Azure Firewall Premium functies

  • Artikel
  • 8 minuten om te lezen

PCI-certificeringslogo voor ICSA-certificeringslogo

Azure Firewall Premium biedt geavanceerde beveiliging tegen bedreigingen die voldoet aan de behoeften van uiterst gevoelige en gereguleerde omgevingen, zoals de betalings- en gezondheidszorgsector.

Organisaties kunnen gebruikmaken van Premium SKU-functies (Stock Keeping Unit), zoals IDPS- en TLS-inspectie, om te voorkomen dat malware en virussen zich in zowel zijdig als horizontaal over netwerken verspreiden. Om te voldoen aan de verhoogde prestatieeisen van DEP- en TLS-inspectie, maakt Azure Firewall Premium gebruik van een krachtigere virtuele-machine-SKU. Net als bij de Standard-SKU kan de Premium-SKU naadloos worden geschaald tot 30 Gbps en worden geïntegreerd met beschikbaarheidszones ter ondersteuning van de SLA (Service Level Agreement) van 99,99 procent. De Premium-SKU voldoet aan de omgevingsbehoeften van de Payment Card Industry Data Security Standard (PCI DSS).

Azure Firewall Premium overzichtsdiagram

Azure Firewall Premium bevat de volgende functies:

  • TLS-inspectie: ontsleutelt uitgaand verkeer, verwerkt de gegevens, versleutelt de gegevens en verzendt deze naar de bestemming.
  • IDPS: met een netwerkindringingsdetectie- en -preventiesysteem (IDPS) kunt u netwerkactiviteiten controleren op schadelijke activiteiten, informatie over deze activiteit in een logboek leggen, rapporteren en optioneel proberen deze te blokkeren.
  • URL-filtering: breidt de FQDN-filtermogelijkheid van Azure Firewall uit om een volledige URL te overwegen. Bijvoorbeeld in www.contoso.com/a/c plaats van www.contoso.com .
  • Webcategorieën: beheerders kunnen gebruikerstoegang tot websitecategorieën, zoals websites voor websites op sociale media en andere, toestaan of weigeren.

TLS-inspectie

Azure Firewall Premium worden uitgaande en oost-west TLS-verbindingen beëindigd. Binnenkomende TLS-inspectie wordt ondersteund Azure Application Gateway end-to-end-versleuteling toestaat. Azure Firewall de vereiste beveiligingsfuncties met toegevoegde waarde en versleutelt het verkeer dat naar de oorspronkelijke bestemming wordt verzonden opnieuw.

Tip

TLS 1.0 en 1.1 worden afgeschaft en worden niet ondersteund. TLS 1.0- en 1.1-versies van TLS/Secure Sockets Layer (SSL) zijn kwetsbaar en hoewel ze nog steeds werken om achterwaartse compatibiliteit toe te staan, worden ze niet aanbevolen. Migreert zo snel mogelijk naar TLS 1.2.

Zie Certificaten Azure Firewall Premium voor meer informatie over de vereisten Azure Firewall Premium tussenliggende CA-certificaten.

ONTHEEMDEN

Met een netwerkindringingsdetectie- en preventiesysteem (IDPS) kunt u uw netwerk controleren op schadelijke activiteiten, informatie over deze activiteit in een logboek verzamelen, rapporteren en optioneel proberen het te blokkeren.

Azure Firewall Premium biedt op handtekeningen gebaseerde IDPS om snelle detectie van aanvallen mogelijk te maken door te zoeken naar specifieke patronen, zoals bytereeksen in netwerkverkeer of bekende schadelijke instructiereeksen die door malware worden gebruikt. De IDPS-handtekeningen zijn van toepassing op verkeer op zowel toepassings- als netwerkniveau (lagen 4-7), ze worden volledig beheerd en continu bijgewerkt. IDPS kunnen worden toegepast op inkomende, spoke-to-spoke -verkeer (Oost-West) en uitgaand verkeer.

De Azure Firewall/regelsets zijn onder andere:

  • De nadruk ligt op het fingerprinten van echte malware, opdracht en controle, exploit kits en in de wilde schadelijke activiteiten die worden gemist door traditionele preventiemethoden.
  • Meer dan 58.000 regels in meer dan 50 categorieën.
    • De categorieën omvatten malware command and control, phishing, Trojaanse paarden, botnets, informatiegebeurtenissen, aanvallen, beveiligingsproblemen, SCADA-netwerkprotocollen, Exploit Kit-activiteiten en meer.
  • Er worden elke dag meer dan 20 tot 40 nieuwe regels uitgebracht.
  • Lage fout-positieve waardering door gebruik te maken van de meest moderne sandbox voor malware en wereldwijde sensornetwerkfeedbacklus.

Met IDPS kunt u aanvallen detecteren in alle poorten en protocollen voor niet-versleuteld verkeer. Wanneer HTTPS-verkeer echter moet worden geïnspecteerd, Azure Firewall de TLS-inspectiefunctie gebruiken om het verkeer te ontsleutelen en schadelijke activiteiten beter te detecteren.

Met de idPS-bypasslijst kunt u geen verkeer filteren naar een van de IP-adressen, -adresbereiken en -subnetten die zijn opgegeven in de bypass-lijst.

Met idPS-handtekeningregels (preview) kunt u het volgende doen:

  • Pas een of meer handtekeningen aan en wijzig de modus in Uitgeschakeld, Waarschuwing of Waarschuwing en Weigeren.

    Als u bijvoorbeeld een fout-positief ontvangt wanneer een legitieme aanvraag wordt geblokkeerd door Azure Firewall vanwege een defecte handtekening, kunt u de handtekening-id uit de toepassingsregelslogboeken gebruiken en de IDPS-modus ervan op uitschakelen. Dit zorgt ervoor dat de 'foutieve' handtekening wordt genegeerd en het fout-positieve probleem wordt opgelost.

  • U kunt dezelfde procedure voor het afstemmen toepassen op handtekeningen waarmee te veel waarschuwingen met lage prioriteit worden gemaakt, waardoor de zichtbaarheid voor waarschuwingen met hoge prioriteit wordt verstoord.

  • Een holistische weergave van de volledige 55.000 handtekeningen krijgen

  • Slim zoeken

    Hiermee kunt u zoeken in de volledige handtekeningendatabase op elk type kenmerk. U kunt bijvoorbeeld zoeken naar een specifieke CVE-ID om te ontdekken welke handtekeningen voor deze CVE zorgen door gewoon de id in de zoekbalk te typen.

URL-filtering

URL-filtering breidt Azure Firewall FQDN-filtermogelijkheid uit om een volledige URL te overwegen. Bijvoorbeeld in www.contoso.com/a/c plaats van www.contoso.com .

URL-filtering kan zowel op HTTP- als HTTPS-verkeer worden toegepast. Wanneer HTTPS-verkeer wordt geïnspecteerd, Azure Firewall Premium de TLS-inspectiefunctie gebruiken om het verkeer te ontsleutelen en de doel-URL te extraheren om te valideren of toegang is toegestaan. TLS-inspectie vereist aanmelding op het niveau van de toepassingsregel. Zodra deze functie is ingeschakeld, kunt u URL's gebruiken om te filteren met HTTPS.

Webcategorieën

Met webcategorieën kunnen beheerders gebruikerstoegang tot websitecategorieën zoals websites, websites voor sociale media en andere toestaan of weigeren. Webcategorieën worden ook opgenomen in Azure Firewall Standard, maar deze worden beter afgestemd op Azure Firewall Premium. In tegenstelling tot de functie Webcategorieën in de Standaard-SKU die overeenkomt met de categorie op basis van een FQDN, komt de Premium-SKU overeen met de categorie op basis van de volledige URL voor zowel HTTP- als HTTPS-verkeer.

Als een Azure Firewall https-aanvraag voor onderschept, wordt de www.google.com/news volgende categorisatie verwacht:

  • Firewall Standard: alleen het FQDN-onderdeel wordt onderzocht, dus wordt www.google.com gecategoriseerd als zoekmachine.

  • Firewall Premium: de volledige URL wordt onderzocht, dus wordt www.google.com/news gecategoriseerd als Nieuws.

De categorieën zijn ingedeeld op basis van de ernst onder Aansprakelijkheid, Hoge bandbreedte, Zakelijk gebruik, Productiviteitsverlies, Algemene Gaan en Niet-gecategoriseerd. Zie webcategorieën voor een gedetailleerde beschrijving van Azure Firewall webcategorieën.

Logboekregistratie van webcategorie

U kunt verkeer dat is gefilterd op webcategorieën weergeven in de toepassingslogboeken. Het veld Webcategorieën wordt alleen weergegeven als het expliciet is geconfigureerd in de toepassingsregels voor uw firewallbeleid. Als u bijvoorbeeld geen regel hebt die zoekmachines expliciet weigert en een gebruiker vraagt om naar www.bing.com te gaan, wordt alleen een standaardbericht voor weigeren weergegeven in plaats van een bericht over webcategorieën. Dit komt doordat de webcategorie niet expliciet is geconfigureerd.

Categorie-uitzonderingen

U kunt uitzonderingen maken voor uw webcategorieregels. Maak een afzonderlijke regelverzameling voor toestaan of weigeren met een hogere prioriteit binnen de regelverzamelingsgroep. U kunt bijvoorbeeld een regelverzameling configureren die een regel met prioriteit 100 toestaat, met een regelverzameling die sociale netwerken met prioriteit www.linkedin.com 200 niet toestaat. Hiermee maakt u de uitzondering voor de vooraf gedefinieerde webcategorie Sociale netwerken.

U kunt bepalen welke categorie een bepaalde FQDN of URL is met behulp van de functie Webcategoriecontrole. Als u dit wilt gebruiken, selecteert u het tabblad Webcategorieën onder Firewallbeleid Instellingen. Dit is met name handig bij het definiëren van uw toepassingsregels voor doelverkeer.

Dialoogvenster firewallcategorie zoeken

Categoriewijziging

Op het tabblad Webcategorieën in firewallbeleid Instellingen kunt u een categorisatiewijziging aanvragen als u:

  • denkt dat een FQDN of URL onder een andere categorie moet vallen

    of

  • een voorgestelde categorie voor een niet-gecategoriseerde FQDN of URL hebben

Zodra u een rapport voor categoriewijziging hebt ingediend, krijgt u een token in de meldingen die aangeven dat we de aanvraag voor verwerking hebben ontvangen. U kunt controleren of de aanvraag wordt uitgevoerd, geweigerd of goedgekeurd door het token in de zoekbalk in te geven. Sla uw token-id op om dit te doen.

Dialoogvenster Firewallcategorierapport

Ondersteunde regio’s

Azure Firewall Premium wordt ondersteund in de volgende regio's:

  • Australië - centraal (openbaar/Australië)
  • Australië - centraal 2 (openbaar/Australië)
  • Australië - oost (openbaar/Australië)
  • Australië - zuidoost (openbaar/Australië)
  • Brazilië - zuid (openbaar/Brazilië)
  • Brazilië - zuidoost (openbaar/Brazilië)
  • Canada - centraal (openbaar/Canada)
  • Canada - oost (openbaar/Canada)
  • India - centraal (openbaar/India)
  • VS - centraal (openbaar/Verenigde Staten)
  • VS - centraal EUAP (Openbaar/Canary (VS))
  • China - noord 2 (Mooncake/China)
  • China - oost 2 (Mooncake/China)
  • Azië - oost (openbaar/Azië en Stille Oceaan)
  • VS - oost (openbaar/Verenigde Staten)
  • VS - oost 2 (openbaar/Verenigde Staten)
  • Frankrijk - centraal (Openbaar/Frankrijk)
  • Frankrijk - zuid (Openbaar/Frankrijk)
  • Duitsland - west-centraal (Openbaar/Duitsland)
  • Japan - oost (openbaar/Japan)
  • Japan - west (openbaar/Japan)
  • Korea - centraal (openbaar/Korea)
  • Korea - zuid (openbaar/Korea)
  • VS - noord-centraal (openbaar/Verenigde Staten)
  • Europa - noord (openbaar/Europa)
  • Noorwegen - oost (Openbaar/Noorwegen)
  • Zuid-Afrika - noord (openbaar/Zuid-Afrika)
  • VS - zuid-centraal (openbaar/Verenigde Staten)
  • India - zuid (openbaar/India)
  • Azië - zuidoost (openbaar/Azië en Stille Oceaan)
  • Zwitserland - noord (openbaar/Zwitserland)
  • VAE - centraal (openbaar/VAE)
  • VAE - noord (openbaar/VAE)
  • VK - zuid (openbaar/Verenigd Koninkrijk)
  • VK - west (openbaar/Verenigd Koninkrijk)
  • USGov Arizona (Fairfax/USGov)
  • USGov Texas (Fairfax /USGov)
  • USGov Virginia (Fairfax /USGov)
  • VS - west-centraal (openbaar/Verenigde Staten)
  • Europa - west (openbaar/Europa)
  • India - west (openbaar/India)
  • VS - west (openbaar/Verenigde Staten)
  • VS - west 2 (openbaar/Verenigde Staten)
  • VS - west 3 (openbaar/Verenigde Staten)

Bekende problemen

Azure Firewall Premium heeft de volgende bekende problemen:

Probleem Beschrijving Oplossing
ESNI-ondersteuning voor FQDN-resolutie in HTTPS Versleutelde SNI wordt niet ondersteund in HTTPS-handshake. Momenteel biedt alleen Firefox ondersteuning voor ESNI via aangepaste configuratie. Voorgestelde tijdelijke oplossing is om deze functie uit te schakelen.
Clientcertificaten (TLS) Clientcertificaten worden gebruikt om een wederzijdse identiteitsvertrouwensrelatie tussen de client en de server te bouwen. Clientcertificaten worden gebruikt tijdens een TLS-onderhandeling. Azure Firewall maakt verbinding met de server en heeft geen toegang tot de persoonlijke sleutel van de clientcertificaten. Geen
QUIC/HTTP3 QUIC is de nieuwe hoofdversie van HTTP. Het is een op UDP gebaseerd protocol via 80 (PLAN) en 443 (SSL). FQDN-/URL-/TLS-inspectie wordt niet ondersteund. Configureer het doorgeven van UDP 80/443 als netwerkregels.
Niet-vertrouwde door de klant ondertekende certificaten Door de klant ondertekende certificaten worden niet vertrouwd door de firewall zodra ze zijn ontvangen van een intranetgebaseerde webserver. Er wordt een oplossing onderzocht.
Onjuist BRON-IP-adres in Waarschuwingen met IDPS voor HTTP (zonder TLS-inspectie). Wanneer http-verkeer met tekst zonder tekst in gebruik is en IDPS een nieuwe waarschuwing geeft en de bestemming een openbaar IP-adres is, is het weergegeven bron-IP-adres onjuist (het interne IP-adres wordt weergegeven in plaats van het oorspronkelijke IP-adres). Er wordt een oplossing onderzocht.
Certificaat doorgeven Nadat een CA-certificaat is toegepast op de firewall, kan het 5-10 minuten duren voordat het certificaat van kracht wordt. Er wordt een oplossing onderzocht.
Ondersteuning voor TLS 1.3 TLS 1.3 wordt gedeeltelijk ondersteund. De TLS-tunnel van de client naar de firewall is gebaseerd op TLS 1.2 en van de firewall naar de externe webserver is gebaseerd op TLS 1.3. Updates worden onderzocht.
KeyVault-privé-eindpunt KeyVault ondersteunt toegang tot privé-eindpunten om de netwerkblootstelling te beperken. Vertrouwde Azure-services kunnen deze beperking omzeilen als een uitzondering is geconfigureerd zoals beschreven in de KeyVault-documentatie. Azure Firewall wordt momenteel niet vermeld als een vertrouwde service en heeft geen toegang tot de Key Vault. Er wordt een oplossing onderzocht.
Lijst met IDPS-bypasss IdPS Bypass-lijst biedt geen ondersteuning voor IP-groepen. Er wordt een oplossing onderzocht.

Volgende stappen