Azure Firewall Premium-functies
Azure Firewall Premium biedt geavanceerde bedreigingsbeveiliging die voldoet aan de behoeften van zeer gevoelige en gereguleerde omgevingen, zoals de betalings- en gezondheidszorgsector.
Organisaties kunnen SKU-functies (Stock-Keeping Unit) van Premium gebruiken, zoals IDPS- en TLS-inspectie om te voorkomen dat malware en virussen zich verspreiden over netwerken in zowel zijdelingse als horizontale richtingen. Azure Firewall Premium maakt gebruik van een krachtigere SKU voor virtuele machines om te voldoen aan de verhoogde prestatievereisten van IDPS- en TLS-inspectie. Net als de Standard-SKU kan de Premium-SKU naadloos worden geschaald tot 100 Gbps en worden geïntegreerd met beschikbaarheidszones ter ondersteuning van de SLA (Service Level Agreement) van 99,99 procent. De Premium SKU voldoet aan de behoeften van de PCI DSS-omgeving (Payment Card Industry Data Security Standard).
Azure Firewall Premium bevat de volgende functies:
- TLS-inspectie : ontsleutelt uitgaand verkeer, verwerkt de gegevens, versleutelt de gegevens en verzendt deze naar de bestemming.
- IDPS : met een netwerkinbraakdetectie en -preventiesysteem (IDPS) kunt u netwerkactiviteiten controleren op schadelijke activiteiten, informatie over deze activiteit vastleggen, rapporteren en eventueel proberen te blokkeren.
- URL-filtering : breidt de FQDN-filtermogelijkheid van Azure Firewall uit om een volledige URL samen met een extra pad te overwegen. Bijvoorbeeld,
www.contoso.com/a/cin plaats vanwww.contoso.com. - Webcategorieën : beheerders kunnen gebruikerstoegang tot websitecategorieën toestaan of weigeren, zoals gokwebsites, websites voor sociale media en anderen.
Als u Azure Firewall-functies voor alle firewall-SKU's wilt vergelijken, raadpleegt u De juiste Azure Firewall-SKU kiezen om aan uw behoeften te voldoen.
Inspectie van TLS
Het TLS-protocol (Transport Layer Security) biedt voornamelijk cryptografie voor privacy, integriteit en echtheid met behulp van certificaten tussen twee of meer communicerende toepassingen. Het wordt uitgevoerd in de toepassingslaag en wordt veel gebruikt om het HTTP-protocol te versleutelen.
Versleuteld verkeer heeft een mogelijk beveiligingsrisico en kan illegale gebruikersactiviteiten en schadelijk verkeer verbergen. Azure Firewall zonder TLS-inspectie (zoals wordt weergegeven in het volgende diagram) heeft geen inzicht in de gegevens die stromen in de versleutelde TLS-tunnel, zodat deze geen dekking voor volledige beveiliging kan bieden.
In het tweede diagram ziet u hoe Azure Firewall Premium TLS-verbindingen beëindigt en inspecteert om schadelijke activiteiten in HTTPS te detecteren, waarschuwen en beperken. De firewall maakt twee toegewezen TLS-verbindingen: een met de webserver (contoso.com) en een andere verbinding met de client. Met behulp van het door de klant opgegeven CA-certificaat genereert het een on-the-fly-certificaat, dat het webservercertificaat vervangt en het deelt met de client om de TLS-verbinding tussen de firewall en de client tot stand te brengen.
Azure Firewall zonder TLS-inspectie: 
Azure Firewall met TLS-inspectie: 
De volgende gebruiksvoorbeelden worden ondersteund met Azure Firewall:
Uitgaande TLS-inspectie
Ter bescherming tegen schadelijk verkeer dat wordt verzonden vanaf een interne client die wordt gehost in Azure naar internet.
TLS-inspectie oost-west (inclusief verkeer van/naar een on-premises netwerk)
Om uw Azure-workloads te beschermen tegen mogelijk schadelijk verkeer dat vanuit Azure wordt verzonden.
De volgende use case wordt ondersteund door Azure Web Application Firewall op Azure-toepassing Gateway:
Binnenkomende TLS-inspectie
Om interne servers of toepassingen die worden gehost in Azure te beschermen tegen schadelijke aanvragen die afkomstig zijn van internet of een extern netwerk. Application Gateway biedt end-to-end-versleuteling.
Zie voor verwante informatie:
Tip
TLS 1.0 en 1.1 worden afgeschaft en worden niet ondersteund. TLS 1.0- en 1.1-versies van TLS/Secure Sockets Layer (SSL) zijn kwetsbaar gebleken en hoewel ze momenteel nog steeds compatibiliteit met eerdere versies mogelijk maken, worden ze niet aanbevolen. Migreer zo snel mogelijk naar TLS 1.2.
Zie Azure Firewall Premium Premium-certificaten voor meer informatie over de vereisten voor tussenliggende CA-certificaten van Azure Firewall Premium.
Zie Een POC bouwen voor TLS-inspectie in Azure Firewall voor meer informatie over TLS-inspectie.
IDPS
Met een netwerkinbraakdetectie- en preventiesysteem (IDPS) kunt u uw netwerk controleren op schadelijke activiteiten, informatie over deze activiteit vastleggen, rapporteren en eventueel proberen het te blokkeren.
Azure Firewall Premium biedt op handtekeningen gebaseerde IDPS om snelle detectie van aanvallen mogelijk te maken door te zoeken naar specifieke patronen, zoals bytereeksen in netwerkverkeer of bekende schadelijke instructiereeksen die worden gebruikt door malware. De IDPS-handtekeningen zijn van toepassing op zowel toepassings- als netwerkverkeer (laag 3-7). Ze worden volledig beheerd en continu bijgewerkt. IDPS kan worden toegepast op inkomend, spoke-to-spoke (oost-west) en uitgaand verkeer. Spoke-to-spoke (Oost-West) omvat verkeer dat van/naar een on-premises netwerk gaat. U kunt uw privé-IP-adresbereiken voor IDPS configureren met behulp van de functie Privé-IP-adresbereiken . Zie IDPS Private IP-bereiken voor meer informatie.
De Azure Firewall-handtekeningen/regelsets omvatten:
- Een nadruk op het vingerafdruken van werkelijke malware, Command and Control, exploit kits, en in de wilde schadelijke activiteit gemist door traditionele preventiemethoden.
- Meer dan 67.000 regels in meer dan 50 categorieën.
- De categorieën omvatten malware-opdrachten en -controle, phishing, trojans, botnets, informatieve gebeurtenissen, aanvallen, beveiligingsproblemen, SCADA-netwerkprotocollen, exploit kit-activiteit en meer.
- Er worden elke dag 20 tot 40+ nieuwe regels uitgebracht.
- Lage fout-positieve waardering door gebruik te maken van geavanceerde malwaredetectietechnieken, zoals de feedbacklus van het wereldwijde sensornetwerk.
Met IDPS kunt u aanvallen detecteren in alle poorten en protocollen voor niet-versleuteld verkeer. Wanneer HTTPS-verkeer echter moet worden geïnspecteerd, kan Azure Firewall de TLS-inspectiefunctie gebruiken om het verkeer te ontsleutelen en schadelijke activiteiten beter te detecteren.
De idPS Bypass List is een configuratie waarmee u verkeer niet kunt filteren op een van de IP-adressen, bereiken en subnetten die zijn opgegeven in de bypass-lijst. De lijst IDPS Bypass is niet bedoeld als een manier om de doorvoerprestaties te verbeteren, omdat de firewall nog steeds onderhevig is aan de prestaties die aan uw use-case zijn gekoppeld. Zie De prestaties van Azure Firewall voor meer informatie.
PRIVÉ-IP-adresbereiken van IDPS
In Azure Firewall Premium IDPS worden privé-IP-adresbereiken gebruikt om te bepalen of verkeer binnenkomend, uitgaand of intern is (oost-west). Elke handtekening wordt toegepast op een specifieke verkeersrichting, zoals aangegeven in de tabel met handtekeningregels. Standaard worden alleen bereiken gedefinieerd door IANA RFC 1918 beschouwd als privé-IP-adressen. Verkeer dat vanuit een privé-IP-adresbereik naar een privé-IP-adresbereik wordt verzonden, wordt dus beschouwd als intern. Als u uw privé-IP-adressen wilt wijzigen, kunt u nu indien nodig eenvoudig bereiken bewerken, verwijderen of toevoegen.
IDPS-handtekeningregels
Met idPS-handtekeningregels kunt u het volgende doen:
Pas een of meer handtekeningen aan en wijzig de modus in Uitgeschakeld, Waarschuwing of Waarschuwing en Weigeren. Het maximum aantal aangepaste IDPS-regels mag niet groter zijn dan 10.000.
Als u bijvoorbeeld een fout-positief ontvangt waarbij een legitieme aanvraag wordt geblokkeerd door Azure Firewall vanwege een defecte handtekening, kunt u de handtekening-id uit de netwerkregelslogboeken gebruiken en de IDPS-modus instellen op uit. Dit zorgt ervoor dat de 'foutieve' handtekening wordt genegeerd en het fout-positieve probleem wordt opgelost.
U kunt dezelfde procedure voor het afstemmen toepassen op handtekeningen waarmee te veel waarschuwingen met lage prioriteit worden gemaakt, waardoor de zichtbaarheid voor waarschuwingen met hoge prioriteit wordt verstoord.
Krijg een holistische weergave van de meer dan 67.000 handtekeningen
Slim zoeken
Met deze actie kunt u de hele database met handtekeningen doorzoeken op elk type kenmerk. U kunt bijvoorbeeld zoeken naar specifieke CVE-id om te ontdekken welke handtekeningen voor deze CVE zorgen door de id in de zoekbalk te typen.
IdPS-handtekeningregels hebben de volgende eigenschappen:
| Kolom | Beschrijving |
|---|---|
| Handtekening-id | Interne id voor elke handtekening. Deze id wordt ook weergegeven in azure Firewall-netwerkregelslogboeken. |
| Modus | Geeft aan of de handtekening al dan niet actief is en of de firewall wordt verwijderd of waarschuwingen ontvangt bij overeenkomend verkeer. De onderstaande handtekeningmodus kan de IDPS-modus overschrijven - Uitgeschakeld: De handtekening is niet ingeschakeld op uw firewall. - Waarschuwing: u ontvangt waarschuwingen wanneer verdacht verkeer wordt gedetecteerd. - Waarschuwing en weigeren: u ontvangt waarschuwingen en verdacht verkeer wordt geblokkeerd. Er zijn slechts enkele handtekeningcategorieën gedefinieerd als Alleen waarschuwing. Daarom wordt verkeer dat overeenkomt met de handtekeningen standaard niet geblokkeerd, zelfs niet als de IDPS-modus is ingesteld op 'Waarschuwing en weigeren'. U kunt dit overschrijven door deze specifieke handtekeningen aan te passen aan de modus Waarschuwing en Weigeren . De idPS-handtekeningmodus wordt bepaald door een van de volgende redenen: 1. Gedefinieerd door beleidsmodus : handtekeningmodus is afgeleid van de IDPS-modus van het bestaande beleid. 2. Gedefinieerd door bovenliggend beleid: handtekeningmodus is afgeleid van de IDPS-modus van het bovenliggende beleid. 3. Overschreven: u kunt de handtekeningmodus overschrijven en aanpassen. 4. Gedefinieerd door Systeem - Handtekeningmodus is ingesteld op Alleen waarschuwen door het systeem vanwege de categorie. U kunt deze handtekeningmodus overschrijven. Opmerking: IDPS-waarschuwingen zijn beschikbaar in de portal via logboekquery voor netwerkregels. |
| Ernst | Elke handtekening heeft een gekoppeld ernstniveau en een toegewezen prioriteit die de kans aangeeft dat de handtekening een werkelijke aanval is. - Laag (prioriteit 3): een abnormale gebeurtenis is een gebeurtenis die normaal gesproken niet optreedt in een netwerk of informatieve gebeurtenissen worden vastgelegd. De kans op een aanval is laag. - Gemiddeld (prioriteit 2): De handtekening geeft een aanval van verdachte aard aan. De beheerder moet verder onderzoeken. - Hoog (prioriteit 1): De aanvalshandtekeningen geven aan dat een aanval van ernstige aard wordt gestart. Er is weinig kans dat de pakketten een legitiem doel hebben. |
| Richting | De verkeersrichting waarvoor de handtekening wordt toegepast. - Binnenkomend: De handtekening wordt alleen toegepast op verkeer dat afkomstig is van internet en bestemd is voor uw geconfigureerde privé-IP-adresbereik. - Uitgaand: De handtekening wordt alleen toegepast op verkeer dat vanaf uw geconfigureerde privé-IP-adresbereik naar internet wordt verzonden. - Intern: De handtekening wordt alleen toegepast op verkeer dat is verzonden van en bestemd is voor het geconfigureerde privé-IP-adresbereik. - Intern/inkomend: De handtekening wordt toegepast op verkeer dat afkomstig is van uw geconfigureerde privé-IP-adresbereik of van internet en bestemd is voor uw geconfigureerde privé-IP-adresbereik. - Intern/uitgaand: De handtekening wordt toegepast op verkeer dat wordt verzonden vanaf het geconfigureerde privé-IP-adresbereik en bestemd is voor het geconfigureerde privé-IP-adresbereik of internet. - Any: Handtekening wordt altijd toegepast op elke verkeersrichting. |
| Groep | De groepsnaam waartoe de handtekening behoort. |
| Beschrijving | Gestructureerd uit de volgende drie onderdelen: - Categorienaam: de categorienaam waartoe de handtekening behoort, zoals beschreven in azure Firewall IDPS-handtekeningregelcategorieën. - Beschrijving op hoog niveau van de handtekening - CVE-ID (optioneel) in het geval dat de handtekening is gekoppeld aan een specifieke CVE. |
| Protocol | Het protocol dat aan deze handtekening is gekoppeld. |
| Bron-/doelpoorten | De poorten die aan deze handtekening zijn gekoppeld. |
| Laatst bijgewerkt | De laatste datum waarop deze handtekening is geïntroduceerd of gewijzigd. |
Zie Azure Firewall IDPS gebruiken op een teststation voor meer informatie over IDPS.
URL-filtering
URL-filtering breidt de FQDN-filtermogelijkheid van Azure Firewall uit om een volledige URL te overwegen. Bijvoorbeeld, www.contoso.com/a/c in plaats van www.contoso.com.
URL-filtering kan zowel worden toegepast op HTTP- als HTTPS-verkeer. Wanneer HTTPS-verkeer wordt geïnspecteerd, kan Azure Firewall Premium de TLS-inspectiefunctie gebruiken om het verkeer te ontsleutelen en de doel-URL te extraheren om te controleren of toegang is toegestaan. Tls-inspectie vereist aanmelding op toepassingsregelniveau. Zodra deze optie is ingeschakeld, kunt u URL's gebruiken voor filteren met HTTPS.
Webcategorieën
Met webcategorieën kunnen beheerders gebruikerstoegang tot websitecategorieën toestaan of weigeren, zoals gokwebsites, websites voor sociale media en anderen. Webcategorieën zijn ook opgenomen in Azure Firewall Standard, maar deze zijn beter afgestemd op Azure Firewall Premium. In tegenstelling tot de mogelijkheid voor webcategorieën in de Standard-SKU die overeenkomt met de categorie op basis van een FQDN, komt de Premium-SKU overeen met de categorie volgens de volledige URL voor zowel HTTP- als HTTPS-verkeer.
Azure Firewall Premium-webcategorieën zijn alleen beschikbaar in firewallbeleid. Zorg ervoor dat uw beleids-SKU overeenkomt met de SKU van uw firewallexemplaren. Als u bijvoorbeeld een Firewall Premium-exemplaar hebt, moet u een Firewall Premium-beleid gebruiken.
Als Azure Firewall bijvoorbeeld een HTTPS-aanvraag www.google.com/newsonderschept, wordt de volgende categorisatie verwacht:
Firewall Standard: alleen het FQDN-onderdeel wordt onderzocht, dus
www.google.comwordt gecategoriseerd als zoekmachine.Firewall Premium: de volledige URL wordt onderzocht, dus
www.google.com/newswordt gecategoriseerd als Nieuws.
De categorieën zijn ingedeeld op basis van ernst onder aansprakelijkheid, hoge bandbreedte, zakelijk gebruik, productiviteitsverlies, algemeen surfen en niet-gecategoriseerd. Zie Azure Firewall-webcategorieën voor een gedetailleerde beschrijving van de webcategorieën.
Logboekregistratie van webcategorie
U kunt verkeer bekijken dat is gefilterd op webcategorieën in de toepassingslogboeken. Het veld Webcategorieën wordt alleen weergegeven als het expliciet is geconfigureerd in de toepassingsregels van uw firewallbeleid. Als u bijvoorbeeld geen regel hebt die zoekprogramma's expliciet weigert en een gebruiker vraagt om naar www.bing.com te gaan, wordt alleen een standaardbericht voor weigeren weergegeven in plaats van een bericht met webcategorieën. Dit komt doordat de webcategorie niet expliciet is geconfigureerd.
Categorie-uitzonderingen
U kunt uitzonderingen maken op uw webcategorieregels. Maak een afzonderlijke regelverzameling voor toestaan of weigeren met een hogere prioriteit binnen de groep regelverzamelingen. U kunt bijvoorbeeld een regelverzameling configureren die prioriteit 100 toestaat www.linkedin.com , met een regelverzameling die sociale netwerken met prioriteit 200 weigert. Hiermee maakt u de uitzondering voor de vooraf gedefinieerde webcategorie Sociale netwerken .
Zoeken in webcategorie
U kunt bepalen welke categorie een bepaalde FQDN of URL is met behulp van de functie Webcategoriecontrole . Als u dit wilt gebruiken, selecteert u het tabblad Webcategorieën onder Firewallbeleid Instellingen. Dit is handig bij het definiëren van uw toepassingsregels voor doelverkeer.
Belangrijk
Als u de functie Webcategoriecontrole wilt gebruiken, moet de gebruiker toegang hebben tot Microsoft.Network/azureWebCategories/* voor abonnementsniveau , niet op resourcegroepniveau.
Categoriewijziging
Op het tabblad Webcategorieën in firewallbeleid Instellingen kunt u een categoriewijziging aanvragen als u:
denken dat een FQDN of URL onder een andere categorie moet vallen
or
een voorgestelde categorie hebben voor een niet-gecategoriseerde FQDN of URL
Zodra u een wijzigingsrapport voor een categorie hebt ingediend, krijgt u een token in de meldingen die aangeven dat we de aanvraag voor verwerking hebben ontvangen. U kunt controleren of de aanvraag wordt uitgevoerd, geweigerd of goedgekeurd door het token in te voeren in de zoekbalk. Zorg ervoor dat u uw token-id opslaat om dit te doen.
Webcategorieën die geen ondersteuning bieden voor TLS-beëindiging
Vanwege privacy- en nalevingsredenen kan bepaald webverkeer dat is versleuteld, niet worden ontsleuteld met behulp van TLS-beëindiging. De gezondheidsgegevens van werknemers die via webverkeer via een bedrijfsnetwerk worden verzonden, mogen bijvoorbeeld niet worden beëindigd vanwege privacyredenen.
Als gevolg hiervan bieden de volgende webcategorieën geen ondersteuning voor TLS-beëindiging:
- Onderwijs
- Financiën
- Overheid
- Gezondheid en geneeskunde
Als tijdelijke oplossing kunt u, als u wilt dat een specifieke URL TLS-beëindiging ondersteunt, handmatig een of meer URL's toevoegen met TLS-beëindiging in toepassingsregels. U kunt bijvoorbeeld toevoegen www.princeton.edu aan toepassingsregels om deze website toe te staan.
Ondersteunde regio’s
Zie Azure-producten die beschikbaar zijn per regio voor de ondersteunde regio's voor Azure Firewall.