funkce Azure Firewall Premium

  • Článek
  • 8 min ke čtení

ICSA certifikacelogo certifikace pro certifikaci PCI

Azure Firewall Premium poskytuje rozšířenou ochranu před internetovými útoky, která splňuje požadavky vysoce citlivých a regulovaných prostředí, jako je třeba platební a zdravotní odvětví.

organizace můžou využít Premium funkce skladové jednotky (SKU), jako je kontrola zprostředkovatelů identity a TLS, aby se zabránilo šíření malwaru a virů mezi sítěmi v obou směrech i v horizontálním směru. aby se splnily zvýšené nároky na výkon zprostředkovatelů identity a TLS, Azure Firewall Premium používá výkonnější SKU virtuálního počítače. podobně jako u standardní sku se Premium sku může bezproblémově škálovat až na 30 gb/s a integrovat se zónami dostupnosti, aby podporovaly smlouvu o úrovni služeb (SLA) 99,99%. Premium SKU vyhovuje potřebám prostředí standardu zabezpečení dat v odvětví platebních karet (PCI DSS).

diagram přehledu Azure Firewall Premium

Azure Firewall Premium obsahuje následující funkce:

  • Kontrola TLS – dešifruje odchozí přenosy, zpracovává data a pak data zašifruje a pošle je do cíle.
  • Zprostředkovatelů identity – systém zjišťování a prevence vniknutí k síti (zprostředkovatelů identity) umožňuje sledovat síťové aktivity pro škodlivou aktivitu, protokolovat informace o této aktivitě, nahlásit je a volitelně se pokusit o její blokování.
  • Filtrování adresy URL – rozšiřuje schopnost filtrování plně kvalifikovaného názvu domény Azure firewall, aby bylo možné zvážit celou adresu URL. Například www.contoso.com/a/c místo www.contoso.com .
  • Webové kategorie – správci můžou povolit nebo odepřít přístup uživatelům k kategoriím webu, jako jsou weby hazardních her, weby sociálních médií a další.

Kontrola TLS

Azure Firewall Premium ukončí odchozí připojení a připojení k východnímu západnímu TLS. Azure Application Gateway podporuje příchozí kontrolu TLS, která umožňuje komplexní šifrování. Azure Firewall provede požadovaná hodnota zabezpečení a znovu zašifruje provoz odeslaný do původního cíle.

Tip

TLS 1,0 a 1,1 jsou zastaralé a nepodporují se. Byly zjištěny hrozby TLS 1,0 a 1,1 TLS/SSL (Secure Sockets Layer) (SSL) a i když stále fungují, aby se zajistila zpětná kompatibilita, nejsou doporučováni. Migrujte na TLS 1,2 co nejrychleji.

další informace o požadavcích na certifikát Azure Firewall Premium zprostředkující certifikační autority najdete v tématu Azure Firewall certifikátů Premium.

ZPROSTŘEDKOVATELŮ identity

Systém zjišťování a prevence vniknutí k síti (zprostředkovatelů identity) umožňuje monitorovat síť pro škodlivou aktivitu, protokolovat informace o této aktivitě, nahlásit je a volitelně se pokusit o její blokování.

Azure Firewall Premium poskytuje zprostředkovatelů identityům založené na podpisech, které umožňují rychlou detekci útoků hledáním konkrétních vzorů, jako jsou například sekvence bajtů v síťovém provozu nebo známé posloupnosti instrukcí používané malwarem. Signatury zprostředkovatelů identity platí pro provoz na úrovni aplikace i sítě (vrstvy 4-7), jsou plně spravované a průběžně aktualizované. ZPROSTŘEDKOVATELŮ identity je možné použít pro příchozí, paprskový a odchozí provoz (východ-západ).

Azure Firewall signatury/RuleSets zahrnují:

  • Důraz na otisky prstů skutečného malwaru, příkazu a řízení, zneužití sad a v případě nebezpečných škodlivých aktivit vyvolaných tradičními metodami prevence.
  • Více než 58 000 pravidel ve více než 50 kategoriích.
    • Mezi tyto kategorie patří příkaz a řízení malwaru, podvodné zprávy, trojské koně, botnety, informativní události, zneužití, chyby zabezpečení, síťové protokoly SCADA, aktivita zneužití sady a další.
  • každý den se uvolní 20 až 40 dalších nových pravidel.
  • Pozitivní hodnocení s nízkým falešnou hodnotou pomocí špičkového izolovaného prostoru pro malware a smyčky zpětné vazby ze sítě globálního senzoru.

ZPROSTŘEDKOVATELŮ identity umožňuje detekci útoků ve všech portech a protokolech pro nešifrovaný provoz. Když ale potřebujete zkontrolovat provoz HTTPS, Azure Firewall můžou použít jeho schopnost kontroly TLS k dešifrování provozu a lepší detekci škodlivých aktivit.

Seznam obcházení zprostředkovatelů identity vám umožňuje Nefiltrovat provoz do žádné IP adresy, rozsahů a podsítí zadaných v seznamu pro obejití.

Pravidla podpisu zprostředkovatelů identity (Preview) umožňují:

  • Přizpůsobení jednoho nebo více podpisů a změna režimu na zakázané, výstrahu , výstrahy a zamítnutí.

    Pokud například obdržíte falešně pozitivní odpověď, kde je Azure Firewall z důvodu chybného podpisu blokovaný, můžete použít ID podpisu z protokolů pravidel aplikací a nastavit jeho režim zprostředkovatelů identity na off. Díky tomu se bude chybný podpis ignorovat a problém s falešně pozitivními výsledky se tím vyřeší.

  • Stejný postup ladění můžete použít i u podpisů, které vytvářejí příliš velké množství upozornění s nízkou prioritou a tím narušují viditelnost upozornění s vysokou prioritou.

  • Získání holistický zobrazení úplných podpisů 55 000

  • Inteligentní hledání

    Umožňuje prohledávat celou databázi signatur pomocí libovolného typu atributu. Můžete například vyhledat konkrétní ID CVE-ID a zjistit, jaké signatury se postarují na tento CVE, a to jednoduše tak, že na panelu hledání zadáte ID.

Filtrování adres URL

Filtrování adres URL rozšiřuje schopnost filtrování plně kvalifikovaného názvu domény Azure Firewall, aby bylo možné zvážit celou adresu URL. Například www.contoso.com/a/c místo www.contoso.com .

Filtrování adres URL lze použít jak u přenosu HTTP, tak i přes HTTPS. po kontrole provozu pomocí protokolu HTTPS Azure Firewall Premium může použít jeho schopnost kontroly TLS k dešifrování provozu a extrakci cílové adresy URL pro ověření, jestli je povolený přístup. Kontrola TLS vyžaduje výslovný souhlas na úrovni pravidla aplikace. Po povolení můžete použít adresy URL pro filtrování pomocí protokolu HTTPS.

Webové kategorie

Webové kategorie správcům umožňují povolit nebo odepřít přístup uživatelů k kategoriím webu, jako jsou například weby hazardních her, weby sociálních médií a další. Webové kategorie budou také zahrnuty ve Azure Firewall Standard, ale budou lépe vyladěny v Azure Firewall Premium. na rozdíl od možností kategorií webu ve standardní SKU, které odpovídají kategorii založené na plně kvalifikovaném názvu domény, Premium SKU odpovídat kategorii podle celé adresy URL pro přenos HTTP i HTTPS.

Pokud například Azure Firewall zachytí požadavek HTTPS pro www.google.com/news , je očekávána následující kategorizace:

  • Firewall Standard – bude prověřena pouze část plně kvalifikovaného názvu domény, takže www.google.com bude zařazena do kategorie jako vyhledávací modul.

  • Premium brány Firewall – bude prověřena úplná adresa URL, takže www.google.com/news bude zařazená jako novinky.

Kategorie jsou seřazené na základě závažnosti v oblasti zodpovědnosti, vysoké šířky pásma, používání firmy, ztráty produktivity, Obecné procházení a Nezařazeno do kategorie. Podrobný popis kategorií webu naleznete v tématu Azure firewall web Categories.

Protokolování webové kategorie

V protokolech aplikací můžete zobrazit data filtrovaná podle kategorií webu . Pole webové kategorie se zobrazí jenom v případě, že je explicitně nakonfigurované v pravidlech vaší aplikace zásad brány firewall. Pokud například nemáte pravidlo, které výslovně odepře vyhledávačům, a požadavky uživatele na přechod na www.Bing.com, zobrazí se jako rozdíl ve zprávě kategorií webu pouze výchozí zpráva o odepření. Důvodem je to, že se webová kategorie nenakonfigurovala explicitně.

Výjimky kategorie

Můžete vytvořit výjimky pro pravidla vaší webové kategorie. Vytvořte samostatnou kolekci pravidel povolení nebo odepření s vyšší prioritou v rámci skupiny kolekce pravidel. Můžete například nakonfigurovat kolekci pravidel, která umožňuje www.linkedin.com s prioritou 100, s kolekcí pravidel, která zakazuje sociální sítě s prioritou 200. Tím se vytvoří výjimka pro předdefinovanou webovou kategorii sítě pro sociální sítě .

To, kterou kategorii daný plně kvalifikovaný název domény nebo adresu URL, můžete zjistit pomocí funkce kontroly kategorie webu . chcete-li použít tuto možnost, vyberte kartu webové kategorie v části zásady brány Firewall Nastavení. To je užitečné hlavně při definování pravidel vaší aplikace pro cílový provoz.

Dialogové okno hledání kategorií brány firewall

Změna kategorie

na kartě webové kategorie v zásadách brány Firewall Nastavení můžete požádat o změnu kategorizace v případě, že:

  • Zamyslete se plně kvalifikovaný název domény nebo adresa URL v jiné kategorii.

    nebo

  • má navrhovanou kategorii pro plně kvalifikovaný název domény (Nezařazeno do kategorie) nebo adresu URL.

Jakmile odešlete sestavu se změnou kategorie, budete mít v oznámeních k dispozici token, který indikuje, že byla přijata žádost o zpracování. Zadáním tokenu do vyhledávacího panelu můžete ověřit, zda probíhá žádost, zamítnuta nebo schválena. Nezapomeňte si své ID tokenu Uložit.

Dialogové okno sestavy kategorie brány firewall

Podporované oblasti

Azure Firewall Premium jsou podporovány v následujících oblastech:

  • Austrálie – střed (veřejná/Austrálie)
  • Austrálie – střed 2 (veřejná/Austrálie)
  • Austrálie – východ (veřejná/Austrálie)
  • Austrálie – jihovýchod (veřejná/Austrálie)
  • Brazílie – jih (veřejná/Brazílie)
  • Brazílie – jihovýchod (veřejná/Brazílie)
  • Kanada – střed (veřejná/Kanada)
  • Kanada – východ (veřejná/Kanada)
  • Střed Indie (Public/Indie)
  • Střed USA (Public/USA)
  • Střed USA EUAP (veřejná/Kanárské (US))
  • Čína – sever 2 (Mooncake/Čína)
  • Čína – východ 2 (Mooncake/Čína)
  • Východní Asie (Public/Asie a Tichomoří)
  • Východní USA (Public/USA)
  • Východní USA 2 (Public/USA)
  • Francie – střed (veřejná/Francie)
  • Francie – jih (veřejná/Francie)
  • Německo – středozápad (veřejná/Německo)
  • Japonsko – východ (veřejný/Japonsko)
  • Japonsko – západ (veřejný/Japonsko)
  • Korea – střed (veřejný/Korea)
  • Korea – jih (veřejná/Korea)
  • Střed USA – sever (Public/USA)
  • Severní Evropa (Public/Evropa)
  • Norsko – východ (veřejná/Norsko)
  • Jihoafrická republika sever (veřejná nebo Jižní Afrika)
  • Střed USA – jih (Public/USA)
  • Jižní Indie (Public/Indie)
  • Jihovýchodní Asie (veřejné/Asie a Tichomoří)
  • Švýcarsko – sever (veřejný/Švýcarsko)
  • Spojené arabské emiráty – střed (Public/Spojené arabské emiráty)
  • Spojené arabské emiráty sever (Public/Spojené arabské emiráty)
  • Velká Británie – jih (veřejné/Spojené království)
  • Velká Británie – západ (veřejné/Spojené království)
  • USGov Arizona (Fairfax/USGov)
  • USGov Texas (Fairfax/USGov)
  • USGov) – Virginia (Fairfax/USGov)
  • Středozápadní USA (Public/USA)
  • Západní Evropa (Public/Evropa)
  • Západní Indie (Public/Indie)
  • Západní USA (Public/USA)
  • Západní USA 2 (Public/USA)
  • Západní USA 3 (veřejné/USA)

Známé problémy

Premium Azure Firewall má následující známé problémy:

Problém Description Omezení rizik
Podpora ESNI pro rozlišení plně kvalifikovaného názvu domény v HTTPS Šifrované SNI se v handshake HTTPS nepodporují. Dnes pouze Firefox podporuje ESNI prostřednictvím vlastní konfigurace. Doporučeným řešením je tuto funkci vypnout.
Klientské certifikáty (TLS) Klientské certifikáty slouží k vytvoření vzájemné důvěry identity mezi klientem a serverem. Klientské certifikáty se používají během vyjednávání TLS. Azure firewall znovu vyjedná připojení k serveru a nemá přístup k privátnímu klíči klientských certifikátů. Žádné
QUIC/HTTP3 QUIC je nová hlavní verze HTTP. Jedná se o protokol založený na UDP přes 80 (plán) a 443 (SSL). Plně kvalifikovaný název domény/adresa URL/Kontrola TLS se nepodporuje. Nakonfigurujte předávání protokolu UDP 80/443 jako síťových pravidel.
Nedůvěryhodní certifikáty podepsané zákazníky Certifikáty podepsané zákazníky nejsou po přijetí z intranetového webového serveru důvěryhodné bránou firewall. Probíhá šetření opravy.
Chybná zdrojová IP adresa v upozorněních s zprostředkovatelů identity pro HTTP (bez kontroly TLS). Když se provoz HTTP s prostým textem používá a zprostředkovatelů identity vydá novou výstrahu a cíl je veřejná IP adresa, zobrazuje se nesprávná zdrojová IP adresa (místo původní IP adresy se zobrazí interní IP adresa). Probíhá šetření opravy.
Šíření certifikátů Po použití certifikátu certifikační autority v bráně firewall může trvat od 5-10 minut, než se certifikát projeví. Probíhá šetření opravy.
Podpora TLS 1,3 Protokol TLS 1,3 je částečně podporován. Tunelové propojení TLS od klienta k bráně firewall vychází z TLS 1,2 a z brány firewall na externí webový server vychází z TLS 1,3. Probíhá zkoumání aktualizací.
Privátní koncový bod trezoru klíčů Trezor klíčů podporuje přístup privátního koncového bodu, který omezuje jeho expozici sítě. Pokud je výjimka nakonfigurovaná tak, jak je popsáno v dokumentaci k trezoruklíčů, můžou důvěryhodné služby Azure obejít toto omezení. Azure Firewall není aktuálně uveden jako důvěryhodná služba a nemá přístup k Key Vault. Probíhá šetření opravy.
Seznam obcházení zprostředkovatelů identity Seznam obcházení zprostředkovatelů identity nepodporuje skupiny IP adres. Probíhá šetření opravy.

Další kroky