Revisione di Azure Well-Architected Framework - Firewall di Azure
Questo articolo fornisce raccomandazioni sull'architettura per Firewall di Azure. Le linee guida si basano sui cinque pilastri dell'eccellenza dell'architettura:
- Affidabilità
- Sicurezza
- Ottimizzazione dei costi
- Eccellenza operativa
- Efficienza delle prestazioni
Si supponga di avere conoscenza del lavoro di Firewall di Azure e che siano ben distribuiti con le sue caratteristiche. Per altre informazioni, vedere Panoramica Firewall di Azure.
Prerequisiti
- Comprendere i pilastri di Azure Well-Architected Framework può contribuire a produrre un'architettura cloud di alta qualità, stabile ed efficiente. Esaminare il carico di lavoro usando la valutazione della revisione di Well-Architected Framework .
- Usare un'architettura di riferimento per esaminare le considerazioni in base alle indicazioni fornite in questo articolo. Iniziare con l'applicazione Web con protezione avanzata dalla rete con connettività privata agli archivi dati PaaS e implementare una rete ibrida sicura.
Affidabilità
Per informazioni su come Firewall di Azure supporta in modo affidabile i carichi di lavoro, vedere gli articoli seguenti:
- Introduzione a Firewall di Azure
- Avvio rapido: Distribuire Firewall di Azure con zone di disponibilità
- Configurare il Firewall di Azure in un hub della rete WAN virtuale
Elenco di controllo della progettazione
Quando si apportano scelte di progettazione per Firewall di Azure, esaminare i principi di progettazione per l'affidabilità.
- Distribuire Firewall di Azure nelle reti virtuali hub o come parte degli hub di Azure rete WAN virtuale.
- Sfruttare zone di disponibilità resilienza.
- Creare Firewall di Azure struttura Criteri.
- Esaminare l'elenco Problemi noti.
- Monitorare Firewall di Azure stato di integrità.
Nota
Esistono differenze nella disponibilità dei servizi di rete tra il modello hub tradizionale & Spoke e rete WAN virtuale hub protetti gestiti. Ad esempio, in un hub rete WAN virtuale l'ip pubblico Firewall di Azure non può essere preso da un prefisso IP pubblico e non può avere protezione DDoS abilitata. La selezione di uno o l'altro modello deve considerare i requisiti in tutti e cinque i pilastri del framework di Well-Architected.
Consigli
Esplorare la tabella seguente di consigli per ottimizzare la configurazione Firewall di Azure per l'affidabilità.
| Recommendation | Vantaggi |
|---|---|
| Usare Firewall di Azure Manager con & spoke tradizionali o topologie di rete di Azure rete WAN virtuale per distribuire e gestire istanze di Firewall di Azure. | Creare facilmente architetture hub-spoke e transitive con servizi di sicurezza nativi per la governance e la protezione del traffico. Per altre informazioni sulle topologie di rete, vedere la documentazione di Azure Cloud Adoption Framework. |
| Creare criteri di Firewall di Azure per gestire il comportamento di sicurezza in ambienti di rete globali. Assegnare criteri a tutte le istanze di Firewall di Azure. | Firewall di Azure i criteri possono essere disposti in una struttura gerarchica per sovrapporre un criterio di base centrale. Consentire ai criteri granulari di soddisfare i requisiti delle aree specifiche. Delegare i criteri incrementali del firewall ai team di sicurezza locali tramite il controllo degli accessi in base al ruolo. Alcune impostazioni sono specifiche per ogni istanza, ad esempio regole DNAT e configurazione DNS, quindi più criteri specializzati potrebbero essere necessari. |
| Eseguire la migrazione Firewall di Azure regole classiche a criteri di gestione Firewall di Azure per le distribuzioni esistenti. | Per le distribuzioni esistenti, eseguire la migrazione delle regole Firewall di Azure ai criteri di Firewall di Azure Manager. Usare Firewall di Azure Manager per gestire centralmente i firewall e i criteri. Per altre informazioni, vedere Eseguire la migrazione a Firewall di Azure Premium. |
| Esaminare l'elenco di Firewall di Azure Problemi noti. | Firewall di Azure Product Group gestisce un elenco aggiornato di problemi noti in questa posizione. Questo elenco contiene informazioni importanti correlate al comportamento di progettazione, alle correzioni in fase di costruzione, alle limitazioni della piattaforma e alle possibili soluzioni alternative o mitigazioni. |
| Assicurarsi che i criteri di Firewall di Azure siano conformi ai limiti e alle raccomandazioni Firewall di Azure. | Esistono limiti sulla struttura dei criteri, inclusi i numeri di regole e gruppi di raccolta regole, le dimensioni totali dei criteri, le destinazioni di origine/destinazione. Assicurarsi di comporre i criteri e rimanere dietro le soglie documentate. |
| Distribuire Firewall di Azure in più zone di disponibilità per un contratto di servizio più elevato. | Firewall di Azure fornisce contratti di servizio diversi quando viene distribuito in una singola zona di disponibilità e quando viene distribuito in più zone. Per altre informazioni, vedere Contratto di servizio per Firewall di Azure. Per informazioni su tutti i contratti di servizio di Azure, vedere Riepilogo del contratto di servizio per i servizi di Azure. |
| Negli ambienti multi-area distribuire un'istanza di Firewall di Azure per area. | Per le architetture di Hub & Spoke tradizionali, i dettagli su più aree sono illustrati in questo articolo. Per gli hub virtuali protetti (Azure rete WAN virtuale), la finalità di routing e i criteri devono essere configurati per proteggere le comunicazioni tra hub e branch-to-branch. Per i carichi di lavoro progettati per essere resistenti agli errori e alla tolleranza di errore, tenere presente che le istanze di Firewall di Azure e Azure Rete virtuale come risorse regionali. |
| Monitorare le metriche Firewall di Azure e lo stato di Integrità risorse. | Monitorare attentamente l'indicatore delle metriche chiave di Firewall di Azure stato di integrità, ad esempio velocità effettiva, stato di integrità del firewall, utilizzo delle porte SNAT e metriche probe di latenza AZFW. Inoltre, Firewall di Azure ora si integra con Azure Integrità risorse. Con il controllo Firewall di Azure Integrità risorse, è ora possibile visualizzare lo stato di integrità del Firewall di Azure e risolvere i problemi del servizio che potrebbero influire sulla risorsa Firewall di Azure. |
Azure Advisor aiuta a garantire e migliorare la continuità delle applicazioni aziendali critiche. Esaminare i consigli di Azure Advisor.
Sicurezza
La sicurezza è uno degli aspetti essenziali di qualsiasi architettura. Firewall di Azure è un servizio di sicurezza del firewall intelligente che fornisce protezione dalle minacce per i carichi di lavoro cloud in esecuzione in Azure.
Elenco di controllo della progettazione
Quando si apportano scelte di progettazione per Firewall di Azure, esaminare i principi di progettazione per la sicurezza.
- Determinare se è necessario eseguire il tunneling forzato.
- Creare regole per Criteri in base ai criteri di accesso con privilegi minimi.
- Sfruttare Threat Intelligence.
- Abilitare Firewall di Azure proxy DNS.
- Indirizzare il traffico di rete attraverso Firewall di Azure.
- Determinare se si desidera usare provider di sicurezza di terze parti come servizio (SECaaS).
- Proteggere gli indirizzi IP pubblici Firewall di Azure con DDoS.
Consigli
Esplorare la tabella seguente di consigli per ottimizzare la configurazione Firewall di Azure per la sicurezza.
| Recommendation | Vantaggi |
|---|---|
| Se necessario per instradare tutto il traffico associato a Internet a un hop successivo designato anziché passare direttamente a Internet, configurare Firewall di Azure in modalità di tunneling forzato (non si applica ad Azure rete WAN virtuale). | Connettività diretta al Firewall di Azure. Se AzureFirewallSubnet apprende una route predefinita alla rete locale tramite il protocollo gateway di bordo, è necessario configurare Firewall di Azure nella modalità di tunneling forzato. Usando la funzionalità di tunneling forzato, sarà necessario un altro spazio indirizzi /26 per la subnet di gestione Firewall di Azure. È necessario denominarlo AzureFirewallManagementSubnet. Se si tratta di un'istanza di Firewall di Azure esistente che non può essere riconfigurata nella modalità di tunneling forzato, creare un'istanza UDR con una route 0.0.0.0/0. Impostare il valore NextHopType come Internet. Associarlo ad AzureFirewallSubnet per mantenere la connettività Internet. |
| Impostare l'indirizzo IP pubblico su Nessuno per distribuire un piano dati completamente privato quando si configura Firewall di Azure nella modalità di tunneling forzato (non si applica ad Azure rete WAN virtuale). | Quando si distribuisce una nuova istanza di Firewall di Azure, se si abilita la modalità di tunneling forzato, è possibile impostare l'indirizzo IP pubblico su Nessuno per distribuire un piano dati completamente privato. Tuttavia, il piano di gestione richiede comunque un indirizzo IP pubblico solo a scopo di gestione. Il traffico interno dalle reti virtuali e locali non userà tale IP pubblico. Per altre informazioni sul tunneling forzato, vedere Firewall di Azure tunneling forzato. |
| Creare regole per i criteri di firewall in base ai criteri di accesso con privilegi minimi. | Firewall di Azure i criteri possono essere disposti in una struttura gerarchica per sovrapporre un criterio di base centrale. Consentire ai criteri granulari di soddisfare i requisiti di aree specifiche. Ogni criterio può contenere set diversi di regole DNAT, Rete e Applicazione con priorità, azione ed ordine di elaborazione specifici. Creare le regole in base all'accesso con privilegi minimi Zero Trust principio . Il modo in cui vengono elaborate le regole è illustrato in questo articolo. |
| Abilitare Intelligence per le minacce in Firewall di Azure in modalità avviso e negazione. | È possibile abilitare i filtri basati sull'intelligence sulle minacce per il firewall in modo da creare avvisi e rifiutare il traffico da o verso indirizzi IP e domini sconosciuti. Gli indirizzi IP e i domini sono originati dal feed Intelligence sulle minacce Microsoft. Intelligent Security Graph supporta l'intelligence sulle minacce Microsoft e viene usato da più servizi, tra cui Microsoft Defender for Cloud. |
| Abilitare IDPS in modalità avviso o avviso e negazione . | IDPS è una delle funzionalità di sicurezza di Firewall di Azure (Premium) più potenti e deve essere abilitata. In base ai requisiti di sicurezza e applicazione e considerando l'impatto sulle prestazioni (vedere la sezione Costo di seguito), è possibile selezionare le modalità avviso o avviso e negazione . |
| Abilitare la configurazione proxy Firewall di Azure (DNS). | L'abilitazione di questa funzionalità punta i client nelle reti virtuali a Firewall di Azure come server DNS. Proteggerà l'infrastruttura DNS interna a cui non verrà eseguito l'accesso diretto e l'esposizione. Firewall di Azure deve essere configurato anche per l'uso di DNS personalizzato che verrà usato per inoltrare le query DNS. |
| Configurare route definite dall'utente per forzare il traffico attraverso Firewall di Azure. | In un'architettura di hub & spoke tradizionale configurare le route definite dall'utente per forzare il traffico attraverso Firewall di Azure per SpoketoSpokela connettività , SpoketoInternete SpoketoHybrid . In Azure rete WAN virtuale configurare invece finalità e criteri di routing per reindirizzare il traffico privato e/o Internet attraverso l'istanza di Firewall di Azure integrata nell'hub. |
| Limitare l'utilizzo degli indirizzi IP pubblici direttamente associati a Macchine virtuali | Per evitare che il traffico ignori il firewall, è necessario limitare l'associazione di indirizzi IP pubblici alle interfacce di rete della macchina virtuale. Nel modello di Azure Cloud Adoption Framework (CAF) viene assegnato un Criteri di Azure specifico al gruppo di gestione CORP. |
| Se non è possibile applicare la route definita dall'utente e è necessario solo il reindirizzamento del traffico Web, è consigliabile usare Firewall di Azure come proxy esplicito | Con la funzionalità proxy esplicita abilitata nel percorso in uscita, è possibile configurare un'impostazione proxy nell'applicazione Web di invio (ad esempio un Web browser) con Firewall di Azure configurata come proxy. Di conseguenza, il traffico Web raggiungerà l'indirizzo IP privato del firewall e quindi egresse direttamente dal firewall senza usare una route definita dall'utente. Questa funzionalità facilita anche l'utilizzo di più firewall senza modificare le route di rete esistenti. |
| Configurare i provider di sicurezza SaaS (Software as a Service) supportati in Gestione firewall se si vogliono usare queste soluzioni per proteggere le connessioni in uscita. | È possibile usare le offerte SECaaS familiari e di terze parti più comuni per proteggere l'accesso a Internet per gli utenti.You can use your familiar, best-in-breed, third-party SECaaS offerings to protect Internet access for your users. Questo scenario richiede azure rete WAN virtuale con un Gateway VPN S2S nell'hub, perché usa un tunnel IPSec per connettersi all'infrastruttura del provider. I provider SECaaS potrebbero pagare costi di licenza aggiuntivi e limitare la velocità effettiva per le connessioni IPSec. Esistono soluzioni alternative come ZScaler Cloud Connector e potrebbero essere più adatte. |
| Usare il filtro FQDN (Fully Qualified Domain Name) nelle regole di rete. | È possibile usare il nome di dominio completo basato sulla risoluzione DNS nei criteri di Firewall di Azure e firewall. Questa funzionalità consente di filtrare il traffico in uscita con qualsiasi protocollo TCP/UDP (tra cui NTP, SSH, RDP e altro ancora). È necessario abilitare la configurazione del proxy DNS Firewall di Azure per usare FQDN nelle regole di rete. Per informazioni sul funzionamento, vedere Firewall di Azure filtro FQDN nelle regole di rete. |
| Usare i tag di servizio nelle regole di rete per abilitare l'accesso selettivo a servizi Microsoft specifici. | Un tag di servizio rappresenta un gruppo di prefissi di indirizzo IP che consente di ridurre al minimo la complessità nella creazione di regole di sicurezza. Usando i tag di servizio nelle regole di rete, è possibile abilitare l'accesso in uscita a servizi specifici in Azure, Dynamics e Office 365 senza aprire intervalli estesi di indirizzi IP. Azure manterrà automaticamente il mapping tra questi tag e gli indirizzi IP sottostanti usati da ogni servizio. L'elenco dei tag di servizio disponibili per Firewall di Azure è elencato qui: Az Firewall Service Tags (Tag del servizio Az Firewall). |
| Usare i tag FQDN nelle regole dell'applicazione per abilitare l'accesso selettivo a servizi Microsoft specifici. | Un tag FQDN rappresenta un gruppo di nomi di dominio completi (FQDN) associati a servizi Microsoft noti. È possibile usare un tag FQDN nelle regole dell'applicazione per consentire il traffico di rete in uscita richiesto attraverso il firewall per alcuni servizi di Azure specifici, Office 365, Windows 365 e Intune. |
| Usare Firewall di Azure Manager per creare e associare un piano di protezione DDoS alla rete virtuale hub (non si applica ad Azure rete WAN virtuale). | Un piano di protezione DDoS offre funzionalità di mitigazione avanzate per difendere il firewall dagli attacchi DDoS. Firewall di Azure Manager è uno strumento integrato per creare l'infrastruttura del firewall e i piani di protezione DDoS. Per altre informazioni, vedere Configurare un piano di protezione DDoS di Azure usando Firewall di Azure Manager. |
| Usare un'infrastruttura a chiave pubblica aziendale per generare certificati per l'ispezione TLS. | Con Firewall di Azure Premium, se viene usata la funzionalità di ispezione TLS, è consigliabile sfruttare un'autorità di certificazione (CA) aziendale interna per l'ambiente di produzione. I certificati autofirmato devono essere usati solo a scopo di test/poC . |
| Vedere la guida alla configurazione di Zero-Trust per Firewall di Azure e gateway applicazione | Se i requisiti di sicurezza richiedono l'implementazione di un approccio Zero-Trust per le applicazioni Web (ispezione e crittografia), è consigliabile seguire questa guida. In questo documento verrà illustrato come integrare insieme Firewall di Azure e gateway applicazione, in entrambi gli scenari hub & spoke e rete WAN virtuale tradizionali. |
Azure Advisor aiuta a garantire e migliorare la continuità delle applicazioni aziendali critiche. Esaminare le raccomandazioni di Azure Advisor.
Definizioni dei criteri
Le interfacce di rete non devono avere indirizzi IP pubblici. Questo criterio nega l'accesso alle interfacce di rete configurate con qualsiasi IP pubblico. Gli indirizzi IP pubblici consentono alle risorse Internet di comunicare in ingresso con le risorse di Azure e alle risorse di Azure di comunicare in uscita con Internet.
Tutto il traffico Internet deve essere instradato tramite il Firewall di Azure distribuito. Il Centro sicurezza di Azure ha rilevato che alcune delle subnet non sono protette con un firewall di nuova generazione. Proteggere le subnet da potenziali minacce limitandone l'accesso con Firewall di Azure o un firewall di nuova generazione supportato.
I criteri del firewall di Azure devono abilitare l'ispezione TLS all'interno delle regole dell'applicazione. L'abilitazione dell'ispezione TLS è consigliata per tutte le regole dell'applicazione per rilevare, inviare avvisi e ridurre le attività dannose in HTTPS. Per altre informazioni sull'ispezione TLS con Firewall di Azure, visitare https://aka.ms/fw-tlsinspect.
Firewall di Azure Premium deve configurare un certificato intermedio valido per abilitare l'ispezione TLS. Configurare un certificato intermedio valido e abilitare Firewall di Azure ispezione TLS Premium per rilevare, inviare avvisi e attenuare le attività dannose in HTTPS. Per altre informazioni sull'ispezione TLS con Firewall di Azure, visitare https://aka.ms/fw-tlsinspect.
Ignorare l'elenco di rilevamento e prevenzione delle intrusioni (IDPS) deve essere vuoto in Criteri firewall Premium. L'elenco di bypass del sistema di rilevamento e prevenzione delle intrusioni (IDPS) consente di non filtrare il traffico verso indirizzi IP, intervalli e subnet specificati nell'elenco di bypass. Tuttavia, l'abilitazione di IDPS è consigliata per tutti i flussi di traffico per identificare meglio le minacce note. Per altre informazioni sulle firme idps (Intrusion Detection and Prevention System) con Firewall di Azure Premium, visitare https://aka.ms/fw-idps-signature.
Criteri firewall Premium deve abilitare tutte le regole di firma IDPS per monitorare tutti i flussi di traffico in ingresso e in uscita. È consigliabile abilitare tutte le regole di firma del sistema di rilevamento e prevenzione delle intrusioni (IDPS) per identificare meglio le minacce note nei flussi di traffico. Per altre informazioni sulle firme idps (Intrusion Detection and Prevention System) con Firewall di Azure Premium, visitare https://aka.ms/fw-idps.
Criteri firewall Premium deve abilitare il sistema di rilevamento e prevenzione delle intrusioni (IDPS).Firewall Policy Premium should enable the Intrusion Detection and Prevention System (IDPS). L'abilitazione del sistema di rilevamento e prevenzione delle intrusioni (IDPS) consente di monitorare la rete per individuare attività dannose, registrare informazioni su questa attività, segnalarla e, facoltativamente, tentare di bloccarla. Per altre informazioni sul sistema di rilevamento e prevenzione delle intrusioni con Firewall di Azure Premium, visitare https://aka.ms/fw-idps.
La sottoscrizione deve configurare il Firewall di Azure Premium per fornire un livello di protezione aggiuntivo. Firewall di Azure Premium offre protezione avanzata dalle minacce che soddisfa le esigenze di ambienti altamente sensibili e regolamentati. Distribuire Firewall di Azure Premium nella sottoscrizione e assicurarsi che tutto il traffico del servizio sia protetto da Firewall di Azure Premium. Per altre informazioni su Firewall di Azure Premium, visitare https://aka.ms/fw-premium.
Tutte le definizioni di criteri predefinite correlate alla rete di Azure sono elencate in Criteri predefiniti - Rete.
Ottimizzazione dei costi
L'ottimizzazione dei costi riguarda l'analisi dei modi per ridurre le spese non necessarie e migliorare l'efficienza operativa.
Elenco di controllo della progettazione
Quando si effettuano scelte di progettazione per Firewall di Azure, esaminare i principi di progettazione per l'ottimizzazione dei costi.
- Selezionare lo SKU Firewall di Azure da distribuire.
- Determinare se alcune istanze non richiedono l'allocazione permanente di 24x7.
- Determinare dove è possibile ottimizzare l'uso del firewall tra i carichi di lavoro.
- Monitorare e ottimizzare l'utilizzo delle istanze del firewall per determinare l'efficacia dei costi.
- Esaminare e ottimizzare il numero di indirizzi IP pubblici richiesti e criteri usati.
- Esaminare i requisiti di registrazione, stimare i costi e il controllo nel tempo.
Consigli
Esplorare la tabella seguente di consigli per ottimizzare la configurazione Firewall di Azure per l'ottimizzazione dei costi.
| Recommendation | Vantaggi |
|---|---|
| Distribuire lo SKU di Firewall di Azure appropriato. | Firewall di Azure possono essere distribuiti in tre SKU diversi: Basic, Standard e Premium. Firewall di Azure Premium è consigliabile proteggere applicazioni altamente sensibili (ad esempio l'elaborazione dei pagamenti). Firewall di Azure Standard è consigliabile per i clienti che cercano firewall di livello 3-Livello 7 e richiede la scalabilità automatica per gestire i periodi di traffico di picco di fino a 30 Gbps. Firewall di Azure Basic è consigliato per i clienti SMB con esigenze di velocità effettiva di 250 Mbps. Se necessario, eseguire il downgrade o l'aggiornamento è possibile tra Standard e Premium come documentato qui. Per altre informazioni, vedere Scegliere lo SKU Firewall di Azure appropriato per soddisfare le proprie esigenze. |
| Arrestare Firewall di Azure distribuzioni che non devono essere eseguite per 24x7. | È possibile che siano presenti ambienti di sviluppo o test usati solo durante l'orario di lavoro. Per altre informazioni, vedere Deallocate and allocate Firewall di Azure. |
| Condividere la stessa istanza di Firewall di Azure tra più carichi di lavoro e reti virtuali di Azure. | È possibile usare un'istanza centrale di Firewall di Azure nella rete virtuale hub o rete WAN virtuale hub sicuro e condividere lo stesso firewall in molte reti virtuali spoke connesse allo stesso hub dalla stessa area. Assicurarsi che non sia presente alcun traffico tra aree impreviste come parte della topologia hub-spoke. |
| Esaminare regolarmente il traffico elaborato da Firewall di Azure e cercare ottimizzazioni del carico di lavoro di origine | Il log dei flussi principali (noto nel settore come Flussi grassi), mostra le connessioni principali che contribuiscono alla velocità effettiva più elevata tramite il firewall. È consigliabile esaminare regolarmente il traffico elaborato dal Firewall di Azure e cercare possibili ottimizzazioni per ridurre la quantità di traffico che attraversa il firewall. |
| Esaminare le istanze di Firewall di Azure usate in uso. Identificare ed eliminare distribuzioni di Firewall di Azure inutilizzate. | Per identificare le distribuzioni di Firewall di Azure inutilizzate, iniziare analizzando le metriche di monitoraggio e le unità definite dall'utente associate alle subnet che puntano all'INDIRIZZO IP privato del firewall. Combinare queste informazioni con altre convalida, ad esempio se l'istanza di Firewall di Azure dispone di regole (classica) per NAT, Rete e Applicazione o anche se l'impostazione proxy DNS è configurata su Disabilitata e con documentazione interna sull'ambiente e le distribuzioni. È possibile rilevare le distribuzioni che sono convenienti nel tempo. Per altre informazioni sul monitoraggio dei log e delle metriche, vedere Firewall di Azure Monitorare i log e le metriche e l'utilizzo delle porteSNAT. |
| Usare Firewall di Azure Manager e i relativi criteri per ridurre i costi operativi, aumentare l'efficienza e ridurre il sovraccarico di gestione. | Esaminare attentamente i criteri, le associazioni e l'ereditarietà di Gestione firewall. I criteri vengono fatturati in base alle associazioni di firewall. I criteri con una o zero associazioni di firewall sono gratuiti. I criteri con più associazioni di firewall vengono fatturati a tariffa fissa. Per altre informazioni, vedere Prezzi - Firewall di Azure Manager. |
| Eliminare gli indirizzi IP pubblici inutilizzati. | Verificare se tutti gli indirizzi IP pubblici associati sono in uso. Se non sono in uso, disassociare ed eliminarli. Valutare l'utilizzo della porta SNAT prima di rimuovere eventuali indirizzi IP. Si userà solo il numero di indirizzi IP pubblici necessari per il firewall. Per altre informazioni, vedere Monitorare Firewall di Azure log e metriche eutilizzo delle porte SNAT. |
| Esaminare i requisiti di registrazione. | Firewall di Azure ha la possibilità di registrare in modo completo i metadati di tutto il traffico visualizzato, alle aree di lavoro log analytics, all'archiviazione o alle soluzioni di terze parti tramite Hub eventi. Tuttavia, tutte le soluzioni di registrazione comportano costi per l'elaborazione e l'archiviazione dei dati. In volumi molto grandi questi costi possono essere significativi, un approccio conveniente e un'alternativa a Log Analytics devono essere considerati e stimati costi. Valutare se è necessario registrare i metadati del traffico per tutte le categorie di registrazione e modificare in Impostazioni di diagnostica, se necessario. |
Per altri suggerimenti, vedere Elenco di controllo della revisione della progettazione per Ottimizzazione costi.
Azure Advisor aiuta a garantire e migliorare la continuità delle applicazioni aziendali critiche. Esaminare i consigli di Azure Advisor.
Eccellenza operativa
Il monitoraggio e la diagnostica sono fondamentali. È possibile misurare le statistiche delle prestazioni e le metriche per risolvere e risolvere rapidamente i problemi.
Elenco di controllo della progettazione
Quando si apportano scelte di progettazione per Firewall di Azure, esaminare i principi di progettazione per l'eccellenza operativa.
- Gestire l'inventario e il backup di Firewall di Azure configurazione e criteri.
- Sfruttare i log di diagnostica per il monitoraggio del firewall e la risoluzione dei problemi.
- Sfruttare Firewall di Azure cartella di lavoro monitoraggio.
- Esaminare regolarmente le informazioni dettagliate e l'analisi dei criteri.
- Integrare Firewall di Azure con Microsoft Defender per Cloud e Microsoft Sentinel.
Consigli
Esplorare la tabella seguente di consigli per ottimizzare la configurazione Firewall di Azure per l'eccellenza operativa.
| Recommendation | Vantaggi |
|---|---|
| Non usare Firewall di Azure per il controllo del traffico tra reti virtuali. | Firewall di Azure deve essere usato per controllare il traffico tra reti virtuali, tra reti virtuali e reti locali, traffico in uscita verso Internet e traffico non HTTP/s in ingresso. Per il controllo del traffico tra reti virtuali, è consigliabile usare gruppi di sicurezza di rete. |
| Gestire i backup regolari degli artefatti Criteri di Azure. | Se l'approccio IaC (Infrastructure-as-Code) viene usato per mantenere Firewall di Azure e tutte le dipendenze, è necessario eseguire il backup e il controllo delle versioni dei criteri di Firewall di Azure. In caso contrario, un meccanismo complementare basato su app per la logica esterna può essere distribuito per automatizzare e fornire una soluzione efficace. |
| Abilitare i log di diagnostica per Firewall di Azure. | I log di diagnostica sono un componente chiave per molti strumenti di monitoraggio e strategie per Firewall di Azure e devono essere abilitati. È possibile monitorare Firewall di Azure usando i log del firewall o le cartelle di lavoro. È anche possibile usare i log attività per le operazioni di controllo sulle risorse di Firewall di Azure. |
| Usare il formato Log firewall strutturati . | I log del firewall strutturato sono un tipo di dati di log organizzati in un nuovo formato specifico. Utilizzano uno schema predefinito per strutturare i dati di log in modo da semplificare la ricerca, il filtro e l'analisi. Gli strumenti di monitoraggio più recenti si basano su questo tipo di log, pertanto è spesso un prerequisito. Usare il formato log di diagnostica precedente solo se è presente uno strumento esistente con un prerequisito su tale. Non abilitare entrambi i formati di registrazione contemporaneamente. |
| Usare la cartella di lavoro di monitoraggio predefinita Firewall di Azure. | Firewall di Azure'esperienza del portale include ora una nuova cartella di lavoro nell'interfaccia utente della sezione Monitoraggio, un'installazione separata non è più necessaria. Con la Firewall di Azure Cartella di lavoro, è possibile estrarre informazioni dettagliate preziose dagli eventi Firewall di Azure, esaminare le regole di applicazione e di rete ed esaminare le statistiche relative alle attività del firewall tra URL, porte e indirizzi. |
| Monitorare le metriche chiave e creare avvisi per gli indicatori dell'utilizzo della capacità di Firewall di Azure. | Gli avvisi devono essere creati per monitorare almeno velocità effettiva, stato di integrità del firewall, utilizzo delle porte SNAT e metriche probe di latenza AZFW . Per informazioni sul monitoraggio dei log e delle metriche, vedere Monitorare i log e le metriche Firewall di Azure. |
| Configurare Firewall di Azure integrazione con Microsoft Defender per Cloud e Microsoft Sentinel. | Se questi strumenti sono disponibili nell'ambiente, è consigliabile sfruttare l'integrazione con Microsoft Defender per le soluzioni Cloud e Microsoft Sentinel. Con Microsoft Defender per l'integrazione cloud, è possibile visualizzare lo stato di tutti gli stati dell'infrastruttura di rete e della sicurezza di rete in un'unica posizione, tra cui Sicurezza di rete di Azure in tutte le reti virtuali e hub virtuali distribuiti in aree diverse in Azure. L'integrazione con Microsoft Sentinel offre funzionalità di rilevamento e prevenzione delle minacce. |
| Esaminare regolarmente il dashboard di Analisi dei criteri per identificare potenziali problemi. | Analisi dei criteri è una nuova funzionalità che fornisce informazioni dettagliate sull'impatto dei criteri di Firewall di Azure. Consente di identificare potenziali problemi (che colpiscono i limiti dei criteri, le regole di utilizzo ridotte, le regole ridondanti, le regole troppo generico, la raccomandazione sull'utilizzo dei gruppi IP) nei criteri e fornisce raccomandazioni per migliorare il comportamento di sicurezza e le prestazioni di elaborazione delle regole. |
| Acquisire familiarità con le query KQL (Linguaggio di query Kusto) per consentire un'analisi rapida e la risoluzione dei problemi usando i log di Firewall di Azure. | Le query di esempio vengono fornite per Firewall di Azure. Tali funzionalità consentono di identificare rapidamente ciò che accade all'interno del firewall e verificare quale regola è stata attivata o quale regola consente/blocca una richiesta. |
Azure Advisor aiuta a garantire e migliorare la continuità delle applicazioni aziendali critiche. Esaminare i consigli di Azure Advisor.
Efficienza delle prestazioni
L'efficienza delle prestazioni è la capacità del carico di lavoro di ridimensionarsi in modo efficiente per soddisfare in modo efficiente le esigenze richieste dagli utenti.
Elenco di controllo della progettazione
Quando si apportano scelte di progettazione per Firewall di Azure, esaminare i principi di progettazione per l'efficienza delle prestazioni.
- Esaminare e ottimizzare regolarmente le regole del firewall.
- Esaminare i requisiti dei criteri e le opportunità per riepilogare gli intervalli IP e l'elenco degli URL.
- Valutare i requisiti delle porte SNAT.
- Pianificare i test di carico per testare le prestazioni di scalabilità automatica nell'ambiente.
- Non abilitare strumenti di diagnostica e registrazione se non necessario.
Consigli
Esplorare la tabella seguente delle raccomandazioni per ottimizzare la configurazione Firewall di Azure per l'efficienza delle prestazioni.
| Recommendation | Vantaggi |
|---|---|
| Usare il dashboard di Analisi dei criteri per identificare potenziali ottimizzazioni per i criteri del firewall. | Analisi dei criteri è una nuova funzionalità che fornisce informazioni dettagliate sull'impatto dei criteri di Firewall di Azure. Consente di identificare potenziali problemi (che colpiscono i limiti dei criteri, le regole di utilizzo ridotte, le regole ridondanti, le regole troppo generico, la raccomandazione sull'utilizzo dei gruppi IP) nei criteri e fornisce raccomandazioni per migliorare il comportamento di sicurezza e le prestazioni di elaborazione delle regole. |
| Per i criteri del firewall con set di regole di grandi dimensioni, inserire le regole usate più frequentemente nel gruppo per ottimizzare la latenza. | Le regole vengono elaborate in base al tipo di regola, all'ereditarietà, alla priorità del gruppo di raccolta regole e alla priorità della raccolta regole. I gruppi di raccolta regole con priorità massima vengono elaborati prima. All'interno di un gruppo di raccolte regole, le raccolte regole con priorità massima vengono elaborate prima. L'inserimento delle regole più usate più alto nel set di regole ottimizza la latenza di elaborazione. Come vengono elaborate e valutate le regole in questo articolo. |
| Usare gruppi IP per riepilogare gli intervalli di indirizzi IP. | È possibile usare gruppi IP per riepilogare gli intervalli IP, pertanto non si supera il limite di regole di rete di origine/destinazione univoce. Per ogni regola, Azure moltiplica le porte per indirizzi IP. Quindi, se si dispone di una regola con quattro intervalli di indirizzi IP e cinque porte, si useranno 20 regole di rete. Il gruppo IP viene considerato come un singolo indirizzo allo scopo di creare regole di rete. |
| Prendere in considerazione categorie Web per consentire o negare l'accesso in uscita in blocco. | Invece di creare in modo esplicito e mantenere un elenco lungo di siti Internet pubblici, prendere in considerazione l'utilizzo di Firewall di Azure categorie Web. Questa funzionalità categorizzerà dinamicamente il contenuto Web e consentirà la creazione di regole applicazione compattate. |
| Valutare l'impatto sulle prestazioni dell'IDPS nella modalità Avviso e negazione . | Se è necessario Firewall di Azure per operare in modalità IDPSAvviso e negare, considerare attentamente l'impatto sulle prestazioni come documentato in questa pagina. |
| Valutare il potenziale problema di esaurimento della porta SNAT. | Firewall di Azure supporta attualmente 2496 porte per ogni indirizzo IP pubblico per ogni istanza del set di scalabilità di macchine virtuali back-end. Per impostazione predefinita, sono disponibili due istanze del set di scalabilità di macchine virtuali. Esistono quindi 4992 porte per indirizzo IP di destinazione del flusso, porta di destinazione e protocollo (TCP o UDP). Il firewall aumenta fino a un massimo di 20 istanze. È possibile aggirare i limiti configurando Firewall di Azure distribuzioni con almeno cinque indirizzi IP pubblici per le distribuzioni soggetti all'esaurimento di SNAT. |
| Riscaldamento corretto Firewall di Azure prima di qualsiasi test delle prestazioni. | Creare il traffico iniziale che non fa parte dei test di carico 20 minuti prima del test. Usare le impostazioni di diagnostica per acquisire eventi di scalabilità e scalabilità orizzontale. È possibile usare il servizio Test di carico di Azure per generare il traffico iniziale. Consente all'istanza di Firewall di Azure di aumentare le istanze al massimo. |
| Configurare una subnet Firewall di Azure (AzureFirewallSubnet) con uno spazio indirizzi /26. | Firewall di Azure è una distribuzione dedicata nella rete virtuale. All'interno della rete virtuale è necessaria una subnet dedicata per l'istanza di Firewall di Azure. Firewall di Azure effettua il provisioning di una maggiore capacità durante la scalabilità. Uno spazio indirizzi /26 per le subnet garantisce che il firewall disponga di indirizzi IP sufficienti per supportare il ridimensionamento. Firewall di Azure non ha bisogno di una subnet maggiore di/26. Il nome della subnet Firewall di Azure deve essere AzureFirewallSubnet. |
| Non abilitare la registrazione avanzata se non richiesto | Firewall di Azure offre alcune funzionalità di registrazione avanzate che possono essere costose per mantenere sempre attive. Devono invece essere usati solo per scopi di risoluzione dei problemi e limitati in durata, quindi disabilitati quando non sono più necessari. Ad esempio, i flussi principali e i log di traccia del flusso sono costosi possono causare un utilizzo eccessivo della CPU e dell'archiviazione nell'infrastruttura Firewall di Azure. |
Azure Advisor aiuta a garantire e migliorare la continuità delle applicazioni aziendali critiche. Esaminare i consigli di Azure Advisor.
Raccomandazioni di Azure Advisor
Azure Advisor è un consulente cloud personalizzato che facilita l'applicazione delle procedure consigliate per ottimizzare le distribuzioni di Azure. Non esiste ancora Firewall di Azure raccomandazione specifica di Advisor. Alcune raccomandazioni generali possono essere applicate per migliorare l'affidabilità, la sicurezza, l'efficacia dei costi, le prestazioni e l'eccellenza operativa.
- Creare avvisi relativi all'integrità dei servizi di Azure per ricevere una notifica quando si verificano problemi di Azure
- Verificare di poter consultare gli esperti di cloud di Azure quando necessario
- Abilitare Analisi del traffico per visualizzare informazioni dettagliate sui modelli di traffico nelle risorse di Azure
- Seguire un'amministrazione sufficiente (principio di privilegi minimi)
- Proteggere le risorse di rete con Microsoft Defender per cloud
Risorse aggiuntive
- Documentazione di Firewall di Azure
- Che cos'è Gestione firewall di Azure?
- Firewall di Azure limiti del servizio, quote e vincoli
- Baseline di sicurezza di Azure per Firewall di Azure
Linee guida del Centro architetture di Azure
- Panoramica dell'architettura di Firewall di Azure
- Usare Firewall di Azure per proteggere un cluster servizio Azure Kubernetes (AKS)
- Usare Firewall di Azure per proteggere le distribuzioni di Desktop virtuale di Azure
- Usare Firewall di Azure per proteggere Office 365
- Topologia di rete hub-spoke in Azure
- Rete Zero Trust per le applicazioni Web con Firewall di Azure e gateway applicazione
- Implementare una rete ibrida sicura
- Applicazione Web con protezione avanzata di rete e connettività privata agli archivi dati PaaS
Passaggio successivo
Distribuire un'istanza di Firewall di Azure per vedere come funziona:
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per