Firewall di Azure Premium funzionalità

Logo di certificazione ICSA Logo di certificazione PCI

Firewall di Azure Premium è un firewall di nuova generazione con funzionalità necessarie per ambienti altamente sensibili e regolamentati.

Firewall di Azure Premium diagramma di panoramica

Firewall di Azure Premium usa Criteri firewall, una risorsa globale che può essere usata per gestire centralmente i firewall usando Gestione firewall di Azure. A partire da questa versione, tutte le nuove funzionalità sono configurabili solo tramite Criteri firewall. Le regole del firewall (versione classica) continuano a essere supportate e possono essere usate per configurare le funzionalità del firewall standard esistenti. I criteri firewall possono essere gestiti in modo indipendente o con Gestione firewall di Azure. Un criterio firewall associato a un singolo firewall non ha alcun addebito.

Firewall di Azure Premium include le funzionalità seguenti:

  • Ispezione TLS: decrittografa il traffico in uscita, elabora i dati, quindi crittografa i dati e li invia alla destinazione.
  • IDPS: un sistema di rilevamento e prevenzione delle intrusioni di rete consente di monitorare le attività di rete per rilevare attività dannose, registrare informazioni su questa attività, segnalarla e, facoltativamente, tentare di bloccarla.
  • Filtro URL: estende la Firewall di Azure di filtro FQDN del servizio per prendere in considerazione un intero URL. Ad esempio, www.contoso.com/a/c anziché www.contoso.com .
  • Categorie Web: gli amministratori possono consentire o negare l'accesso utente a categorie di siti Web, ad esempio siti Web di siti Web, siti Web di social media e altri.

Ispezione TLS

Firewall di Azure Premium termina le connessioni TLS in uscita e verso est-ovest. L'ispezione TLS in ingresso è supportata con gateway applicazione di Azure che consente la crittografia end-to-end. Firewall di Azure esegue le funzioni di sicurezza a valore aggiunto necessarie e crittografa nuovamente il traffico inviato alla destinazione originale.

Suggerimento

TLS 1.0 e 1.1 sono deprecati e non saranno supportati. Le versioni TLS 1.0 e 1.1 di TLS/Secure Sockets Layer (SSL) sono state trovate vulnerabili e, anche se attualmente funzionano per consentire la compatibilità con le versioni precedenti, non sono consigliate. Eseguire la migrazione a TLS 1.2 appena possibile.

Per altre informazioni sui requisiti Firewall di Azure Premium certificato ca intermedio, vedere Firewall di Azure Premium certificati.

Sfollati

Un sistema di rilevamento e prevenzione delle intrusioni di rete (IDPS) consente di monitorare la rete per rilevare attività dannose, registrare informazioni su questa attività, segnalarla e, facoltativamente, tentare di bloccarla.

Firewall di Azure Premium offre idPS basati su firma per consentire il rilevamento rapido di attacchi cercando modelli specifici, ad esempio sequenze di byte nel traffico di rete o sequenze di istruzioni dannose note usate da malware. Le firme IDPS sono applicabili sia al traffico a livello di applicazione che di rete (livelli 4-7), sono completamente gestite e aggiornate continuamente. Il servizio IDPS può essere applicato al traffico in ingresso, da spoke a spoke (Est-Ovest) e al traffico in uscita.

Le Firewall di Azure/set di regole seguenti includono:

  • Particolare attenzione all'impronta digitale del malware effettivo, ai comandi e al controllo, ai kit di exploit e alle attività dannose non sfruttate dai metodi di prevenzione tradizionali.
  • Oltre 35.000 regole in oltre 50 categorie.
    • Le categorie includono comando e controllo malware, attacchi DoS, botnet, eventi in informazioni, exploit, vulnerabilità, protocolli di rete SCADA, attività del kit di exploit e altro ancora.
  • Ogni giorno vengono rilasciate più di 20-40 nuove regole.
  • Bassa classificazione di falsi positivi tramite sandbox di malware all'avanguardia e ciclo di feedback della rete dei sensori globale.

IDPS consente di rilevare gli attacchi in tutte le porte e i protocolli per il traffico non crittografato. Tuttavia, quando è necessario ispezionare il traffico HTTPS, Firewall di Azure possibile usare la funzionalità di ispezione TLS per decrittografare il traffico e rilevare meglio le attività dannose.

L'elenco di bypass IDPS consente di non filtrare il traffico verso gli indirizzi IP, gli intervalli e le subnet specificati nell'elenco di bypass.

È anche possibile usare le regole di firma quando la modalità IDPS è impostata su Avviso, ma è necessario bloccare una o più firme specifiche, incluso il traffico associato. In questo caso, è possibile aggiungere nuove regole di firma impostando la modalità di ispezione TLS su deny.

Filtro degli URL

Il filtro URL estende Firewall di Azure di filtro FQDN del servizio per prendere in considerazione un intero URL. Ad esempio, www.contoso.com/a/c anziché www.contoso.com .

Il filtro URL può essere applicato sia al traffico HTTP che al traffico HTTPS. Quando il traffico HTTPS viene controllato, Firewall di Azure Premium possibile usare la funzionalità di ispezione TLS per decrittografare il traffico ed estrarre l'URL di destinazione per verificare se l'accesso è consentito. L'ispezione TLS richiede il consenso esplicito a livello di regola dell'applicazione. Una volta abilitato, è possibile usare gli URL per filtrare con HTTPS.

Categorie Web

Le categorie Web consentono agli amministratori di consentire o negare l'accesso utente a categorie di siti Web, ad esempio siti Web di siti Web, siti Web di social media e altro ancora. Le categorie Web verranno incluse anche in Firewall di Azure Standard, ma saranno ottimizzate in modo più Firewall di Azure Premium. A differenza della funzionalità Categorie Web nello SKU Standard che corrisponde alla categoria in base a un nome di dominio completo, lo SKU Premium corrisponde alla categoria in base all'intero URL per il traffico HTTP e HTTPS.

Ad esempio, se Firewall di Azure intercetta una richiesta HTTPS per www.google.com/news , è prevista la categorizzazione seguente:

  • Firewall Standard: verrà esaminata solo la parte FQDN, www.google.com quindi verrà categorizzata come motore di ricerca.

  • Firewall Premium: verrà esaminato l'URL completo, quindi www.google.com/news verrà categorizzato come News.

Le categorie sono organizzate in base alla gravità in Responsabilità, Larghezza di banda elevata, Uso aziendale, Perdita di produttività, Navigazione generale e Senza categoria. Per una descrizione dettagliata delle categorie Web, vedere Firewall di Azure web.

Registrazione di categorie Web

È possibile visualizzare il traffico filtrato in base alle categorie Web nei log applicazioni. Il campo Categorie Web viene visualizzato solo se è stato configurato in modo esplicito nelle regole dell'applicazione dei criteri del firewall. Ad esempio, se non si dispone di una regola che nega in modo esplicito i motori di ricerca e un utente richiede di passare a www.bing.com, viene visualizzato solo un messaggio di rifiuto predefinito anziché un messaggio categorie Web. Ciò è dovuto al fatto che la categoria Web non è stata configurata in modo esplicito.

Eccezioni di categoria

È possibile creare eccezioni alle regole di categoria Web. Creare una raccolta di regole di autorizzazione o negazione separata con una priorità più alta all'interno del gruppo di raccolta regole. Ad esempio, è possibile configurare una raccolta regole che consente con priorità 100, con una raccolta di regole che nega www.linkedin.com social networking con priorità 200. Verrà creata l'eccezione per la categoria Web di social networking predefinita.

Aree supportate

Firewall di Azure Premium è supportato nelle aree seguenti:

  • Australia centrale (pubblica/Australia)
  • Australia centrale 2 (pubblica/Australia)
  • Australia orientale (pubblico/Australia)
  • Australia sud-orientale (pubblico/Australia)
  • Brasile meridionale (pubblico/Brasile)
  • Canada centrale (pubblico/Canada)
  • Canada orientale (pubblico/Canada)
  • India centrale (pubblico/India)
  • Stati Uniti centrali (pubblico/Stati Uniti)
  • Stati Uniti centrali (EUAP) (Pubblico/Canary (USA))
  • Asia orientale (pubblico/Asia Pacifico)
  • Stati Uniti orientali (pubblico/Stati Uniti)
  • Stati Uniti orientali 2 (pubblico/Stati Uniti)
  • Francia centrale (pubblico/Francia)
  • Francia meridionale (pubblica/Francia)
  • Germania centro-occidentale (pubblico/Germania)
  • Giappone orientale (pubblico/Giappone)
  • Giappone occidentale (pubblico/Giappone)
  • Corea centrale (pubblica/Corea)
  • Corea meridionale (pubblica/Corea)
  • Stati Uniti centro-settersi (pubblico/Stati Uniti)
  • Europa settentrionale (pubblico/Europa)
  • Norvegia orientale (pubblica/Norvegia)
  • Sudafrica settentrionale (pubblico/Sudafrica)
  • Stati Uniti centro-meridionali (pubblico/Stati Uniti)
  • India meridionale (pubblico/India)
  • Asia sud-orientale (pubblico/Asia Pacifico)
  • Svizzera settentrionale (pubblica/Svizzera)
  • Emirati Arabi Uniti centrali (pubblico/Emirati Uniti)
  • Emirati Arabi Uniti settentrionali (pubblico/Emirati Uniti)
  • Regno Unito meridionale (pubblico/Regno Unito)
  • Regno Unito occidentale (pubblico/Regno Unito)
  • Stati Uniti centro-occidentali (pubblico/Stati Uniti)
  • Europa occidentale (pubblico/Europa)
  • India occidentale (pubblico/India)
  • Stati Uniti occidentali (pubblico/Stati Uniti)
  • Stati Uniti occidentali 2 (pubblico/Stati Uniti)
  • Stati Uniti occidentali 3 (pubblico/Stati Uniti)

Problemi noti

Firewall di Azure Premium presenta i problemi noti seguenti:

Problema Descrizione Strategia di riduzione del rischio
Supporto ESNI per la risoluzione fqdn in HTTPS SNI crittografato non è supportato nell'handshake HTTPS. Attualmente solo Firefox supporta ESNI tramite la configurazione personalizzata. La soluzione alternativa consigliata consiste nel disabilitare questa funzionalità.
Certificati client (TLS) I certificati client vengono usati per creare un trust di identità reciproco tra il client e il server. I certificati client vengono usati durante una negoziazione TLS. Firewall di Azure rinegozia una connessione con il server e non ha accesso alla chiave privata dei certificati client. Nessuno
QUIC/HTTP3 QUIC è la nuova versione principale di HTTP. Si tratta di un protocollo basato su UDP su 80 (PLAN) e 443 (SSL). L'ispezione FQDN/URL/TLS non sarà supportata. Configurare il passaggio di UDP 80/443 come regole di rete.
Certificati firmati da clienti non attendibili I certificati firmati dal cliente non sono considerati attendibili dal firewall dopo la ricezione da un server Web basato su Intranet. È in corso la ricerca di una correzione.
Indirizzo IP di origine errato negli avvisi con IDPS per HTTP (senza ispezione TLS). Quando il traffico HTTP in testo normale è in uso e IDPS invia un nuovo avviso e la destinazione è un indirizzo IP pubblico, l'indirizzo IP di origine visualizzato non è corretto (viene visualizzato l'indirizzo IP interno anziché l'indirizzo IP originale). È in corso la ricerca di una correzione.
Propagazione certificati Dopo l'applicazione di un certificato CA nel firewall, l'applicazione del certificato potrebbe richiedere da 5 a 10 minuti. È in corso la ricerca di una correzione.
Supporto di TLS 1.3 TLS 1.3 è parzialmente supportato. Il tunnel TLS dal client al firewall è basato su TLS 1.2 e dal firewall al server Web esterno è basato su TLS 1.3. È in corso l'analisi degli aggiornamenti.
Endpoint privato KeyVault KeyVault supporta l'accesso agli endpoint privati per limitare l'esposizione alla rete. I servizi di Azure attendibili possono ignorare questa limitazione se un'eccezione è configurata come descritto nella documentazione di KeyVault. Firewall di Azure non è attualmente elencato come servizio attendibile e non può accedere al Key Vault. È in corso la ricerca di una correzione.

Passaggi successivi