Ulasan Azure Well-Architected Framework - Azure Firewall
Artikel ini memberikan rekomendasi arsitektur untuk Azure Firewall. Panduan ini didasarkan pada lima pilar keunggulan arsitektur:
- Keandalan
- Keamanan
- Pengoptimalan biaya
- Keunggulan operasional
- Efisiensi performa
Kami berasumsi bahwa Anda memiliki pengetahuan kerja tentang Azure Firewall dan berpengalaman dengan fitur-fiturnya. Untuk informasi selengkapnya, lihat Gambaran Umum Azure Firewall.
Prasyarat
- Memahami pilar Azure Well-Architected Framework dapat membantu menghasilkan arsitektur cloud berkualitas tinggi, stabil, dan efisien. Tinjau beban kerja Anda dengan menggunakan penilaian ulasan Well-Architected Framework .
- Gunakan arsitektur referensi untuk meninjau pertimbangan berdasarkan panduan yang disediakan dalam artikel ini. Mulailah dengan aplikasi web yang diperkeras jaringan dengan konektivitas privat ke penyimpanan data PaaS dan Terapkan jaringan hibrid yang aman.
Keandalan
Untuk mempelajari bagaimana Azure Firewall mendukung beban kerja dengan andal, lihat artikel berikut ini:
- Pengenalan Azure Firewall
- Mulai cepat: Menyebarkan Azure Firewall dengan zona ketersediaan
- Mengonfigurasikan Azure Firewall di hub Virtual WAN
Daftar periksa desain
Saat Anda membuat pilihan desain untuk Azure Firewall, tinjau prinsip desain untuk keandalan.
- Sebarkan Azure Firewall di jaringan virtual hub atau sebagai bagian dari azure Virtual WAN hub.
- Manfaatkan ketahanan Zona Ketersediaan.
- Buat struktur Kebijakan Azure Firewall.
- Tinjau daftar Masalah yang Diketahui.
- Memantau status kesehatan Azure Firewall.
Catatan
Ada perbedaan dalam ketersediaan layanan jaringan antara model Hub & Spoke tradisional dan hub aman yang dikelola Virtual WAN. Misalnya, di Virtual WAN Hub, IP Publik Azure Firewall tidak dapat diambil dari Awalan IP Publik dan tidak dapat mengaktifkan DDoS Protection. Pemilihan satu atau model lainnya harus mempertimbangkan persyaratan di kelima pilar kerangka kerja Well-Architected.
Rekomendasi
Jelajahi tabel rekomendasi berikut untuk mengoptimalkan konfigurasi Azure Firewall Anda untuk keandalan.
| Rekomendasi | Manfaat |
|---|---|
| Gunakan Azure Firewall Manager dengan Topologi jaringan Hub & Spokes atau Azure Virtual WAN tradisional untuk menyebarkan dan mengelola instans Azure Firewall. | Buat arsitektur hub-and-spoke dan transitif dengan mudah menggunakan layanan keamanan asli untuk tata kelola dan perlindungan lalu lintas. Untuk informasi selengkapnya tentang topologi jaringan, lihat dokumentasi Azure Cloud Adoption Framework . |
| Buat Kebijakan Azure Firewall untuk mengatur postur keamanan di seluruh lingkungan jaringan global. Tetapkan kebijakan ke semua instans Azure Firewall. | Azure Firewall Kebijakan dapat diatur dalam struktur hierarkis untuk melapisi kebijakan dasar pusat. Izinkan kebijakan terperinci untuk memenuhi persyaratan wilayah tertentu. Mendelegasikan kebijakan firewall inkremental kepada tim keamanan lokal melalui kontrol akses berbasis peran (RBAC). Beberapa pengaturan khusus per instans, misalnya Aturan DNAT dan konfigurasi DNS, maka beberapa kebijakan khusus mungkin diperlukan. |
| Migrasikan Aturan Klasik Azure Firewall ke Kebijakan Manajer Azure Firewall untuk penyebaran yang ada. | Untuk penyebaran yang ada, migrasikan aturan Azure Firewall ke kebijakan Azure Firewall Manager. Gunakan Azure Firewall Manager untuk mengelola firewall dan kebijakan Anda secara terpusat. Untuk informasi selengkapnya, lihat Migrasi ke Azure Firewall Premium. |
| Tinjau daftar Masalah Azure Firewall Diketahui. | Azure Firewall Product Group mempertahankan daftar terbaru masalah yang diketahui di lokasi ini. Daftar ini berisi informasi penting yang terkait dengan perilaku berdasarkan desain, perbaikan di bawah konstruksi, keterbatasan platform, bersama dengan kemungkinan solusi atau mitigasi. |
| Pastikan Kebijakan Azure Firewall Anda mematuhi batas dan rekomendasi Azure Firewall. | Ada batasan pada struktur kebijakan, termasuk jumlah Aturan dan Grup Kumpulan Aturan, ukuran kebijakan total, tujuan sumber/target. Pastikan untuk menyusun kebijakan Anda dan tetap berada di belakang ambang yang didokumenkan. |
| Sebarkan Azure Firewall di beberapa zona ketersediaan untuk perjanjian tingkat layanan (SLA) yang lebih tinggi. | Azure Firewall menyediakan SLA yang berbeda saat disebarkan dalam satu zona ketersediaan dan saat disebarkan di beberapa zona. Untuk informasi selengkapnya, lihat SLA untuk Azure Firewall. Untuk informasi tentang semua SLA Azure, lihat Ringkasan SLA untuk layanan Azure. |
| Di lingkungan multi-wilayah, sebarkan instans Azure Firewall per wilayah. | Untuk arsitektur Hub & Spokes tradisional, detail multi-wilayah dijelaskan dalam artikel ini. Untuk hub virtual aman (Azure Virtual WAN), Niat dan Kebijakan Perutean harus dikonfigurasi untuk mengamankan komunikasi antar-hub dan cabang-ke-cabang. Agar beban kerja yang dirancang tahan terhadap kegagalan dan toleran terhadap kesalahan, ingatlah untuk mempertimbangkan bahwa instans Azure Firewall dan Azure Virtual Network sebagai sumber daya regional. |
| Pantau status Metrik Azure Firewall dan Kesehatan Sumber Daya. | Pantau dengan cermat indikator metrik utama Azure Firewall status kesehatan seperti Throughput, status kesehatan Firewall, pemanfaatan port SNAT, dan metrik AZFW Latency Probe. Selain itu, Azure Firewall sekarang terintegrasi dengan Azure Resource Health. Dengan pemeriksaan Azure Firewall Resource Health, Anda sekarang dapat melihat status kesehatan Azure Firewall Anda dan mengatasi masalah layanan yang mungkin memengaruhi sumber daya Azure Firewall Anda. |
Azure Advisor membantu Anda memastikan dan meningkatkan kelangsungan aplikasi penting bisnis Anda. Tinjau rekomendasi Azure Advisor.
Keamanan
Keamanan adalah salah satu aspek terpenting dari arsitektur apa pun. Azure Firewall adalah layanan keamanan firewall cerdas yang memberikan perlindungan ancaman untuk beban kerja cloud Anda yang berjalan di Azure.
Daftar periksa desain
Saat Anda membuat pilihan desain untuk Azure Firewall, tinjau prinsip desain untuk keamanan.
- Tentukan apakah Anda memerlukan Penerowongan Paksa.
- Buat aturan untuk Kebijakan berdasarkan kriteria akses hak istimewa paling sedikit.
- Manfaatkan Inteligensi Ancaman.
- Aktifkan proksi DNS Azure Firewall.
- Lalu lintas jaringan langsung melalui Azure Firewall.
- Tentukan apakah Anda ingin menggunakan penyedia keamanan sebagai layanan (SECaaS) pihak ketiga.
- Lindungi alamat IP publik Azure Firewall Anda dengan DDoS.
Rekomendasi
Jelajahi tabel rekomendasi berikut untuk mengoptimalkan konfigurasi Azure Firewall Anda untuk keamanan.
| Rekomendasi | Manfaat |
|---|---|
| Jika diperlukan untuk merutekan semua lalu lintas yang terikat internet ke hop berikutnya yang ditunjuk alih-alih langsung ke internet, konfigurasikan Azure Firewall dalam mode penerowongan paksa (tidak berlaku untuk Azure Virtual WAN). | Azure Firewall harus memiliki konektivitas Internet langsung. Jika AzureFirewallSubnet Anda mempelajari rute default ke jaringan lokal Anda melalui Border Gateway Protocol, Anda harus mengonfigurasi Azure Firewall dalam mode penerowongan paksa. Dengan menggunakan fitur penerowongan paksa, Anda memerlukan ruang alamat /26 lain untuk subnet Azure Firewall Management. Anda diharuskan menamainya AzureFirewallManagementSubnet. Jika ini adalah instans Azure Firewall yang sudah ada yang tidak dapat dikonfigurasi ulang dalam mode penerowongan paksa, buat UDR dengan rute 0.0.0.0/0. Atur nilai NextHopType sebagai Internet. Kaitkan dengan AzureFirewallSubnet untuk menjaga konektivitas internet. |
| Atur alamat IP publik ke Tidak Ada untuk menyebarkan bidang data yang sepenuhnya privat saat Anda mengonfigurasi Azure Firewall dalam mode penerowongan paksa (tidak berlaku untuk Azure Virtual WAN). | Saat Anda menyebarkan instans Azure Firewall baru, jika Anda mengaktifkan mode penerowongan paksa, Anda dapat mengatur alamat IP publik ke Tidak Ada untuk menyebarkan bidang data yang sepenuhnya privat. Namun, bidang manajemen masih memerlukan IP publik hanya untuk tujuan manajemen. Lalu lintas internal dari jaringan virtual dan lokal tidak akan menggunakan IP publik tersebut. Untuk informasi selengkapnya tentang penerowongan paksa, lihat Azure Firewall penerowongan paksa. |
| Buat aturan untuk Kebijakan Firewall berdasarkan kriteria akses hak istimewa paling sedikit. | Azure Firewall Kebijakan dapat diatur dalam struktur hierarkis untuk melapisi kebijakan dasar pusat. Memungkinkan kebijakan terperinci untuk memenuhi persyaratan wilayah tertentu. Setiap kebijakan dapat berisi set aturan DNAT, Jaringan, dan Aplikasi yang berbeda dengan prioritas, tindakan, dan urutan pemrosesan tertentu. Buat aturan Anda berdasarkan akses hak istimewa paling sedikit Zero Trust prinsip . Bagaimana aturan diproses dijelaskan dalam artikel ini. |
| Aktifkan Inteligensi Ancaman pada Azure Firewall dalam mode Pemberitahuan dan tolak. | Anda dapat mengaktifkan pemfilteran berbasis inteligensi ancaman untuk firewall Anda untuk memperingatkan dan menolak lalu lintas dari atau ke alamat IP dan domain yang tidak dikenal. Alamat IP dan domain bersumber dari Umpan Inteligensi Ancaman Microsoft. Intelligent Security Graph mendukung inteligensi ancaman Microsoft dan digunakan oleh beberapa layanan, termasuk Microsoft Defender untuk Cloud. |
| Aktifkan IDPS dalam mode Pemberitahuan atau Pemberitahuan dan tolak . | IDPS adalah salah satu fitur keamanan Azure Firewall (Premium) yang paling kuat dan harus diaktifkan. Berdasarkan persyaratan keamanan dan aplikasi, dan mempertimbangkan dampak performa (lihat bagian Biaya di bawah), Mode Pemberitahuan atau Pemberitahuan dan tolak dapat dipilih. |
| Aktifkan konfigurasi proksi Azure Firewall (DNS). | Mengaktifkan fitur ini menunjuk klien di VNet untuk Azure Firewall sebagai server DNS. Ini akan melindungi infrastruktur DNS internal yang tidak akan diakses dan diekspos secara langsung. Azure Firewall juga harus dikonfigurasi untuk menggunakan DNS kustom yang akan digunakan untuk meneruskan kueri DNS. |
| Konfigurasikan rute yang ditentukan pengguna (UDR) untuk memaksa lalu lintas melalui Azure Firewall. | Dalam arsitektur Hub & Spokes tradisional, konfigurasikan UDR untuk memaksa lalu lintas melalui Azure Firewall untuk SpoketoSpoke, SpoketoInternet, dan SpoketoHybrid konektivitas. Di Azure Virtual WAN, sebagai gantinya, konfigurasikan Niat dan Kebijakan Perutean untuk mengalihkan lalu lintas privat dan/atau Internet melalui instans Azure Firewall yang terintegrasi ke hub. |
| Membatasi penggunaan alamat IP Publik yang terkait langsung dengan Virtual Machines | Untuk mencegah lalu lintas melewati firewall, asosiasi alamat IP Publik ke antarmuka jaringan VM harus dibatasi. Dalam model Azure Cloud Adoption Framework (CAF), Azure Policy tertentu ditetapkan ke Grup Manajemen CORP. |
| Jika tidak memungkinkan untuk menerapkan UDR, dan hanya pengalihan lalu lintas web yang diperlukan, pertimbangkan untuk menggunakan Azure Firewall sebagai Proksi Eksplisit | Dengan fitur proksi eksplisit diaktifkan pada jalur keluar, Anda dapat mengonfigurasi pengaturan proksi pada aplikasi web pengirim (seperti browser web) dengan Azure Firewall dikonfigurasi sebagai proksi. Akibatnya, lalu lintas web akan mencapai alamat IP privat firewall dan oleh karena itu keluar langsung dari firewall tanpa menggunakan UDR. Fitur ini juga memfasilitasi penggunaan beberapa firewall tanpa memodifikasi rute jaringan yang ada. |
| Konfigurasikan penyedia keamanan perangkat lunak sebagai layanan (SaaS) pihak ketiga yang didukung dalam Firewall Manager jika Anda ingin menggunakan solusi ini untuk melindungi koneksi keluar. | Anda dapat menggunakan penawaran SECaaS pihak ketiga yang familier, terbaik, dan terbiasa untuk melindungi akses internet bagi pengguna Anda. Skenario ini memang mengharuskan Azure Virtual WAN dengan VPN Gateway S2S di Hub, karena menggunakan terowongan IPSec untuk terhubung ke infrastruktur penyedia. Penyedia SECaaS mungkin membebankan biaya lisensi tambahan dan membatasi throughput pada koneksi IPSec. Solusi alternatif seperti ZScaler Cloud Connector ada dan mungkin lebih cocok. |
| Gunakan pemfilteran Nama Domain yang Sepenuhnya Memenuhi Syarat (FQDN) dalam aturan jaringan. | Anda dapat menggunakan FQDN berdasarkan resolusi DNS dalam kebijakan Azure Firewall dan firewall. Kemampuan ini memungkinkan Anda untuk memfilter lalu lintas keluar dengan protokol TCP/UDP apa pun (termasuk NTP, SSH, RDP, dan banyak lagi). Anda harus mengaktifkan konfigurasi Proksi DNS Azure Firewall untuk menggunakan FQDN dalam aturan jaringan Anda. Untuk mempelajari cara kerjanya, lihat Azure Firewall pemfilteran FQDN dalam aturan jaringan. |
| Gunakan Tag Layanan dalam Aturan Jaringan untuk mengaktifkan akses selektif ke layanan Microsoft tertentu. | Tag layanan merepresentasikan sekelompok prefiks alamat IP untuk membantu meminimalkan kerumitan pembuatan aturan keamanan. Menggunakan Tag Layanan dalam Aturan Jaringan, dimungkinkan untuk mengaktifkan akses keluar ke layanan tertentu di Azure, Dynamics, dan Office 365 tanpa membuka berbagai alamat IP. Azure akan mempertahankan pemetaan secara otomatis antara tag ini dan alamat IP yang mendasar yang digunakan oleh setiap layanan. Daftar Tag Layanan yang tersedia untuk Azure Firewall tercantum di sini: Tag Layanan Az Firewall. |
| Gunakan Tag FQDN dalam Aturan Aplikasi untuk mengaktifkan akses selektif ke layanan Microsoft tertentu. | Tag FQDN mewakili sekelompok nama domain yang sepenuhnya memenuhi syarat (FQDN) yang terkait dengan layanan Microsoft terkenal. Anda dapat menggunakan tag FQDN dalam aturan aplikasi untuk memungkinkan lalu lintas jaringan keluar yang diperlukan melalui firewall Anda untuk beberapa layanan Azure tertentu, Office 365, Windows 365 dan Intune. |
| Gunakan Azure Firewall Manager untuk membuat dan mengaitkan paket perlindungan DDoS dengan jaringan virtual hub Anda (tidak berlaku untuk Azure Virtual WAN). | Paket perlindungan DDoS menyediakan fitur mitigasi yang ditingkatkan untuk mempertahankan firewall Anda dari serangan DDoS. Azure Firewall Manager adalah alat terintegrasi untuk membuat infrastruktur firewall dan rencana perlindungan DDoS Anda. Lihat Mengonfigurasi Paket Azure DDoS Protection dengan menggunakan Azure Firewall Manager untuk informasi lebih lanjut. |
| Gunakan PKI Perusahaan untuk menghasilkan sertifikat untuk Inspeksi TLS. | Dengan Azure Firewall Premium, jika fitur Inspeksi TLS digunakan, disarankan untuk memanfaatkan Otoritas Sertifikasi Perusahaan (CA) internal untuk lingkungan produksi. Sertifikat yang ditandatangani sendiri harus digunakan hanya untuk tujuan pengujian/PoC . |
| Tinjau panduan konfigurasi Zero-Trust untuk Azure Firewall dan Application Gateway | Jika persyaratan keamanan Anda mengharuskan penerapan pendekatan Zero-Trust untuk aplikasi web (inspeksi dan enkripsi), disarankan untuk mengikuti panduan ini. Dalam dokumen ini, cara mengintegrasikan bersama-sama Azure Firewall dan Application Gateway akan dijelaskan, dalam skenario Hub & Spoke dan Virtual WAN tradisional. |
Azure Advisor membantu Anda memastikan dan meningkatkan kelangsungan aplikasi penting bisnis Anda. Tinjau rekomendasi Azure Advisor.
Definisi kebijakan
Antarmuka jaringan tidak boleh memiliki IP publik. Kebijakan ini menolak antarmuka jaringan yang dikonfigurasi dengan IP publik apa pun. Alamat IP publik memungkinkan sumber daya internet untuk berkomunikasi masuk ke sumber daya Azure, dan sumber daya Azure berkomunikasi keluar ke internet.
Semua lalu lintas Internet harus dirutekan melalui Azure Firewall yang Anda sebarkan. Azure Security Center telah mengidentifikasi bahwa beberapa subnet Anda tidak dilindungi dengan firewall generasi berikutnya. Lindungi subnet Anda dari potensi ancaman dengan membatasi akses ke subnet dengan Azure Firewall atau firewall generasi berikutnya yang didukung.
Kebijakan firewall Azure harus mengaktifkan inspeksi TLS dalam aturan aplikasi. Mengaktifkan pemeriksaan TLS direkomendasikan agar semua aturan aplikasi untuk mendeteksi, memperingatkan, dan mengurangi aktivitas berbahaya di HTTPS. Untuk mempelajari selengkapnya tentang inspeksi TLS dengan Azure Firewall, kunjungi https://aka.ms/fw-tlsinspect.
Azure Firewall Premium harus mengonfigurasi sertifikat perantara yang valid untuk mengaktifkan inspeksi TLS. Konfigurasikan sertifikat perantara yang valid dan aktifkan inspeksi TLS Premium Azure Firewall untuk mendeteksi, memperingatkan, dan mengurangi aktivitas berbahaya di HTTPS. Untuk mempelajari selengkapnya tentang inspeksi TLS dengan Azure Firewall, kunjungi https://aka.ms/fw-tlsinspect.
Melewati daftar Sistem Deteksi dan Pencegahan Intrusi (IDPS) harus kosong di Firewall Policy Premium. Daftar Bypass Sistem Deteksi dan Pencegahan Intrusi (IDPS) memungkinkan Anda untuk tidak memfilter lalu lintas ke salah satu alamat IP, rentang, dan subnet yang ditentukan dalam daftar bypass. Namun, mengaktifkan IDPS direkomendasikan untuk semua arus lalu lintas untuk mengidentifikasi ancaman yang diketahui dengan lebih baik. Untuk mempelajari selengkapnya tentang tanda tangan Sistem Deteksi dan Pencegahan Intrusi (IDPS) dengan Azure Firewall Premium, kunjungi https://aka.ms/fw-idps-signature.
Firewall Policy Premium harus mengaktifkan semua aturan tanda tangan IDPS untuk memantau semua arus lalu lintas masuk dan keluar. Mengaktifkan semua aturan tanda tangan Sistem Deteksi dan Pencegahan Intrusi (IDPS) disarankan untuk mengidentifikasi ancaman yang diketahui dengan lebih baik dalam arus lalu lintas. Untuk mempelajari selengkapnya tentang tanda tangan Sistem Deteksi dan Pencegahan Intrusi (IDPS) dengan Azure Firewall Premium, kunjungi https://aka.ms/fw-idps.
Firewall Policy Premium harus mengaktifkan Sistem Deteksi dan Pencegahan Intrusi (IDPS). Mengaktifkan Sistem Deteksi dan Pencegahan Intrusi (IDPS) memungkinkan Anda memantau jaringan Untuk aktivitas berbahaya, mencatat informasi tentang aktivitas ini, melaporkannya, dan secara opsional mencoba memblokirnya. Untuk mempelajari selengkapnya tentang Sistem Deteksi dan Pencegahan Intrusi (IDPS) dengan Azure Firewall Premium, kunjungi https://aka.ms/fw-idps.
Langganan harus mengonfigurasi Azure Firewall Premium untuk memberikan lapisan perlindungan tambahan. Azure Firewall Premium memberikan perlindungan ancaman tingkat lanjut yang memenuhi kebutuhan lingkungan yang sangat sensitif dan teregulasi. Sebarkan Azure Firewall Premium ke langganan Anda dan pastikan semua lalu lintas layanan dilindungi oleh Azure Firewall Premium. Untuk mempelajari selengkapnya tentang Azure Firewall Premium, kunjungi https://aka.ms/fw-premium.
Semua definisi kebijakan bawaan yang terkait dengan jaringan Azure tercantum dalam Kebijakan bawaan - Jaringan.
Pengoptimalan biaya
Optimalisasi biaya adalah tentang mencari cara untuk mengurangi pengeluaran yang tidak perlu dan meningkatkan efisiensi operasional.
Daftar periksa desain
Saat Anda membuat pilihan desain untuk Azure Firewall, tinjau prinsip desain untuk pengoptimalan biaya.
- Pilih SKU Azure Firewall untuk disebarkan.
- Tentukan apakah beberapa instans tidak memerlukan alokasi permanen 24x7.
- Tentukan di mana Anda dapat mengoptimalkan penggunaan firewall di seluruh beban kerja.
- Pantau dan optimalkan penggunaan instans firewall untuk menentukan efektivitas biaya.
- Tinjau dan optimalkan jumlah alamat IP publik yang diperlukan dan Kebijakan yang digunakan.
- Tinjau persyaratan pengelogan, perkirakan biaya dan kontrol dari waktu ke waktu.
Rekomendasi
Jelajahi tabel rekomendasi berikut untuk mengoptimalkan konfigurasi Azure Firewall Anda untuk pengoptimalan biaya.
| Rekomendasi | Manfaat |
|---|---|
| Sebarkan SKU Azure Firewall yang tepat. | Azure Firewall dapat disebarkan dalam tiga SKU yang berbeda: Dasar, Standar, dan Premium. Azure Firewall Premium disarankan untuk mengamankan aplikasi yang sangat sensitif (seperti pemrosesan pembayaran). Azure Firewall Standard direkomendasikan untuk pelanggan yang mencari firewall Lapisan 3–Lapisan 7 dan memerlukan penskalaan otomatis untuk menangani periode lalu lintas puncak hingga 30 Gbps. Azure Firewall Basic direkomendasikan untuk pelanggan SMB dengan kebutuhan throughput 250 Mbps. Jika diperlukan, penurunan tingkat atau peningkatan dimungkinkan antara Standar dan Premium seperti yang di dokumentasikan di sini. Untuk informasi selengkapnya, lihat Memilih SKU Azure Firewall yang tepat untuk memenuhi kebutuhan Anda. |
| Hentikan penyebaran Azure Firewall yang tidak perlu berjalan selama 24x7. | Anda mungkin memiliki lingkungan pengembangan atau pengujian yang hanya digunakan selama jam kerja. Untuk informasi selengkapnya, lihat Membatalkan alokasi dan mengalokasikan Azure Firewall. |
| Bagikan instans Azure Firewall yang sama di beberapa beban kerja dan Azure Virtual Networks. | Anda dapat menggunakan instans pusat Azure Firewall di jaringan virtual hub atau Virtual WAN hub aman dan berbagi firewall yang sama di banyak jaringan virtual spoke yang terhubung ke hub yang sama dari wilayah yang sama. Pastikan tidak ada lalu lintas wilayah yang tidak terduga sebagai bagian dari topologi hub-spoke. |
| Meninjau lalu lintas yang diproses secara teratur oleh Azure Firewall dan mencari pengoptimalan beban kerja asal | Log Alur Teratas (dikenal di industri sebagai Aliran Lemak), menunjukkan koneksi teratas yang berkontribusi pada throughput tertinggi melalui firewall. Disarankan untuk meninjau lalu lintas yang diproses secara teratur oleh Azure Firewall dan mencari kemungkinan pengoptimalan untuk mengurangi jumlah lalu lintas yang melintasi firewall. |
| Tinjau instans Azure Firewall yang kurang digunakan. Identifikasi dan hapus penyebaran Azure Firewall yang tidak digunakan. | Untuk mengidentifikasi penyebaran Azure Firewall yang tidak digunakan, mulailah dengan menganalisis metrik pemantauan dan UDR yang terkait dengan subnet yang menunjuk ke IP privat firewall. Gabungkan informasi tersebut dengan validasi lain, seperti jika instans Azure Firewall Anda memiliki aturan (klasik) untuk NAT, Jaringan, dan Aplikasi, atau bahkan jika pengaturan Proksi DNS dikonfigurasi ke Dinonaktifkan, dan dengan dokumentasi internal tentang lingkungan dan penyebaran Anda. Anda dapat mendeteksi penyebaran yang hemat biaya dari waktu ke waktu. Untuk informasi selengkapnya tentang memantau log dan metrik, lihat Memantau log dan metrik Azure Firewall serta pemanfaatan port SNAT. |
| Gunakan Azure Firewall Manager dan Kebijakannya untuk mengurangi biaya operasional, meningkatkan efisiensi, dan mengurangi overhead manajemen. | Tinjau kebijakan, asosiasi, dan pewarisan Firewall Manager Anda dengan hati-hati. Kebijakan ditagih berdasarkan asosiasi firewall. Kebijakan dengan nol atau satu asosiasi firewall tidak dikenakan biaya. Kebijakan dengan beberapa asosiasi firewall ditagih dengan tarif tetap. Untuk informasi selengkapnya, lihat Harga - Azure Firewall Manager. |
| Menghapus alamat IP publik yang tidak digunakan. | Validasi apakah semua alamat IP publik terkait sedang digunakan. Jika tidak digunakan, pisahkan dan hapus. Evaluasi pemanfaatan port SNAT sebelum menghapus alamat IP apa pun. Anda hanya akan menggunakan jumlah IP publik yang dibutuhkan firewall Anda. Untuk informasi selengkapnya, lihat Memantau Azure Firewall log dan metrik serta pemanfaatan port SNAT. |
| Tinjau persyaratan pengelogan. | Azure Firewall memiliki kemampuan untuk mencatat metadata semua lalu lintas yang dilihatnya secara komprehensif, ke Ruang Kerja Analitik Log, Penyimpanan, atau solusi pihak ketiga melalui Azure Event Hubs. Namun, semua solusi pengelogan dikenakan biaya untuk pemrosesan dan penyimpanan data. Pada volume yang sangat besar biaya ini bisa signifikan, pendekatan hemat biaya dan alternatif untuk Analitik Log harus dipertimbangkan dan perkiraan biaya. Pertimbangkan apakah diperlukan untuk mencatat metadata lalu lintas untuk semua kategori pengelogan dan memodifikasi di Pengaturan Diagnostik jika diperlukan. |
Untuk saran selengkapnya, lihat Daftar periksa tinjauan desain untuk Pengoptimalan Biaya.
Azure Advisor membantu Anda memastikan dan meningkatkan kelangsungan aplikasi penting bisnis Anda. Tinjau rekomendasi Azure Advisor.
Keunggulan operasional
Pemantauan dan diagnostik sangat penting. Anda dapat mengukur statistik dan metrik performa untuk memecahkan masalah dan memulihkan masalah dengan cepat.
Daftar periksa desain
Saat Anda membuat pilihan desain untuk Azure Firewall, tinjau prinsip desain untuk keunggulan operasional.
- Pertahankan inventori dan pencadangan konfigurasi dan Kebijakan Azure Firewall.
- Manfaatkan log diagnostik untuk pemantauan dan pemecahan masalah firewall.
- Manfaatkan buku kerja Pemantauan Azure Firewall.
- Tinjau wawasan dan analitik Kebijakan Anda secara teratur.
- Integrasikan Azure Firewall dengan Microsoft Defender untuk Cloud dan Microsoft Sentinel.
Rekomendasi
Jelajahi tabel rekomendasi berikut untuk mengoptimalkan konfigurasi Azure Firewall Anda untuk keunggulan operasional.
| Rekomendasi | Manfaat |
|---|---|
| Jangan gunakan Azure Firewall untuk kontrol lalu lintas intra-VNet. | Azure Firewall harus digunakan untuk mengontrol lalu lintas di seluruh VNet, antara VNet dan jaringan lokal, lalu lintas keluar ke Internet dan lalu lintas non-HTTP/dtk yang masuk. Untuk kontrol lalu lintas intra-VNet, disarankan untuk menggunakan Kelompok Keamanan Jaringan. |
| Pertahankan pencadangan reguler artefak Azure Policy. | Jika pendekatan Infrastructure-as-Code (IaC) digunakan untuk mempertahankan Azure Firewall dan semua dependensi, maka pencadangan dan penerapan versi Kebijakan Azure Firewall harus sudah diberlakukan. Jika tidak, mekanisme pendamping berdasarkan Logic App eksternal dapat disebarkan untuk mengotomatiskan dan memberikan solusi yang efektif. |
| Aktifkan Log Diagnostik untuk Azure Firewall. | Log Diagnostik adalah komponen utama untuk banyak alat dan strategi pemantauan untuk Azure Firewall dan harus diaktifkan. Anda dapat memantau Azure Firewall dengan menggunakan log firewall atau buku kerja. Anda juga dapat menggunakan log aktivitas untuk mengaudit operasi pada sumber daya Azure Firewall. |
| Gunakan format Log Firewall Terstruktur . | Log Firewall Terstruktur adalah jenis data log yang diatur dalam format baru tertentu. Mereka menggunakan skema yang telah ditentukan sebelumnya untuk menyusun data log dengan cara yang memudahkan pencarian, filter, dan analisis. Alat pemantauan terbaru didasarkan pada jenis log ini sehingga sering kali merupakan prasyarat. Gunakan format Log Diagnostik sebelumnya hanya jika ada alat yang ada dengan prasyarat pada format tersebut. Jangan aktifkan kedua format pengelogan secara bersamaan. |
| Gunakan Buku Kerja Pemantauan Azure Firewall bawaan. | Azure Firewall pengalaman portal sekarang menyertakan buku kerja baru di bawah antarmuka pengguna bagian Pemantauan, penginstalan terpisah tidak lagi diperlukan. Dengan buku kerja Azure Firewall, Anda dapat mengekstrak wawasan berharga dari peristiwa Azure Firewall, mempelajari aturan aplikasi dan jaringan Anda, dan memeriksa statistik mengenai aktivitas firewall di seluruh URL, port, dan alamat. |
| Pantau metrik utama dan buat pemberitahuan untuk indikator pemanfaatan kapasitas Azure Firewall. | Pemberitahuan harus dibuat untuk memantau setidaknya Throughput, status kesehatan Firewall, pemanfaatan port SNAT , dan metrik AZFW Latency Probe . Untuk informasi tentang memantau log dan metrik, lihat Memantau log dan metrik Azure Firewall. |
| Konfigurasikan integrasi Azure Firewall dengan Microsoft Defender untuk Cloud dan Microsoft Sentinel. | Jika alat-alat ini tersedia di lingkungan, disarankan untuk memanfaatkan integrasi dengan solusi Microsoft Defender untuk Cloud dan Microsoft Sentinel. Dengan Microsoft Defender untuk integrasi Cloud, Anda dapat memvisualisasikan status all-up infrastruktur jaringan dan keamanan jaringan di satu tempat, termasuk Azure Network Security di semua VNet dan Hub Virtual yang tersebar di berbagai wilayah di Azure. Integrasi dengan Microsoft Sentinel menyediakan kemampuan deteksi dan pencegahan ancaman. |
| Tinjau dasbor Analitik Kebijakan secara teratur untuk mengidentifikasi potensi masalah. | Policy Analytics adalah fitur baru yang memberikan wawasan tentang dampak kebijakan Azure Firewall Anda. Ini membantu Anda mengidentifikasi potensi masalah (mencapai batas kebijakan, aturan pemanfaatan rendah, aturan redundan, aturan yang terlalu umum, rekomendasi penggunaan Grup IP) dalam kebijakan Anda dan memberikan rekomendasi untuk meningkatkan postur keamanan dan performa pemrosesan aturan Anda. |
| Kenali kueri KQL (Bahasa Kueri Kusto) untuk memungkinkan analisis dan pemecahan masalah cepat menggunakan log Azure Firewall. | Kueri sampel disediakan untuk Azure Firewall. Hal tersebut akan memungkinkan Anda mengidentifikasi dengan cepat apa yang terjadi di dalam firewall Anda dan memeriksa untuk melihat aturan mana yang dipicu, atau aturan mana yang mengizinkan/memblokir permintaan. |
Azure Advisor membantu Anda memastikan dan meningkatkan kelangsungan aplikasi penting bisnis Anda. Tinjau rekomendasi Azure Advisor.
Efisiensi performa
Efisiensi performa adalah kemampuan beban kerja Anda untuk menskalakan untuk memenuhi tuntutan yang ditempatkan di dalamnya secara efisien oleh pengguna.
Daftar periksa desain
Saat Anda membuat pilihan desain untuk Azure Firewall, tinjau prinsip desain untuk efisiensi performa.
- Tinjau dan optimalkan aturan firewall secara teratur.
- Tinjau persyaratan dan peluang kebijakan untuk meringkas rentang IP dan daftar URL.
- Menilai persyaratan port SNAT Anda.
- Rencanakan pengujian beban untuk menguji performa skala otomatis di lingkungan Anda.
- Jangan aktifkan alat diagnostik dan pengelogan jika tidak diperlukan.
Rekomendasi
Jelajahi tabel rekomendasi berikut untuk mengoptimalkan konfigurasi Azure Firewall Anda demi efisiensi performa.
| Rekomendasi | Manfaat |
|---|---|
| Gunakan dasbor Analitik Kebijakan untuk mengidentifikasi potensi pengoptimalan untuk Kebijakan Firewall. | Policy Analytics adalah fitur baru yang memberikan wawasan tentang dampak kebijakan Azure Firewall Anda. Ini membantu Anda mengidentifikasi potensi masalah (mencapai batas kebijakan, aturan pemanfaatan rendah, aturan redundan, aturan yang terlalu umum, rekomendasi penggunaan Grup IP) dalam kebijakan Anda dan memberikan rekomendasi untuk meningkatkan postur keamanan dan performa pemrosesan aturan Anda. |
| Untuk Kebijakan Firewall dengan seperangkat aturan besar, tempatkan aturan yang paling sering digunakan di awal grup untuk mengoptimalkan latensi. | Aturan diproses berdasarkan jenis aturan, pewarisan, prioritas Grup Kumpulan Aturan, dan prioritas Kumpulan Aturan. Grup Koleksi Aturan dengan prioritas tertinggi diproses terlebih dahulu. Di dalam grup kumpulan aturan, Kumpulan Aturan dengan prioritas tertinggi diproses terlebih dahulu. Menempatkan aturan yang paling banyak digunakan lebih tinggi dalam seperangkat aturan akan mengoptimalkan latensi pemrosesan. Bagaimana aturan diproses dan dievaluasi dijelaskan dalam artikel ini. |
| Gunakan Grup IP untuk meringkas rentang alamat IP. | Anda dapat menggunakan Grup IP untuk meringkas rentang IP, sehingga Anda tidak melebihi batas aturan jaringan sumber/tujuan yang unik. Untuk setiap aturan, Azure mengalikan port menurut alamat IP. Jadi, jika Anda memiliki satu aturan dengan empat rentang alamat IP dan lima port, Anda akan menggunakan 20 aturan jaringan. Grup IP diperlakukan sebagai satu alamat untuk tujuan membuat aturan jaringan. |
| Pertimbangkan Kategori Web untuk mengizinkan atau menolak akses keluar secara massal. | Alih-alih secara eksplisit membangun dan memelihara daftar panjang situs Internet publik, pertimbangkan penggunaan Azure Firewall Kategori Web. Fitur ini akan mengategorikan konten web secara dinamis dan akan mengizinkan pembuatan Aturan Aplikasi yang ringkas. |
| Mengevaluasi dampak performa IDPS dalam mode Pemberitahuan dan tolak . | Jika Azure Firewall diperlukan untuk beroperasi dalam mode IDPSPemberitahuan dan tolak, pertimbangkan dengan cermat dampak performa seperti yang didokumenkan di halaman ini. |
| Menilai potensi masalah kelelahan port SNAT. | Azure Firewall saat ini mendukung 2496 port per alamat IP Publik per instans Set Skala Komputer Virtual backend. Secara default, ada dua instans Virtual Machine Scale Set. Jadi, ada 4992 port per IP tujuan alur, port tujuan dan protokol (TCP atau UDP). Firewall menskalakan hingga maksimum 20 instans. Anda dapat mengatasi batasan ini dengan mengonfigurasi penyebaran Azure Firewall dengan minimal lima alamat IP publik untuk penyebaran yang rentan terhadap kehabisan SNAT. |
| Pemanasan Azure Firewall dengan benar sebelum pengujian performa apa pun. | Buat lalu lintas awal yang bukan bagian dari pengujian beban Anda 20 menit sebelum pengujian. Gunakan pengaturan diagnostik untuk menangkap peristiwa skala naik dan turun. Anda dapat menggunakan layanan Azure Load Testing untuk menghasilkan lalu lintas awal. Memungkinkan instans Azure Firewall meningkatkan skala instansnya menjadi maksimum. |
| Konfigurasikan subnet Azure Firewall (AzureFirewallSubnet) dengan ruang alamat /26. | Azure Firewall adalah penyebaran khusus di jaringan virtual Anda. Dalam jaringan virtual Anda, subnet khusus diperlukan untuk instans Azure Firewall. Azure Firewall menyediakan lebih banyak kapasitas saat diskalakan. Ruang alamat /26 untuk subnetnya memastikan bahwa firewall memiliki cukup alamat IP yang tersedia untuk mengakomodasi penskalaan. Azure Firewall tidak memerlukan subjaringan yang lebih besar dari /26. Nama subnet Azure Firewall harus AzureFirewallSubnet. |
| Jangan aktifkan pengelogan lanjutan jika tidak diperlukan | Azure Firewall menyediakan beberapa kemampuan pengelogan tingkat lanjut yang bisa mahal untuk dipertahankan selalu aktif. Sebaliknya, mereka harus digunakan hanya untuk tujuan pemecahan masalah, dan dibatasi durasinya, lalu dinonaktifkan ketika tidak diperlukan lagi. Misalnya, Alur teratas dan log jejak Alur mahal dapat menyebabkan penggunaan CPU dan penyimpanan yang berlebihan pada infrastruktur Azure Firewall. |
Azure Advisor membantu Anda memastikan dan meningkatkan kelangsungan aplikasi penting bisnis Anda. Tinjau rekomendasi Azure Advisor.
Rekomendasi Azure Advisor
Azure Advisor adalah konsultan cloud dipersonalisasi yang membantu Anda mengikuti praktik terbaik untuk mengoptimalkan penyebaran Azure. Belum ada rekomendasi Advisor tertentu Azure Firewall. Beberapa rekomendasi umum dapat diterapkan untuk membantu meningkatkan keandalan, keamanan, efektivitas biaya, performa, dan keunggulan operasional.
- Buat pemberitahuan Azure Service Health untuk memberi tahu Anda saat masalah Azure memengaruhi Anda
- Pastikan Anda memiliki akses ke pakar cloud Azure saat Anda membutuhkannya
- Aktifkan Traffic Analytics untuk melihat wawasan tentang pola lalu lintas di seluruh sumber daya Azure
- Ikuti administrasi yang cukup (prinsip hak istimewa terkecil)
- Lindungi sumber daya jaringan Anda dengan Microsoft Defender untuk Cloud
Sumber Daya Tambahan:
- Dokumentasi Azure Firewall
- Apa itu Azure Firewall Manager?
- Azure Firewall batas, kuota, dan batasan layanan
- Garis dasar keamanan Azure untuk Azure Firewall Manager
Panduan Azure Architecture Center
- Gambaran umum arsitektur Azure Firewall
- Gunakan Azure Firewall untuk membantu melindungi kluster Azure Kubernetes Service (AKS)
- Menggunakan Azure Firewall untuk melindungi penyebaran Azure Virtual Desktop (AVD)
- Gunakan Azure Firewall untuk melindungi Office 365
- Topologi jaringan hub-spoke di Azure
- Jaringan zero-trust untuk aplikasi web dengan Azure Firewall dan Application Gateway
- Mengimplementasikan jaringan hibrida yang aman
- Aplikasi web yang diperketat jaringan dengan konektivitas privat ke penyimpanan data PaaS
Langkah selanjutnya
Sebarkan instans Azure Firewall untuk melihat cara kerjanya:
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk