärdsfunktioner för att skydda brandväggen mot DDoS-attacker. Azure Firewall Manager är ett integrerat verktyg för att skapa din brandväggsinfrastruktur och DDoS-skyddsplaner. Mer information finns i Konfigurera en Azure DDoS Protection-plan med Azure Firewall Manager. |
| Använd en Enterprise PKI för att generera certifikat för TLS-inspektion. | Om TLS-inspektionsfunktionen används med Azure Firewall Premium rekommenderar vi att du använder en intern certifikatutfärdare för företag (CA) för produktionsmiljön. Självsignerade certifikat ska endast användas för testning/PoC-ändamål . |
| Läs Zero-Trust konfigurationsguide för Azure Firewall och Application Gateway | Om dina säkerhetskrav kräver att du implementerar en Zero-Trust metod för webbprogram (inspektion och kryptering) rekommenderar vi att du följer den här guiden. I det här dokumentet förklaras hur du integrerar Azure Firewall och Application Gateway i både traditionella Hub & Spoke- och Virtual WAN-scenarier. |
Azure Advisor hjälper dig att säkerställa och förbättra kontinuiteten i dina affärskritiska program. Granska Azure Advisor-rekommendationerna.
Principdefinitioner
Nätverksgränssnitt bör inte ha offentliga IP-adresser. Den här principen nekar de nätverksgränssnitt som har konfigurerats med offentliga IP-adresser. Offentliga IP-adresser gör det möjligt för Internet-resurser att kommunicera ingående till Azure-resurser och Azure-resurser att kommunicera utgående till Internet.
All Internettrafik ska dirigeras via din distribuerade Azure Firewall. Azure Security Center har upptäckt att vissa av dina undernät inte skyddas med nästa generations brandvägg. Skydda dina undernät mot potentiella hot genom att begränsa åtkomsten till dem med Azure Firewall eller en nästa generations brandvägg som stöds.
Azure-brandväggsprincipen bör aktivera TLS-inspektion i programregler. Aktivering av TLS-inspektion rekommenderas för alla programregler för att identifiera, avisera och minimera skadlig aktivitet i HTTPS. Mer information om TLS-inspektion med Azure Firewall finns i https://aka.ms/fw-tlsinspect.
Azure Firewall Premium bör konfigurera ett giltigt mellanliggande certifikat för att aktivera TLS-inspektion. Konfigurera ett giltigt mellanliggande certifikat och aktivera Azure Firewall Premium TLS-inspektion för att identifiera, avisera och minimera skadlig aktivitet i HTTPS. Mer information om TLS-inspektion med Azure Firewall finns i https://aka.ms/fw-tlsinspect.
Kringgå listan över intrångsidentifierings- och skyddssystem (IDPS) bör vara tom i Firewall Policy Premium. Med listan Kringgå intrångsidentifierings- och skyddssystem (IDPS) kan du inte filtrera trafik till någon av DE IP-adresser, intervall och undernät som anges i listan över förbikopplingar. Aktivering av IDPS rekommenderas dock för alla trafikflöden för att bättre identifiera kända hot. Mer information om IDPS-signaturer (Intrusion Detection and Prevention System) med Azure Firewall Premium finns i https://aka.ms/fw-idps-signature.
Firewall Policy Premium bör aktivera alla IDPS-signaturregler för att övervaka alla inkommande och utgående trafikflöden. Aktivera alla IDPS-signaturregler (Intrusion Detection and Prevention System) rekommenderas för att bättre identifiera kända hot i trafikflödena. Mer information om IDPS-signaturer (Intrusion Detection and Prevention System) med Azure Firewall Premium finns i https://aka.ms/fw-idps.
Firewall Policy Premium bör aktivera IDPS (Intrusion Detection and Prevention System). Genom att aktivera IDPS (Intrusion Detection and Prevention System) kan du övervaka nätverket för skadlig aktivitet, logga information om den här aktiviteten, rapportera den och eventuellt försöka blockera den. Mer information om IDPS (Intrusion Detection and Prevention System) med Azure Firewall Premium finns i https://aka.ms/fw-idps.
Prenumerationen bör konfigurera Azure Firewall Premium för att tillhandahålla ytterligare skyddslager. Azure Firewall Premium tillhandahåller avancerat skydd mot hot som uppfyller behoven i mycket känsliga och reglerade miljöer. Distribuera Azure Firewall Premium till din prenumeration och se till att all tjänsttrafik skyddas av Azure Firewall Premium. Mer information om Azure Firewall Premium finns i https://aka.ms/fw-premium.
Alla inbyggda principdefinitioner relaterade till Azure-nätverk visas i Inbyggda principer – Nätverk.
Kostnadsoptimering
Kostnadsoptimering handlar om att titta på sätt att minska onödiga utgifter och förbättra driftseffektiviteten.
Checklista för design
När du gör designval för Azure Firewall läser du designprinciperna för kostnadsoptimering.
- Välj den Azure Firewall SKU som ska distribueras.
- Kontrollera om vissa instanser inte behöver permanent 24x7-allokering.
- Ta reda på var du kan optimera brandväggsanvändningen för arbetsbelastningar.
- Övervaka och optimera användningen av brandväggsinstanser för att fastställa kostnadseffektiviteten.
- Granska och optimera antalet offentliga IP-adresser som krävs och principer som används.
- Granska loggningskrav, beräkna kostnader och kontroll över tid.
Rekommendationer
Utforska följande tabell med rekommendationer för att optimera din Azure Firewall konfiguration för kostnadsoptimering.
| Rekommendation | Fördelar |
|---|---|
| Distribuera rätt Azure Firewall SKU. | Azure Firewall kan distribueras i tre olika SKU:er: Basic, Standard och Premium. Azure Firewall Premium rekommenderas för att skydda mycket känsliga program (till exempel betalningsbearbetning). Azure Firewall Standard rekommenderas för kunder som letar efter Layer 3–Layer 7-brandväggen och behöver autoskalning för att hantera trafiktoppar på upp till 30 Gbit/s. Azure Firewall Basic rekommenderas för SMB-kunder med dataflödesbehov på 250 Mbit/s. Om det behövs kan du nedgradera eller uppgradera mellan Standard och Premium enligt beskrivningen här. Mer information finns i Välj rätt Azure Firewall SKU för att uppfylla dina behov. |
| Stoppa Azure Firewall distributioner som inte behöver köras för 24 x 7. | Du kan ha utvecklings- eller testmiljöer som endast används under kontorstid. Mer information finns i Frigöra och allokera Azure Firewall. |
| Dela samma instans av Azure Firewall över flera arbetsbelastningar och virtuella Azure-nätverk. | Du kan använda en central instans av Azure Firewall i det virtuella hubbnätverket eller Virtual WAN säker hubb och dela samma brandvägg över många virtuella ekernätverk som är anslutna till samma hubb från samma region. Se till att det inte finns någon oväntad trafik mellan regioner som en del av topologin hub-spoke. |
| Granska regelbundet trafik som bearbetas av Azure Firewall och leta efter ursprungliga arbetsbelastningsoptimeringar | Toppflödesloggen (känd i branschen som Fettflöden) visar de vanligaste anslutningarna som bidrar till det högsta dataflödet genom brandväggen. Vi rekommenderar att du regelbundet granskar trafik som bearbetas av Azure Firewall och söker efter möjliga optimeringar för att minska mängden trafik som passerar brandväggen. |
| Granska underutnyttjade Azure Firewall instanser. Identifiera och ta bort oanvända Azure Firewall distributioner. | Om du vill identifiera oanvända Azure Firewall distributioner börjar du med att analysera övervakningsmåtten och UDR:erna som är associerade med undernät som pekar på brandväggens privata IP-adress. Kombinera informationen med andra valideringar, till exempel om din instans av Azure Firewall har några regler (klassisk) för NAT, nätverk och program, eller även om DNS-proxyinställningen har konfigurerats till Inaktiverad och med intern dokumentation om din miljö och distributioner. Du kan identifiera distributioner som är kostnadseffektiva över tid. Mer information om övervakning av loggar och mått finns i Övervaka Azure Firewall loggar och mått och SNAT-portanvändning. |
| Använd Azure Firewall Manager och dess principer för att minska driftskostnaderna, öka effektiviteten och minska hanteringskostnaderna. | Granska brandväggshanterarens principer, associationer och arv noggrant. Principer faktureras baserat på brandväggsassociationer. En princip med noll eller en brandväggsassociation är kostnadsfri. En princip med flera brandväggsassociationer debiteras med fast hastighet. Mer information finns i Priser – Azure Firewall Manager. |
| Ta bort oanvända offentliga IP-adresser. | Kontrollera om alla associerade offentliga IP-adresser används. Om de inte används avassocierar och tar du bort dem. Utvärdera SNAT-portanvändningen innan du tar bort ip-adresser. Du använder bara antalet offentliga IP-adresser som brandväggen behöver. Mer information finns i Övervaka Azure Firewall loggar och mått och SNAT-portanvändning. |
| Granska loggningskraven. | Azure Firewall har möjlighet att på ett omfattande sätt logga metadata för all trafik som den ser, till Log Analytics-arbetsytor, lagringslösningar eller lösningar från tredje part via Event Hubs. Alla loggningslösningar medför dock kostnader för databehandling och lagring. På mycket stora volymer kan dessa kostnader vara betydande, en kostnadseffektiv metod och ett alternativ till Log Analytics bör övervägas och beräknas som kostnad. Överväg om det krävs för att logga trafikmetadata för alla loggningskategorier och ändra i Diagnostikinställningar om det behövs. |
Fler förslag finns i Checklista för designgranskning för kostnadsoptimering.
Azure Advisor hjälper dig att säkerställa och förbättra kontinuiteten i dina affärskritiska program. Granska Azure Advisor-rekommendationerna.
Utmärkt driftseffektivitet
Övervakning och diagnostik är avgörande. Du kan mäta prestandastatistik och mått för att felsöka och åtgärda problem snabbt.
Checklista för design
När du gör designval för Azure Firewall granskar du designprinciperna för driftseffektivitet.
- Underhåll inventering och säkerhetskopiering av Azure Firewall konfiguration och principer.
- Använd diagnostikloggar för brandväggsövervakning och felsökning.
- Använd Azure Firewall övervakningsarbetsbok.
- Granska regelbundet dina principinsikter och analyser.
- Integrera Azure Firewall med Microsoft Defender för molnet och Microsoft Sentinel.
Rekommendationer
Utforska följande tabell med rekommendationer för att optimera din Azure Firewall konfiguration för driftseffektivitet.
| Rekommendation | Fördelar |
|---|---|
| Använd inte Azure Firewall för trafikkontroll inom det virtuella nätverket. | Azure Firewall bör användas för att styra trafik mellan virtuella nätverk, mellan virtuella nätverk och lokala nätverk, utgående trafik till Internet och inkommande icke-HTTP/s-trafik. För trafikkontroll inom virtuella nätverk rekommenderar vi att du använder nätverkssäkerhetsgrupper. |
| Underhåll regelbundna säkerhetskopior av Azure Policy artefakter. | Om IaC-metoden (Infrastruktur som kod) används för att underhålla Azure Firewall och alla beroenden bör säkerhetskopiering och versionshantering av Azure Firewall principer redan finnas på plats. Annars kan en tilläggsmekanism som baseras på extern logikapp distribueras för att automatisera och tillhandahålla en effektiv lösning. |
| Aktivera diagnostikloggar för Azure Firewall. | Diagnostikloggar är en viktig komponent för många övervakningsverktyg och strategier för Azure Firewall och bör aktiveras. Du kan övervaka Azure Firewall med hjälp av brandväggsloggar eller arbetsböcker. Du kan också använda aktivitetsloggar för granskningsåtgärder på Azure Firewall resurser. |
| Använd format för strukturerade brandväggsloggar . | Strukturerade brandväggsloggar är en typ av loggdata som är ordnade i ett specifikt nytt format. De använder ett fördefinierat schema för att strukturera loggdata på ett sätt som gör det enkelt att söka, filtrera och analysera. De senaste övervakningsverktygen baseras på den här typen av loggar. Därför är det ofta en förutsättning. Använd endast föregående format för diagnostikloggar om det finns ett befintligt verktyg med en förutsättning för detta. Aktivera inte båda loggningsformaten samtidigt. |
| Använd den inbyggda Azure Firewall övervakningsarbetsboken. | Azure Firewall portalupplevelse innehåller nu en ny arbetsbok under avsnittet Övervakningsgränssnitt krävs inte längre en separat installation. Med Azure Firewall-arbetsboken kan du extrahera värdefulla insikter från Azure Firewall händelser, fördjupa dig i dina program- och nätverksregler och granska statistik om brandväggsaktiviteter mellan URL:er, portar och adresser. |
| Övervaka viktiga mått och skapa aviseringar för indikatorer för användningen av Azure Firewall kapacitet. | Aviseringar bör skapas för att övervaka minst dataflöde, brandväggens hälsotillstånd, SNAT-portanvändning och mått för AZFW-svarstidsavsökning . Information om övervakning av loggar och mått finns i Övervaka Azure Firewall loggar och mått. |
| Konfigurera Azure Firewall integrering med Microsoft Defender för molnet och Microsoft Sentinel. | Om dessa verktyg är tillgängliga i miljön rekommenderar vi att du använder integrering med Microsoft Defender för moln- och Microsoft Sentinel-lösningar. Med Microsoft Defender för molnintegrering kan du visualisera hela statusen för nätverksinfrastruktur och nätverkssäkerhet på ett och samma ställe, inklusive Azure Network Security för alla virtuella nätverk och virtuella hubbar fördelade på olika regioner i Azure. Integrering med Microsoft Sentinel ger funktioner för hotidentifiering och skydd. |
| Granska regelbundet instrumentpanelen för principanalys för att identifiera potentiella problem. | Principanalys är en ny funktion som ger insikter om effekten av dina Azure Firewall principer. Det hjälper dig att identifiera potentiella problem (uppnå principgränser, regler för låg användning, redundanta regler, regler som är för allmänna, rekommendation om ANVÄNDNING AV IP-grupper) i dina principer och ger rekommendationer för att förbättra prestanda för säkerhetsstatus och regelbearbetning. |
| Bekanta dig med KQL-frågor (Kusto-frågespråk) för att möjliggöra snabbanalys och felsökning med hjälp av Azure Firewall loggar. | Exempelfrågor tillhandahålls för Azure Firewall. De gör att du snabbt kan identifiera vad som händer i brandväggen och kontrollera vilken regel som utlöstes eller vilken regel som tillåter/blockerar en begäran. |
Azure Advisor hjälper dig att säkerställa och förbättra kontinuiteten i dina affärskritiska program. Granska Azure Advisor-rekommendationerna.
Prestandaeffektivitet
Prestandaeffektivitet är arbetsbelastningens förmåga att skala för att effektivt uppfylla användarnas krav.
Checklista för design
När du gör designval för Azure Firewall kan du granska designprinciperna för prestandaeffektivitet.
- Granska och optimera brandväggsregler regelbundet.
- Granska principkrav och möjligheter att sammanfatta LISTAN ÖVER IP-intervall och URL:er.
- Utvärdera dina SNAT-portkrav.
- Planera belastningstester för att testa prestanda för automatisk skalning i din miljö.
- Aktivera inte diagnostikverktyg och loggning om det inte behövs.
Rekommendationer
Utforska följande tabell med rekommendationer för att optimera din Azure Firewall konfiguration för prestandaeffektivitet.
| Rekommendation | Fördelar |
|---|---|
| Använd instrumentpanelen för principanalys för att identifiera potentiella optimeringar för brandväggsprinciper. | Principanalys är en ny funktion som ger insikter om effekten av dina Azure Firewall principer. Det hjälper dig att identifiera potentiella problem (uppnå principgränser, regler för låg användning, redundanta regler, regler som är för allmänna, användningsrekommendationer för IP-grupper) i dina principer och ger rekommendationer för att förbättra prestanda för säkerhetsstatus och regelbearbetning. |
| För Brandväggsprinciper med stora regeluppsättningar placerar du de vanligaste reglerna tidigt i gruppen för att optimera svarstiden. | Regler bearbetas baserat på regeltyp, arv, prioritet för regelsamlingsgrupp och regelsamlingsprioritet. Regelsamlingsgrupper med högsta prioritet bearbetas först. I en regelsamlingsgrupp bearbetas regelsamlingar med högsta prioritet först. Om du placerar de mest använda reglerna högre i regeluppsättningen optimeras svarstiden för bearbetning. Hur regler bearbetas och utvärderas förklaras i den här artikeln. |
| Använd IP-grupper för att sammanfatta IP-adressintervall. | Du kan använda IP-grupper för att sammanfatta IP-intervall, så att du inte överskrider gränsen för unika regler för käll-/målnätverk. För varje regel multiplicerar Azure portar med IP-adresser. Så om du har en regel med fyra IP-adressintervall och fem portar använder du 20 nätverksregler. IP-gruppen behandlas som en enda adress för att skapa nätverksregler. |
| Överväg att använda webbkategorier för att tillåta eller neka utgående åtkomst i grupp. | I stället för att uttryckligen skapa och underhålla en lång lista över offentliga webbplatser bör du överväga användningen av Azure Firewall webbkategorier. Den här funktionen kategoriserar webbinnehåll dynamiskt och tillåter skapandet av kompakta programregler. |
| Utvärdera prestandapåverkan för IDPS i aviserings- och neka-läge . | Om Azure Firewall krävs för att fungera i IDPS-lägeAvisering och neka bör du noga överväga prestandapåverkan enligt beskrivningen på den här sidan. |
| Utvärdera potentiella problem med SNAT-portöverbelastning. | Azure Firewall har för närvarande stöd för 2 496 portar per offentlig IP-adress per instans av vm-skalningsuppsättningar i serverdelen. Som standard finns det två vm-skalningsuppsättningsinstanser. Det finns alltså 4 992 portar per flödes mål-IP, målport och protokoll (TCP eller UDP). Brandväggen skalar upp till högst 20 instanser. Du kan kringgå gränserna genom att konfigurera Azure Firewall distributioner med minst fem offentliga IP-adresser för distributioner som är känsliga för SNAT-överbelastning. |
| Värm upp Azure Firewall ordentligt före ett prestandatest. | Skapa inledande trafik som inte ingår i belastningstesterna 20 minuter före testet. Använd diagnostikinställningar för att samla in uppskalnings- och nedskalningshändelser. Du kan använda Azure Load Testing-tjänsten för att generera den inledande trafiken. Gör att Azure Firewall-instansen kan skala upp sina instanser till maxgränsen. |
| Konfigurera ett Azure Firewall undernät (AzureFirewallSubnet) med adressutrymmet /26. | Azure Firewall är en dedikerad distribution i ditt virtuella nätverk. I ditt virtuella nätverk krävs ett dedikerat undernät för instansen av Azure Firewall. Azure Firewall etablerar mer kapacitet allt eftersom den skalas. Ett /26-adressutrymme för dess undernät säkerställer att brandväggen har tillräckligt med IP-adresser för att hantera skalningen. Azure Firewall behöver inte ett undernät som är större än /26. Det Azure Firewall undernätsnamnet måste vara AzureFirewallSubnet. |
| Aktivera inte avancerad loggning om det inte behövs | Azure Firewall tillhandahåller vissa avancerade loggningsfunktioner som kan vara dyra att underhålla alltid aktiva. I stället bör de endast användas för felsökning och begränsas i varaktighet och sedan inaktiveras när det inte behövs mer. De vanligaste flödena och flödesspårningsloggarna är till exempel dyra och kan orsaka överdriven processor- och lagringsanvändning i Azure Firewall infrastruktur. |
Azure Advisor hjälper dig att säkerställa och förbättra kontinuiteten i dina affärskritiska program. Granska Azure Advisor-rekommendationerna.
Azure Advisor-rekommendationer
Azure Advisor är en anpassad molnkonsult som hjälper dig att följa bästa praxis för att optimera dina Azure-distributioner. Det finns ännu ingen Azure Firewall specifik Advisor-rekommendation. Vissa allmänna rekommendationer kan användas för att förbättra tillförlitlighet, säkerhet, kostnadseffektivitet, prestanda och driftseffektivitet.
- Skapa Azure Service Health-aviseringar som ska meddelas när Azure-problem påverkar dig
- Se till att du har åtkomst till Azure-molnexperter när du behöver det
- Aktivera Trafikanalys för att visa insikter om trafikmönster i Azure-resurser
- Följ precis tillräckligt med administration (minsta behörighetsprincip)
- Skydda dina nätverksresurser med Microsoft Defender för molnet
Ytterligare resurser
- Dokumentation om Azure Firewall
- Vad är Azure Firewall Manager?
- Azure Firewall tjänstgränser, kvoter och begränsningar
- Azure-säkerhetsbaslinje för Azure Firewall
Vägledning för Azure Architecture Center
- översikt över Azure Firewall arkitektur
- Använd Azure Firewall för att skydda ett Azure Kubernetes Service-kluster (AKS)
- Använda Azure Firewall för att skydda Azure Virtual Desktop-distributioner (AVD)
- Använd Azure Firewall för att skydda Office 365
- Nätverkstopologi av typen hub-spoke i Azure
- Nätverk med noll förtroende för webbprogram med Azure Firewall och Application Gateway
- Implementera ett säkert hybridnätverk
- Nätverkshärdad webbapp med privat anslutning till PaaS-datalager
Nästa steg
Distribuera en instans av Azure Firewall för att se hur det fungerar:
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för