Mengamankan jaringan Anda dengan Azure Firewall Manager

  • 7 menit

Bekerja dengan Azure Firewall Manager

Azure Firewall Manager adalah layanan manajemen keamanan yang menyediakan kebijakan keamanan pusat dan manajemen rute untuk perimeter keamanan berbasis cloud.

Diagram of the Azure Firewall Manager that shows the secure hub and hub VNet deployment option.

Azure Firewall Manager memudahkan proses penentuan aturan tingkat jaringan dan aplikasi secara terpusat untuk pemfilteran lalu lintas di beberapa instans Azure Firewall. Anda dapat menjangkau berbagai wilayah dan langganan Azure di hub dan arsitektur spoke untuk tata kelola lalu lintas dan perlindungan.

Jika mengelola beberapa firewall, Anda memahami bahwa aturan firewall yang terus berubah membuat Anda kesulitan untuk tetap menyinkronkannya. Tim IT pusat membutuhkan cara untuk menentukan kebijakan firewall dasar dan menerapkannya di beberapa unit bisnis. Selain itu, tim DevOps ingin membuat kebijakan firewall turunan lokal mereka sendiri yang diterapkan di seluruh organisasi. Azure Firewall Manager dapat membantu menyelesaikan masalah ini.

Firewall Manager dapat menyediakan manajemen keamanan untuk dua jenis arsitektur jaringan:

  • Hub Virtual Aman - Ini adalah nama yang diberikan untuk Azure Virtual WAN Hub saat kebijakan keamanan dan perutean telah dikaitkan dengannya. Azure Virtual WAN Hub adalah sumber daya yang dikelola Microsoft yang memungkinkan Anda membuat arsitektur hub dan spoke dengan mudah.
  • Jaringan Virtual Hub - Ini adalah nama yang diberikan untuk semua jaringan virtual Azure standar saat kebijakan keamanan dikaitkan dengannya. Jaringan virtual Azure standar adalah sumber daya yang Anda buat dan kelola sendiri. Saat ini, hanya Azure Firewall Policy yang didukung. Anda dapat melakukan peering spoke jaringan virtual yang berisi server dan layanan beban kerja Anda. Anda juga dapat mengelola firewall di jaringan virtual mandiri yang tidak di-peering ke spoke apa pun.

Fitur Azure Firewall Manager

Fitur utama yang ditawarkan oleh Azure Firewall Manager adalah:

  • Penyebaran dan konfigurasi Azure Firewall Tengah

    Anda dapat menyebarkan dan mengkonfigurasi beberapa instans Azure Firewall secara terpusat yang mencakup berbagai wilayah dan langganan Azure.

  • Kebijakan hierarkis (global dan lokal)

    Anda dapat menggunakan Azure Firewall Manager untuk mengelola kebijakan Azure Firewall secara terpusat di beberapa hub virtual aman. Tim TI pusat Anda dapat menulis kebijakan firewall global untuk menegakkan kebijakan firewall luas organisasi di seluruh tim. Kebijakan firewall yang ditulis secara lokal memungkinkan model layanan mandiri Azure DevOps untuk kelincahan yang lebih baik.

  • Terintegrasi dengan keamanan sebagai layanan pihak ketiga untuk keamanan tingkat lanjut

    Selain Azure Firewall, Anda dapat mengintegrasikan penyedia keamanan sebagai layanan pihak ketiga untuk memberikan perlindungan jaringan tambahan untuk koneksi Internet VNet dan cabang Anda. Fitur ini hanya tersedia di penyebaran hub virtual aman (lihat di atas).

  • Manajemen rute terpusat

    Anda dapat dengan mudah merutekan lalu lintas ke hub aman Anda untuk pemfilteran dan pengelogan tanpa perlu menyiapkan Rute yang Ditentukan Pengguna (UDR) secara manual di jaringan virtual spoke. Fitur ini hanya tersedia di penyebaran hub virtual aman (lihat di atas).

  • Ketersediaan wilayah

    Anda dapat menggunakan Kebijakan Azure Firewall di seluruh wilayah. Misalnya, Anda dapat membuat kebijakan di wilayah US Barat dan tetap menggunakannya di wilayah US Timur.

  • Rencana perlindungan DDoS

    Anda dapat mengaitkan jaringan virtual Anda dengan paket perlindungan DDoS dalam Azure Firewall Manager.

  • Mengelola kebijakan Web Application Firewall

    Anda dapat membuat dan mengaitkan kebijakan persetujuan (WAF) secara terpusat untuk platform pengiriman aplikasi Anda, termasuk Azure Front Door dan Azure Application Gateway.

Kebijakan Azure Firewall Manager

Kebijakan Firewall merupakan sumber daya Azure yang berisi kumpulan aturan NAT, jaringan, dan aplikasi, serta pengaturan Inteligensi Ancaman. Ini adalah sumber daya global yang dapat digunakan di beberapa instans Azure Firewall di Hub Virtual Aman dan Jaringan Virtual Hub. Kebijakan baru dapat dibuat dari awal atau diwarisi dari kebijakan yang ada. Pewarisan memungkinkan Azure DevOps membuat kebijakan {i>firewall

Anda dapat membuat Kebijakan Firewall dan asosiasi dengan Azure Firewall Manager. Namun, Anda juga dapat membuat dan mengelola kebijakan menggunakan REST API, templat, Azure PowerShell, dan Azure CLI. Setelah membuat kebijakan, Anda dapat mengaitkannya dengan firewall di hub WAN virtual yang menjadikannya Hub Virtual Aman dan/atau mengaitkannya dengan firewall di jaringan virtual Azure standar yang menjadikannya Jaringan Virtual Hub.

Diagram of Azure Firewall Manager with three firewalls deployed to different hub vnets with policies applied.

Menyebarkan Azure Firewall Manager untuk Jaringan Virtual Hub

Proses yang direkomendasikan untuk menyebarkan Azure Firewall Manager untuk Jaringan Virtual Hub adalah sebagai berikut:

  1. Membuat kebijakan firewall

    Anda dapat membuat kebijakan baru, mendapatkan kebijakan dasar, dan menyesuaikan kebijakan lokal, atau mengimpor aturan dari Azure Firewall yang sudah ada. Pastikan untuk menghapus aturan NAT dari kebijakan yang akan diterapkan di beberapa firewall.

  2. Membuat arsitektur hub dan spoke Anda

    Lakukan dengan membuat Jaringan Virtual Hub menggunakan Azure Firewall Manager dan melakukan peering jaringan virtual spoke dengannya menggunakan peering jaringan virtual, atau dengan membuat jaringan virtual dan menambahkan koneksi jaringan virtual dan melakukan peering jaringan virtual spoke dengannya menggunakan peering jaringan virtual.

  3. Pilih penyedia keamanan dan kaitkan kebijakan firewall

    Saat ini, penyedia yang didukung hanya Azure Firewall. Hal ini dapat dilakukan saat membuat Jaringan Virtual Hub, atau dengan mengonversi jaringan virtual yang ada menjadi Jaringan Virtual Hub. Dimungkinkan juga untuk mengonversi beberapa jaringan virtual.

  4. Mengonfigurasi Rute yang Ditentukan Pengguna untuk merutekan lalu lintas ke firewall Jaringan VirtualHub Anda

Menyebarkan Azure Firewall Manager untuk Hub Virtual Aman

Proses yang direkomendasikan untuk menyebarkan Azure Firewall Manager untuk Hub Virtual Aman adalah sebagai berikut:

  1. Membuat arsitektur hub dan spoke Anda

    Lakukan dengan membuat Hub Virtual Aman menggunakan Azure Firewall Manager dan menambahkan koneksi jaringan virtual, atau dengan membuat Hub WAN Virtual dan menambahkan koneksi jaringan virtual.

  2. Pilih penyedia keamanan

    Ini dapat dilakukan saat membuat Hub Virtual Aman, atau dengan mengonversi Hub WAN Virtual yang ada menjadi Hub Virtual Aman.

  3. Membuat kebijakan firewall dan mengaitkannya dengan hub Anda

    Ini hanya berlaku jika Anda menggunakan Azure Firewall. Kebijakan SaaS pihak ketiga dikonfigurasi melalui pengalaman pengelolaan mitra.

  4. Mengonfigurasi pengaturan rute untuk merutekan lalu lintas ke Hub Virtual Aman Anda

    Anda dapat dengan mudah merutekan lalu lintas ke hub aman untuk pemfilteran dan pengelogan tanpa Rute Yang Ditentukan Pengguna (UDR) di Jaringan Virtual spoke dengan menggunakan halaman Pengaturan Rute Hub Virtual Aman.

Anda tidak boleh memiliki lebih dari satu hub per WAN virtual per wilayah, namun Anda dapat menambahkan beberapa WAN virtual di wilayah tersebut untuk menjangkaunya.

Anda tidak boleh memiliki ruang IP tumpang tindih untuk hub di vWAN.

Koneksi VNet hub Anda harus berada di wilayah yang sama dengan hub.