Přehled architektury Azure Well-Architected Framework – Azure Firewall
Tento článek obsahuje doporučení architektury pro Azure Firewall. Pokyny vycházejí z pěti pilířů špičkové architektury:
- Spolehlivost
- Zabezpečení
- Optimalizace nákladů
- Efektivita provozu
- Efektivita výkonu
Předpokládáme, že máte pracovní znalosti o Azure Firewall a jste dobře obeznámeni s jeho funkcemi. Další informace najdete v tématu přehled Azure Firewall.
Požadavky
- Pochopení pilířů architektury Azure Well-Architected Může vám pomoct vytvořit vysoce kvalitní, stabilní a efektivní cloudovou architekturu. Zkontrolujte úlohy pomocí posouzení kontroly dobře navrženou architekturou .
- Pomocí referenční architektury si projděte důležité informace na základě pokynů uvedených v tomto článku. Začněte s webovou aplikací s posílením zabezpečení sítě s privátním připojením k úložištům dat PaaS a implementujte zabezpečenou hybridní síť.
Spolehlivost
Informace o tom, jak Azure Firewall spolehlivě podporují úlohy, najdete v následujících článcích:
- Úvod do Azure Firewall
- Rychlý start: Nasazení Azure Firewall se zónami dostupnosti
- Konfigurace služby Azure Firewall v centru služby Virtual WAN
Kontrolní seznam návrhu
Při rozhodování o návrhu pro Azure Firewall si projděte principy návrhu pro spolehlivost.
- Nasaďte Azure Firewall ve virtuálních sítích centra nebo jako součást azure Virtual WAN hub.
- Využijte Zóny dostupnosti odolnost.
- Vytvoření struktury zásad Azure Firewall
- Projděte si seznam známých problémů.
- Monitorujte Azure Firewall stav.
Poznámka
Mezi tradičním modelem Hub & Spoke a Virtual WAN zabezpečenými centry existují rozdíly v dostupnosti síťových služeb. Například v centru Virtual WAN nelze veřejnou IP adresu Azure Firewall získat z předpony veřejné IP adresy a nemůže mít povolenou ochranu před útoky DDoS. Výběr jednoho nebo druhého modelu musí brát v úvahu požadavky napříč všemi pěti pilíři Well-Architected Frameworku.
Doporučení
Projděte si následující tabulku doporučení pro optimalizaci konfigurace Azure Firewall pro spolehlivost.
| Doporučení | Výhoda |
|---|---|
| K nasazení a správě instancí Azure Firewall použijte Azure Firewall Manager s tradičními paprsky & nebo síťovými topologiemi Azure Virtual WAN. | Díky nativním službám zabezpečení pro řízení a ochranu provozu můžete snadno vytvářet hvězdicové a tranzitivní architektury. Další informace o síťových topologiích najdete v dokumentaci k Azure Cloud Adoption Framework. |
| Vytváření zásad Azure Firewall pro řízení stavu zabezpečení v globálních síťových prostředích Přiřaďte zásady všem instancím Azure Firewall. | zásady Azure Firewall je možné uspořádat do hierarchické struktury, aby se překryly centrální základní zásady. Povolte podrobné zásady, které splňují požadavky konkrétních oblastí. Delegujte přírůstkové zásady brány firewall na místní bezpečnostní týmy prostřednictvím řízení přístupu na základě role (RBAC). Některá nastavení jsou specifická pro každou instanci, například pravidla DNAT a konfigurace DNS, pak může být potřeba několik specializovaných zásad. |
| Migrace klasických pravidel Azure Firewall na zásady Azure Firewall Manageru pro existující nasazení | U existujících nasazení migrujte pravidla Azure Firewall do zásad Azure Firewall Manageru. K centrální správě bran firewall a zásad použijte Azure Firewall Manager. Další informace najdete v tématu Migrace na Azure Firewall Premium. |
| Projděte si seznam Azure Firewall známých problémů. | Azure Firewall Product Group udržuje aktualizovaný seznam známých problémů v tomto umístění. Tento seznam obsahuje důležité informace související s chováním při návrhu, opravami v rámci vytváření, omezeními platforem a možnými alternativními řešeními nebo zmírněními rizik. |
| Ujistěte se, že zásady Azure Firewall dodržují Azure Firewall limity a doporučení. | Pro strukturu zásad platí omezení, včetně počtu pravidel a skupin kolekcí pravidel, celkové velikosti zásad a zdrojových a cílových cílů. Nezapomeňte vytvořit zásadu a zůstat za zdokumentovanými prahovými hodnotami. |
| Nasazení Azure Firewall napříč několika zónami dostupnosti pro vyšší smlouvu o úrovni služeb (SLA). | Azure Firewall poskytuje různé smlouvy SLA, když je nasazená v jedné zóně dostupnosti a když je nasazená ve více zónách. Další informace najdete v tématu sla pro Azure Firewall. Informace o všech smlouvách SLA Azure najdete v souhrnu smluv SLA pro služby Azure. |
| V prostředích s více oblastmi nasaďte instanci Azure Firewall pro každou oblast. | Informace o tradičních architekturách hvězdic & jsou vysvětlené v tomto článku. U zabezpečených virtuálních center (Azure Virtual WAN) musí být záměr směrování a zásady nakonfigurované tak, aby zabezpečily komunikaci mezi rozbočovači a pobočkami. U úloh navržených tak, aby byly odolné vůči selháním a odolné proti chybám, nezapomeňte zvážit, že instance Azure Firewall a Azure Virtual Network jako místní prostředky. |
| Monitorujte metriky Azure Firewall a stav Resource Health. | Pečlivě monitorujte indikátor klíčových metrik Azure Firewall stavu, jako je propustnost, stav brány firewall, využití portů SNAT a metriky sondy latence AZFW. Kromě toho se teď Azure Firewall integruje s Azure Resource Health. Pomocí kontroly Azure Firewall Resource Health teď můžete zobrazit stav vašeho Azure Firewall a řešit problémy se službami, které můžou mít vliv na váš Azure Firewall prostředek. |
Azure Advisor pomáhá zajistit a zlepšit kontinuitu důležitých podnikových aplikací. Projděte si doporučení Azure Advisoru.
Zabezpečení
Zabezpečení je nejdůležitějším aspektem jakékoli architektury. Azure Firewall je inteligentní služba zabezpečení brány firewall, která poskytuje ochranu před hrozbami pro cloudové úlohy spuštěné v Azure.
Kontrolní seznam návrhu
Při rozhodování o návrhu pro Azure Firewall si projděte principy návrhu zabezpečení.
- Zjistěte, jestli potřebujete vynucené tunelování.
- Vytvořte pravidla pro zásady na základě kritérií přístupu s nejnižšími oprávněními.
- Využijte analýzu hrozeb.
- Povolte Azure Firewall proxy server DNS.
- Směrovat síťový provoz přes Azure Firewall.
- Určete, jestli chcete používat poskytovatele zabezpečení jako služby (SECaaS) třetích stran.
- Chraňte své Azure Firewall veřejné IP adresy pomocí DDoS.
Doporučení
Projděte si následující tabulku doporučení pro optimalizaci konfigurace Azure Firewall z hlediska zabezpečení.
| Doporučení | Výhoda |
|---|---|
| Pokud se vyžaduje směrování veškerého provozu směřujícího na internet do určeného dalšího segmentu směrování místo přímého přechodu na internet, nakonfigurujte Azure Firewall v režimu vynuceného tunelování (nevztahuje se na Azure Virtual WAN). | Služba Azure Firewall musí mít přímé připojení k internetu. Pokud vaše podsíť AzureFirewallSubnet zjistí výchozí trasu do místní sítě prostřednictvím protokolu Border Gateway Protocol, musíte nakonfigurovat Azure Firewall v režimu vynuceného tunelování. Pomocí funkce vynuceného tunelování budete potřebovat další adresní prostor /26 pro podsíť Azure Firewall Management. Musíte ji pojmenovat AzureFirewallManagementSubnet. Pokud se jedná o existující instanci Azure Firewall, kterou nelze v režimu vynuceného tunelování překonfigurovat, vytvořte trasu definovanou uživatelem s trasou 0.0.0.0/0. Nastavte hodnotu NextHopType na Internet. Pokud chcete zachovat připojení k internetu, přidružte ji k podsíti AzureFirewallSubnet . |
| Pokud chcete nasadit plně privátní rovinu dat při konfiguraci Azure Firewall v režimu vynuceného tunelování (nevztahuje se na Azure Virtual WAN), nastavte veřejnou IP adresu na Žádná. | Když nasadíte novou instanci Azure Firewall a povolíte režim vynuceného tunelování, můžete nastavit veřejnou IP adresu na Hodnotu Žádná, aby se nasadila plně privátní rovina dat. Rovina správy však stále vyžaduje veřejnou IP adresu pouze pro účely správy. Interní provoz z virtuálních a místních sítí tuto veřejnou IP adresu nepoužije. Další informace o vynucené tunelování najdete v tématu Azure Firewall vynucené tunelování. |
| Vytvořte pravidla pro zásady brány firewall na základě kritérií přístupu s nejnižšími oprávněními. | Azure Firewall zásady lze uspořádat do hierarchické struktury, která překrývá centrální základní zásady. Povolte podrobné zásady, aby splňovaly požadavky konkrétních oblastí. Každá zásada může obsahovat různé sady pravidel DNAT, Sítě a Aplikace se specifickou prioritou, pořadím akcí a zpracováním. Vytvořte pravidla založená na principu přístupu s nejnižšími oprávněními nulová důvěra (Zero Trust) . Způsob zpracování pravidel je vysvětlený v tomto článku. |
| Povolte analýzu hrozeb na Azure Firewall v režimu upozornění a zamítnutí. | Pro bránu firewall můžete povolit filtrování na základě analýzy hrozeb, které bude upozorňovat a zamítat provoz z nebo do neznámých IP adres a domén. IP adresy a domény pocházejí z informačního kanálu Microsoft Threat Intelligence. Intelligent Security Graph využívá analýzu hrozeb Microsoftu a používá ho několik služeb, včetně Microsoft Defender pro cloud. |
| Povolte IDPS v režimu výstrahy nebo výstrahy a zamítnutí . | IDPS je jednou z nejvýkonnějších funkcí zabezpečení Azure Firewall (Premium) a měla by být povolená. V závislosti na požadavcích na zabezpečení a aplikací a s ohledem na dopad na výkon (viz část Náklady níže) je možné vybrat režim upozornění nebo upozornění a zamítnutí . |
| Povolte konfiguraci proxy serveru Azure Firewall (DNS). | Povolení této funkce odkazuje klienty ve virtuálních sítích na Azure Firewall jako server DNS. Bude chránit interní infrastrukturu DNS, která nebude přímo přístupná a vystavená. Azure Firewall musí být také nakonfigurovaná tak, aby používala vlastní DNS, která se bude používat k předávání dotazů DNS. |
| Nakonfigurujte trasy definované uživatelem tak, aby vynutily provoz přes Azure Firewall. | V tradiční architektuře Hub & Paprsky nakonfigurujte trasy definované uživatelem tak, aby vynutily provoz přes Azure Firewall pro SpoketoSpokepřipojení , SpoketoInterneta SpoketoHybrid . V Azure Virtual WAN místo toho nakonfigurujte záměr směrování a zásady pro přesměrování privátního nebo internetového provozu prostřednictvím instance Azure Firewall integrované do centra. |
| Omezení používání veřejných IP adres přímo vázaných na Virtual Machines | Aby se zabránilo obcházení brány firewall provozem, mělo by se omezit přidružení veřejných IP adres k síťovým rozhraním virtuálních počítačů. V modelu Azure Cloud Adoption Framework (CAF) se skupině pro správu CORP přiřadí konkrétní Azure Policy. |
| Pokud není možné použít trasu definovanou uživatelem a vyžaduje se pouze přesměrování webového provozu, zvažte použití Azure Firewall jako explicitního proxy serveru. | Pokud je na odchozí cestě povolená funkce explicitního proxy serveru, můžete v odesílající webové aplikaci (například ve webovém prohlížeči) nakonfigurovat nastavení proxy serveru s Azure Firewall nakonfigurovaným jako proxy server. V důsledku toho webový provoz dosáhne privátní IP adresy brány firewall, a proto bude odchozí přenos dat přímo z brány firewall bez použití trasy definované uživatelem. Tato funkce také usnadňuje používání více bran firewall beze změny existujících síťových tras. |
| Pokud chcete tato řešení použít k ochraně odchozích připojení, nakonfigurujte ve Správci brány firewall podporované poskytovatele zabezpečení saaS (software jako služba) třetích stran. | K ochraně přístupu k internetu pro vaše uživatele můžete využít své známé nabídky SECaaS od jiných výrobců . Tento scénář vyžaduje azure Virtual WAN s VPN Gateway S2S v centru, protože se k připojení k infrastruktuře poskytovatele používá tunel IPSec. Poskytovatelé SECaaS můžou účtovat další licenční poplatky a omezit propustnost připojení IPSec. Alternativní řešení, jako je ZScaler Cloud Connector, existují a můžou být vhodnější. |
| V pravidlech sítě použijte filtrování plně kvalifikovaného názvu domény (FQDN). | Plně kvalifikovaný název domény můžete použít na základě překladu DNS v Azure Firewall a zásadách brány firewall. Tato funkce umožňuje filtrovat odchozí provoz pomocí libovolného protokolu TCP/UDP (včetně protokolů NTP, SSH, RDP a dalších). Abyste mohli plně kvalifikované názvy domén používat v pravidlech sítě, musíte povolit konfiguraci Azure Firewall proxy dns. Informace o tom, jak to funguje, najdete v tématu Azure Firewall filtrování plně kvalifikovaných názvů domén v pravidlech sítě. |
| Pomocí značek služeb v pravidlech sítě povolte selektivní přístup ke konkrétním službám Microsoftu. | Značka služby představuje skupinu předpon IP adres a tím pomáhá minimalizovat složitost vytváření pravidla zabezpečení. Pomocí značek služeb v pravidlech sítě je možné povolit odchozí přístup ke konkrétním službám v Azure, Dynamics a Office 365 bez otevření širokého rozsahu IP adres. Azure bude automaticky udržovat mapování mezi těmito značkami a podkladovými IP adresami používanými jednotlivými službami. Seznam značek služeb dostupných pro Azure Firewall najdete tady: Az Firewall Service Tags. |
| Pomocí značek plně kvalifikovaného názvu domény v pravidlech aplikace povolte selektivní přístup ke konkrétním službám Microsoftu. | Značka plně kvalifikovaného názvu domény představuje skupinu plně kvalifikovaných názvů domén přidružených k dobře známým službám Microsoftu. Značku plně kvalifikovaného názvu domény můžete v pravidlech aplikace použít k povolení požadovaného odchozího síťového provozu přes bránu firewall pro některé konkrétní služby Azure, Office 365, Windows 365 a Intune. |
| Pomocí Azure Firewall Manageru vytvořte a přidružte plán ochrany před útoky DDoS k virtuální síti centra (nevztahuje se na Azure Virtual WAN). | Plán ochrany před útoky DDoS poskytuje vylepšené funkce pro zmírnění rizik, které chrání bránu firewall před útoky DDoS. Azure Firewall Manager je integrovaný nástroj pro vytváření infrastruktury brány firewall a plánů ochrany před útoky DDoS. Další informace najdete v tématu Konfigurace plánu Azure DDoS Protection pomocí Azure Firewall Manageru. |
| Pomocí podnikové infrastruktury veřejných klíčů (PKI) vygenerujte certifikáty pro kontrolu protokolu TLS. | Pokud je u Azure Firewall Premium použitá funkce kontroly protokolu TLS, doporučuje se pro produkční prostředí využít interní certifikační autoritu (CA) organizace. Certifikáty podepsané svým držitelem by se měly používat pouze pro účely testování nebo PoC . |
| Projděte si průvodce konfigurací Zero-Trust pro Azure Firewall a Application Gateway. | Pokud vaše požadavky na zabezpečení vyžadují implementaci Zero-Trust přístupu pro webové aplikace (kontrola a šifrování), doporučujeme postupovat podle této příručky. V tomto dokumentu se dozvíte, jak integrovat Azure Firewall a Application Gateway, a to v tradičních scénářích hvězdicové & i Virtual WAN. |
Azure Advisor vám pomůže zajistit a zlepšit kontinuitu důležitých podnikových aplikací. Projděte si doporučení Azure Advisoru.
Definice zásad
Síťová rozhraní by neměla mít veřejné IP adresy. Tato zásada zamítá síťová rozhraní nakonfigurovaná s libovolnou veřejnou IP adresou. Veřejné IP adresy umožňují internetovým prostředkům příchozí komunikaci s prostředky Azure a prostředkům Azure odchozí komunikaci s internetem.
Veškerý internetový provoz by se měl směrovat přes nasazené Azure Firewall. Azure Security Center zjistil, že některé z vašich podsítí nejsou chráněné bránou firewall nové generace. Chraňte podsítě před potenciálními hrozbami omezením přístupu k nim pomocí Azure Firewall nebo podporované brány firewall nové generace.
Zásady služby Azure Firewall by měly umožňovat kontrolu protokolu TLS v rámci pravidel aplikace. Povolení kontroly protokolu TLS se doporučuje pro všechna pravidla aplikace, aby bylo možno detekovat, upozorňovat a zmírnit škodlivé aktivity v HTTPS. Další informace o kontrole protokolu TLS pomocí Azure Firewall najdete na stránce https://aka.ms/fw-tlsinspect.
Azure Firewall Premium by měl nakonfigurovat platný zprostředkující certifikát, který umožní kontrolu protokolu TLS. Nakonfigurujte platný zprostředkující certifikát a povolte kontrolu protokolu TLS úrovně Azure Firewall Premium, aby bylo možné detekovat, upozorňovat a zmírnit škodlivé aktivity v protokolu HTTPS. Další informace o kontrole protokolu TLS pomocí Azure Firewall najdete na stránce https://aka.ms/fw-tlsinspect.
Seznam vynechání systému detekce a prevence neoprávněných vniknutí (IDPS) by měl být v zásadách brány firewall Premium prázdný. Seznam vynechaných systémů pro detekci a prevenci neoprávněných vniknutí (IDPS) umožňuje nefiltrovat provoz na žádné z IP adres, rozsahů a podsítí zadaných v seznamu vynechaných zařízení. Povolení IDPS se ale doporučuje pro všechny toky provozu, aby bylo možné lépe identifikovat známé hrozby. Další informace o podpisech systému IDPS (Intrusion Detection and Prevention System) s Azure Firewall Premium najdete na stránce https://aka.ms/fw-idps-signature.
Zásady brány firewall Premium by měly všem pravidlům podpisu IDPS povolit monitorování všech příchozích a odchozích toků provozu. Pokud chcete lépe identifikovat známé hrozby v tocích provozu, doporučujeme povolit všechna pravidla signatur systému detekce a prevence narušení (IDPS). Další informace o podpisech systému IDPS (Intrusion Detection and Prevention System) s Azure Firewall Premium najdete na stránce https://aka.ms/fw-idps.
Zásady brány firewall Premium by měly povolit systém detekce a prevence neoprávněných vniknutí (IDPS). Povolení systému detekce a prevence neoprávněných vniknutí (IDPS) umožňuje monitorovat síť z důvodu škodlivých aktivit, protokolovat informace o této aktivitě, hlásit ji a volitelně se ji pokusit zablokovat. Další informace o systému detekce a prevence neoprávněných vniknutí (IDPS) s Azure Firewall Premium najdete na stránce https://aka.ms/fw-idps.
Předplatné by mělo nakonfigurovat Azure Firewall Premium, aby poskytoval další vrstvu ochrany. Azure Firewall Premium poskytuje pokročilou ochranu před hrozbami, která splňuje potřeby vysoce citlivých a regulovaných prostředí. Nasaďte do předplatného Azure Firewall Premium a ujistěte se, že veškerý provoz služby je chráněný službou Azure Firewall Premium. Další informace o Azure Firewall Premium najdete na stránce https://aka.ms/fw-premium.
Všechny předdefinované definice zásad související se sítěmi Azure jsou uvedené v části Předdefinované zásady – síť.
Optimalizace nákladů
Optimalizace nákladů spočívá v hledání způsobů, jak snížit zbytečné náklady a zlepšit provozní efektivitu.
Kontrolní seznam návrhu
Při rozhodování o návrhu pro Azure Firewall si projděte principy návrhu pro optimalizaci nákladů.
- Vyberte skladovou položku Azure Firewall, která se má nasadit.
- Zjistěte, jestli některé instance nepotřebují trvalé přidělení 24x7.
- Určete, kde můžete optimalizovat použití brány firewall napříč úlohami.
- Monitorujte a optimalizujte využití instancí brány firewall, abyste zjistili nákladovou efektivitu.
- Zkontrolujte a optimalizujte počet požadovaných veřejných IP adres a použitých zásad.
- Zkontrolujte požadavky na protokolování, odhadněte náklady a kontrolu v průběhu času.
Doporučení
Projděte si následující tabulku doporučení, jak optimalizovat konfiguraci Azure Firewall pro optimalizaci nákladů.
| Doporučení | Výhoda |
|---|---|
| Nasaďte správnou skladovou položku Azure Firewall. | Azure Firewall je možné nasadit ve třech různých skladových položce: Basic, Standard a Premium. Azure Firewall Premium se doporučuje zabezpečit vysoce citlivé aplikace (například zpracování plateb). Azure Firewall Standard se doporučuje zákazníkům, kteří hledají bránu firewall vrstvy 3– vrstvy 7, a potřebuje automatické škálování, aby zvládla období provozu ve špičce až 30 Gb/s. Azure Firewall Basic se doporučuje zákazníkům smb s požadavky na propustnost 250 Mb/s. V případě potřeby je možné downgradovat nebo upgradovat mezi úrovněmi Standard a Premium, jak je popsáno tady. Další informace najdete v tématu Volba správné Azure Firewall skladové položky podle vašich potřeb. |
| Zastavte Azure Firewall nasazení, která nemusí běžet 24x7. | Můžete mít vývojová nebo testovací prostředí, která se používají jenom během pracovní doby. Další informace najdete v tématu Uvolnění a přidělení Azure Firewall. |
| Sdílejte stejnou instanci Azure Firewall napříč několika úlohami a virtuálními sítěmi Azure. | Můžete použít centrální instanci Azure Firewall v centrální virtuální síti nebo Virtual WAN zabezpečeném centru a sdílet stejnou bránu firewall napříč mnoha paprskovými virtuálními sítěmi, které jsou připojené ke stejnému centru ze stejné oblasti. Ujistěte se, že součástí hvězdicové topologie není žádný neočekávaný provoz mezi oblastmi. |
| Pravidelně kontrolujte provoz zpracovaný Azure Firewall a hledejte původní optimalizace úloh. | Protokol top flow (v oboru označovaný jako Fat Flow) zobrazuje nejvyšší připojení, která přispívají k nejvyšší propustnosti přes bránu firewall. Doporučuje se pravidelně kontrolovat provoz zpracovaný Azure Firewall a hledat možné optimalizace, aby se snížil objem provozu procházejícího bránou firewall. |
| Zkontrolujte nevyužité Azure Firewall instance. Identifikace a odstranění nepoužívaných nasazení Azure Firewall | Pokud chcete identifikovat nepoužívané nasazení Azure Firewall, začněte analýzou metrik monitorování a tras definovaných uživatelem přidružených k podsítím, které odkazují na privátní IP adresu brány firewall. Zkombinujte tyto informace s dalšími ověřeními, například pokud vaše instance Azure Firewall má nějaká pravidla (klasická) pro překlad adres (NAT), síť a aplikaci, nebo i v případě, že je nastavení proxy serveru DNS nakonfigurované na Zakázáno, a s interní dokumentací o vašem prostředí a nasazeních. Můžete rozpoznat nasazení, která jsou v průběhu času nákladově efektivní. Další informace o protokolech monitorování a metrikách najdete v tématu Monitorování protokolů a metrik Azure Firewall avyužití portů SNAT. |
| Pomocí nástroje Azure Firewall Manager a jeho zásad můžete snížit provozní náklady, zvýšit efektivitu a snížit režijní náklady na správu. | Pečlivě si projděte zásady, přidružení a dědičnost firewallu. Zásady se účtují na základě přidružení brány firewall. Zásady s nulovým nebo jedním přidružením brány firewall jsou bezplatné. Zásady s více přidruženími brány firewall se účtují pevnou sazbou. Další informace najdete v tématu Ceny – Azure Firewall Manager. |
| Odstraňte nepoužívané veřejné IP adresy. | Ověřte, jestli se používají všechny přidružené veřejné IP adresy. Pokud se nepoužívají, zrušte přidružení a odstraňte je. Před odebráním IP adres vyhodnoťte využití portů SNAT. Použijete jenom počet veřejných IP adres, které vaše brána firewall potřebuje. Další informace najdete v tématu Monitorování protokolů a metrik Azure Firewall a využití portů SNAT. |
| Projděte si požadavky na protokolování. | Azure Firewall má schopnost prostřednictvím služby Event Hubs komplexně protokolovat metadata veškerého provozu, který vidí, do pracovních prostorů služby Log Analytics, úložiště nebo řešení třetích stran. Všechna řešení protokolování ale účtují náklady na zpracování a ukládání dat. Při velmi velkých objemech můžou být tyto náklady značné, je třeba zvážit nákladově efektivní přístup a alternativu ke službě Log Analytics a odhadnout náklady. Zvažte, jestli je nutné protokolovat metadata provozu pro všechny kategorie protokolování a v případě potřeby je upravit v nastavení diagnostiky. |
Další návrhy najdete v kontrolním seznamu návrhu pro optimalizaci nákladů.
Azure Advisor vám pomůže zajistit a zlepšit kontinuitu důležitých podnikových aplikací. Projděte si doporučení Azure Advisoru.
Efektivita provozu
Monitorování a diagnostika jsou zásadní. Můžete měřit statistiky a metriky výkonu, abyste mohli rychle řešit a opravovat problémy.
Kontrolní seznam návrhu
Při rozhodování o návrhu pro Azure Firewall si projděte principy návrhu pro zajištění efektivity provozu.
- Udržujte inventář a zálohování Azure Firewall konfigurace a zásad.
- Využijte diagnostické protokoly pro monitorování brány firewall a řešení potíží.
- Využijte sešit monitorování Azure Firewall.
- Pravidelně kontrolujte přehledy a analýzy zásad.
- Integrace Azure Firewall s Microsoft Defender for Cloud a Microsoft Sentinel.
Doporučení
Projděte si následující tabulku doporučení pro optimalizaci konfigurace Azure Firewall pro dosažení efektivity provozu.
| Doporučení | Výhoda |
|---|---|
| Nepoužívejte Azure Firewall pro řízení provozu uvnitř virtuální sítě. | Azure Firewall by se měly používat k řízení provozu mezi virtuálními sítěmi, mezi virtuálními sítěmi a místními sítěmi, odchozího provozu do internetu a příchozího provozu jiného typu než HTTP/s. Pro řízení provozu uvnitř virtuální sítě se doporučuje použít skupiny zabezpečení sítě. |
| Udržujte pravidelné zálohy Azure Policy artefaktů. | Pokud se k údržbě Azure Firewall a všech závislostí používá přístup infrastruktury jako kódu (IaC), mělo by už být zavedeno zálohování a správa verzí zásad Azure Firewall. Pokud ne, je možné nasadit doprovodný mechanismus založený na externí aplikaci logiky, který automatizuje a poskytuje efektivní řešení. |
| Povolte diagnostické protokoly pro Azure Firewall. | Diagnostické protokoly jsou klíčovou součástí mnoha monitorovacích nástrojů a strategií pro Azure Firewall a měly by být povolené. Azure Firewall můžete monitorovat pomocí protokolů nebo sešitů brány firewall. Protokoly aktivit můžete použít také pro operace auditování Azure Firewall prostředků. |
| Použijte formát strukturovaných protokolů brány firewall . | Strukturované protokoly brány firewall jsou typ dat protokolu, která jsou uspořádaná do určitého nového formátu. Používají předdefinované schéma ke strukturování dat protokolu způsobem, který usnadňuje vyhledávání, filtrování a analýzu. Nejnovější monitorovací nástroje jsou založené na tomto typu protokolů, proto je to často předpokladem. Předchozí formát diagnostických protokolů použijte jenom v případě, že existuje nástroj, který vyžaduje. Nepovolujte oba formáty protokolování současně. |
| Použijte integrovaný sešit monitorování Azure Firewall. | Azure Firewall prostředí portálu teď obsahuje nový sešit v uživatelském rozhraní oddílu Monitorování, samostatná instalace už není nutná. Pomocí sešitu Azure Firewall můžete extrahovat cenné přehledy z Azure Firewall událostí, prozkoumat pravidla aplikace a sítě a prozkoumat statistiky týkající se aktivit brány firewall na různých adresách URL, portech a adresách. |
| Monitorujte klíčové metriky a vytvářejte upozornění na indikátory využití kapacity Azure Firewall. | Měla by se vytvářet upozornění, která budou monitorovat alespoň propustnost, stav brány firewall, využití portů SNAT a metriky sondy latence AZFW . Informace o protokolech a metrikách monitorování najdete v tématu Monitorování protokolů a metrik Azure Firewall. |
| Nakonfigurujte integraci Azure Firewall s Microsoft Defender pro cloud a Microsoft Sentinel. | Pokud jsou tyto nástroje dostupné v prostředí, doporučujeme využít integraci s řešeními Microsoft Defender pro cloud a Microsoft Sentinel. S Microsoft Defender pro cloudovou integraci můžete vizualizovat celkový stav síťové infrastruktury a zabezpečení sítě na jednom místě, včetně zabezpečení sítě Azure napříč všemi virtuálními sítěmi a virtuálními rozbočovači rozloženými do různých oblastí v Azure. Integrace se službou Microsoft Sentinel poskytuje možnosti detekce a prevence hrozeb. |
| Pravidelně si projděte řídicí panel Analýzy zásad a identifikujte potenciální problémy. | Analýza zásad je nová funkce, která poskytuje přehled o dopadu zásad Azure Firewall. Pomáhá identifikovat potenciální problémy (dosažení limitů zásad, pravidla nízkého využití, redundantní pravidla, příliš obecná pravidla, doporučení použití skupin IP adres) ve vašich zásadách a poskytuje doporučení ke zlepšení stavu zabezpečení a výkonu zpracování pravidel. |
| Seznamte se s dotazy KQL (dotazovací jazyk Kusto), abyste mohli rychle analyzovat a řešit potíže pomocí protokolů Azure Firewall. | Pro Azure Firewall jsou k dispozici ukázkové dotazy. Ty vám umožní rychle identifikovat, co se děje uvnitř brány firewall, a zkontrolovat, které pravidlo se aktivovalo nebo které pravidlo povoluje nebo blokuje požadavek. |
Azure Advisor vám pomůže zajistit a zlepšit kontinuitu důležitých podnikových aplikací. Projděte si doporučení Azure Advisoru.
Efektivita výkonu
Efektivita výkonu je schopnost vaší úlohy škálovat tak, aby efektivně splňovala požadavky uživatelů.
Kontrolní seznam návrhu
Při rozhodování o návrhu pro Azure Firewall si projděte principy návrhu pro efektivitu výkonu.
- Pravidelně kontrolujte a optimalizujte pravidla brány firewall.
- Projděte si požadavky na zásady a příležitosti k shrnutí rozsahů IP adres a seznamu adres URL.
- Vyhodnoťte požadavky na porty SNAT.
- Naplánujte zátěžové testy a otestujte výkon automatického škálování ve vašem prostředí.
- Nepovolujte diagnostické nástroje a protokolování, pokud nejsou potřeba.
Doporučení
Projděte si následující tabulku doporučení pro optimalizaci konfigurace Azure Firewall pro zajištění efektivity výkonu.
| Doporučení | Výhoda |
|---|---|
| Pomocí řídicího panelu Policy Analytics identifikujte potenciální optimalizace zásad brány firewall. | Policy Analytics je nová funkce, která poskytuje přehled o dopadu zásad Azure Firewall. Pomáhá identifikovat potenciální problémy (dosažení limitů zásad, pravidla nízkého využití, redundantní pravidla, příliš obecná pravidla, doporučení k použití skupin IP adres) ve vašich zásadách a poskytuje doporučení ke zlepšení stavu zabezpečení a výkonu zpracování pravidel. |
| V případě zásad brány firewall s velkými sadami pravidel umístěte nejčastěji používaná pravidla do skupiny na začátku, abyste optimalizovali latenci. | Pravidla se zpracovávají na základě typu pravidla, dědičnosti, priority skupiny kolekcí pravidel a priority kolekce pravidel. Skupiny kolekcí pravidel s nejvyšší prioritou se zpracovávají jako první. Ve skupině kolekcí pravidel se nejprve zpracovávají kolekce pravidel s nejvyšší prioritou. Umístěním nejpoužívanějších pravidel na vyšší úroveň v sadě pravidel se optimalizuje latence zpracování. Způsob zpracování a vyhodnocování pravidel je vysvětlený v tomto článku. |
| Pomocí skupin IP adres můžete shrnout rozsahy IP adres. | Skupiny IP adres můžete použít k sumarizace rozsahů IP adres, abyste nepřekročili limit jedinečných pravidel zdrojové/cílové sítě. Pro každé pravidlo Azure vynásobí porty IP adresami. Pokud tedy máte jedno pravidlo se čtyřmi rozsahy IP adres a pěti porty, budete spotřebovávat 20 pravidel sítě. Skupina IP adres se považuje za jednu adresu pro účely vytváření pravidel sítě. |
| Zvažte možnost Povolit nebo zakázat hromadný odchozí přístup webovými kategoriemi . | Místo explicitního vytváření a udržování dlouhého seznamu veřejných internetových webů zvažte použití Azure Firewall webových kategorií. Tato funkce dynamicky kategorizuje webový obsah a umožní vytvoření kompaktních pravidel aplikace. |
| Vyhodnoťte dopad IDPS na výkon v režimu upozornění a zamítnutí . | Pokud Azure Firewall vyžaduje provoz v režimu IDPSUpozorňovat a odepřít, pečlivě zvažte dopad na výkon, jak je popsáno na této stránce. |
| Posouzení potenciálního problému s vyčerpáním portů SNAT | Azure Firewall aktuálně podporuje 2496 portů na veřejnou IP adresu na instanci škálovací sady back-endových virtuálních počítačů. Ve výchozím nastavení existují dvě instance škálovací sady virtuálních počítačů. Pro každou cílovou IP adresu toku, cílový port a protokol (TCP nebo UDP) tedy existuje 4992 portů. Brána firewall se škáluje až na maximálně 20 instancí. Limity můžete obejít konfigurací nasazení Azure Firewall s minimálně pěti veřejnými IP adresami pro nasazení náchylná k vyčerpání SNAT. |
| Před jakýmkoli testem výkonnosti Azure Firewall řádně zahřejte. | Vytvořte počáteční provoz, který není součástí zátěžových testů 20 minut před testem. K zachycení událostí vertikálního navýšení a snížení kapacity použijte nastavení diagnostiky. K vygenerování počátečního provozu můžete použít službu Azure Load Testing . Umožňuje instanci Azure Firewall vertikálně navýšit kapacitu instancí na maximum. |
| Nakonfigurujte podsíť Azure Firewall (AzureFirewallSubnet) s adresní prostorem /26. | Azure Firewall je vyhrazené nasazení ve vaší virtuální síti. V rámci vaší virtuální sítě se pro instanci Azure Firewall vyžaduje vyhrazená podsíť. Azure Firewall při škálování zřídí větší kapacitu. Adresní prostor /26 pro své podsítě zajišťuje, že brána firewall má k dispozici dostatek IP adres pro přizpůsobení škálování. Azure Firewall nepotřebuje podsíť větší než /26. Název podsítě Azure Firewall musí být AzureFirewallSubnet. |
| Nepovolujte rozšířené protokolování, pokud není vyžadováno. | Azure Firewall poskytuje některé pokročilé možnosti protokolování, které může být nákladné udržovat vždy aktivní. Místo toho by se měly používat pouze pro účely řešení potíží a měly by být omezené na dobu trvání a pak by měly být zakázané, pokud už není potřeba. Například hlavní toky a protokoly trasování toků jsou nákladné, můžou způsobit nadměrné využití procesoru a úložiště v infrastruktuře Azure Firewall. |
Azure Advisor pomáhá zajistit a zlepšit kontinuitu důležitých podnikových aplikací. Projděte si doporučení Azure Advisoru.
Doporučení Azure Advisoru
Azure Advisor je přizpůsobený cloudový konzultant, který vám pomůže dodržovat osvědčené postupy pro optimalizaci nasazení Azure. Zatím neexistuje žádné Azure Firewall konkrétní doporučení Advisoru. Některá obecná doporučení se dají použít ke zlepšení spolehlivosti, zabezpečení, nákladové efektivity, výkonu a efektivity provozu.
- Vytváření upozornění služby Azure Service Health, která vás budou informovat, když vás ovlivňují problémy s Azure
- Ujistěte se, že máte přístup k odborníkům na cloud Azure, když ho potřebujete.
- Povolení Analýzy provozu a zobrazení přehledů o vzorcích provozu napříč prostředky Azure
- Dodržujte pouze dostatečnou správu (princip nejnižší úrovně oprávnění).
- Ochrana síťových prostředků pomocí Microsoft Defender for Cloud
Další materiály
- Dokumentace ke službě Azure Firewall
- Co je Azure Firewall Manager?
- Azure Firewall limity, kvóty a omezení služby
- Standardní hodnoty zabezpečení Azure pro Azure Firewall
Pokyny k Centru architektury Azure
- přehled architektury Azure Firewall
- Použití Azure Firewall k ochraně clusteru Azure Kubernetes Service (AKS)
- Použití Azure Firewall k ochraně nasazení služby Azure Virtual Desktop (AVD)
- Ochrana Office 365 pomocí Azure Firewall
- Hvězdicová topologie sítě v Azure
- Síť s nulovou důvěryhodností pro webové aplikace s Azure Firewall a Application Gateway
- Implementace zabezpečené hybridní sítě
- Síťově posílená webová aplikace s privátním připojením k úložištům dat PaaS
Další krok
Nasaďte instanci Azure Firewall a podívejte se, jak to funguje:
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro