Revisão do Azure Well-Architected Framework - Azure Firewall
Este artigo fornece recomendações de arquitetura para Azure Firewall. A orientação baseia-se nos cinco pilares da excelência da arquitetura:
- Fiabilidade
- Segurança
- Otimização de custos
- Excelência operacional
- Eficiência de desempenho
Partimos do princípio de que tem conhecimentos de trabalho sobre Azure Firewall e que está bem familiarizado com as suas funcionalidades. Para obter mais informações, veja Descrição Geral do Azure Firewall.
Pré-requisitos
- Compreender os pilares do Azure Well-Architected Framework pode ajudar a produzir uma arquitetura de cloud de alta qualidade, estável e eficiente. Reveja a carga de trabalho com a avaliação de revisão do Well-Architected Framework .
- Utilize uma arquitetura de referência para rever as considerações com base na documentação de orientação fornecida neste artigo. Comece com a aplicação Web protegida pela rede com conectividade privada aos arquivos de dados PaaS e Implemente uma rede híbrida segura.
Fiabilidade
Para saber como Azure Firewall suporta cargas de trabalho de forma fiável, veja os seguintes artigos:
- Introdução ao Azure Firewall
- Início Rápido: Implementar Azure Firewall com zonas de disponibilidade
- Configurar o Azure Firewall num hub de WAN Virtual
Lista de verificação de estruturação
À medida que faz escolhas de design para Azure Firewall, reveja os princípios de design para obter fiabilidade.
- Implemente Azure Firewall em redes virtuais hub ou como parte dos hubs do Azure WAN Virtual.
- Tire partido Zonas de Disponibilidade resiliência.
- Crie Azure Firewall Estrutura de políticas.
- Reveja a lista Problemas Conhecidos.
- Monitorize Azure Firewall estado de funcionamento.
Nota
Existem diferenças na disponibilidade de serviços de rede entre o modelo tradicional hub & Spoke e WAN Virtual hubs protegidos geridos. Por exemplo, num Hub WAN Virtual, não é possível tirar o IP Público do Azure Firewall a partir de um Prefixo de IP Público e não pode ter a Proteção DDoS ativada. A seleção de um ou outro modelo tem de considerar os requisitos em todos os cinco pilares do Well-Architected Framework.
Recomendações
Explore o seguinte índice de recomendações para otimizar a configuração de Azure Firewall para fiabilidade.
Recomendação | Vantagem |
---|---|
Utilize o Gestor de Azure Firewall com os spokes de & do Hub tradicionais ou topologias de rede WAN Virtual do Azure para implementar e gerir instâncias de Azure Firewall. | Crie facilmente arquiteturas hub-and-spoke e transitivas com serviços de segurança nativos para governação e proteção de tráfego. Para obter mais informações sobre topologias de rede, veja a documentação do Azure Cloud Adoption Framework. |
Crie políticas de Azure Firewall para governar a postura de segurança em ambientes de rede globais. Atribua políticas a todas as instâncias de Azure Firewall. | Azure Firewall As Políticas podem ser dispostas numa estrutura hierárquica para sobrepor uma política de base central. Permitir que as políticas granulares cumpram os requisitos de regiões específicas. Delegar políticas de firewall incrementais a equipas de segurança locais através do controlo de acesso baseado em funções (RBAC). Algumas definições são específicas por instância, por exemplo Regras de DNAT e configuração de DNS e, em seguida, podem ser necessárias múltiplas políticas especializadas. |
Migrar Azure Firewall Regras Clássicas para políticas do gestor de Azure Firewall para implementações existentes. | Para implementações existentes, migre regras de Azure Firewall para políticas do Azure Firewall Manager. Utilize Azure Firewall Manager para gerir centralmente as firewalls e políticas. Para obter mais informações, veja Migrar para Azure Firewall Premium. |
Reveja a lista de Azure Firewall Problemas Conhecidos. | Azure Firewall Grupo de Produtos mantém uma lista atualizada de problemas conhecidos nesta localização. Esta lista contém informações importantes relacionadas com o comportamento por predefinição, correções em construção, limitações da plataforma, juntamente com possíveis soluções alternativas ou mitigação. |
Certifique-se de que a política de Azure Firewall cumpre os limites e recomendações de Azure Firewall. | Existem limites na estrutura de políticas, incluindo números de Regras e Grupos de Coleção de Regras, tamanho total da política, destinos de origem/destino. Certifique-se de que compõe a sua política e mantém-se atrás dos limiares documentados. |
Implemente Azure Firewall em várias zonas de disponibilidade para um contrato de nível de serviço (SLA) mais elevado. | Azure Firewall fornece SLAs diferentes quando é implementada numa única zona de disponibilidade e quando é implementada em várias zonas. Para obter mais informações, veja SLA para Azure Firewall. Para obter informações sobre todos os SLAs do Azure, veja Resumo do SLA para os serviços do Azure. |
Em ambientes de várias regiões, implemente uma instância Azure Firewall por região. | Para arquiteturas tradicionais do Hub & Spokes, são explicados detalhes de várias regiões neste artigo. Para hubs virtuais protegidos (WAN Virtual do Azure), a Intenção de Encaminhamento e as Políticas têm de ser configuradas para proteger as comunicações entre hubs e ramo a ramo. Para cargas de trabalho concebidas para serem resistentes a falhas e tolerantes a falhas, lembre-se de considerar que as instâncias de Azure Firewall e do Azure Rede Virtual como recursos regionais. |
Monitorizar o estado Métricas e Resource Health do Azure Firewall. | Monitorize de perto o indicador de métricas-chave de Azure Firewall estado de funcionamento, como Débito, Estado de funcionamento da firewall, utilização da porta SNAT e métricas da Sonda de Latência do AZFW. Além disso, Azure Firewall agora se integra no Azure Resource Health. Com a verificação de Azure Firewall Resource Health, agora pode ver o estado de funcionamento do seu Azure Firewall e resolver problemas de serviço que podem afetar o recurso Azure Firewall. |
O Assistente do Azure ajuda-o a garantir e a melhorar a continuidade das suas aplicações críticas para a empresa. Reveja as recomendações do Assistente do Azure.
Segurança
A segurança é um dos aspetos mais importantes de qualquer arquitetura. Azure Firewall é um serviço de segurança de firewall inteligente que fornece proteção contra ameaças para as cargas de trabalho na cloud em execução no Azure.
Lista de verificação de estruturação
À medida que faz escolhas de design para Azure Firewall, reveja os princípios de design para segurança.
- Determine se precisa de Túnel Forçado.
- Crie regras para Políticas com base em critérios de acesso com menos privilégios.
- Tire partido das Informações sobre Ameaças.
- Ative Azure Firewall proxy DNS.
- Direcionar o tráfego de rede através de Azure Firewall.
- Determine se pretende utilizar fornecedores de segurança como serviço (SECaaS) de terceiros.
- Proteja os seus Azure Firewall endereços IP públicos com DDoS.
Recomendações
Explore o seguinte índice de recomendações para otimizar a configuração de Azure Firewall para segurança.
Recomendação | Vantagem |
---|---|
Se for necessário encaminhar todo o tráfego vinculado à Internet para um salto seguinte designado em vez de ir diretamente para a Internet, configure Azure Firewall no modo de túnel forçado (não se aplica ao Azure WAN Virtual). | O Azure Firewall tem de ter conectividade à Internet direta. Se o AzureFirewallSubnet aprender uma rota predefinida para a sua rede no local através do Protocolo do Gateway de Fronteira, tem de configurar Azure Firewall no modo de túnel forçado. Com a funcionalidade de túnel forçado, precisará de outro espaço de endereços /26 para a sub-rede de Gestão de Azure Firewall. Tem de dar-lhe o nome AzureFirewallManagementSubnet. Se esta for uma instância de Azure Firewall existente que não pode ser reconfigurada no modo de túnel forçado, crie uma UDR com uma rota 0.0.0.0/0. Defina o valor NextHopType como Internet. Associe-o ao AzureFirewallSubnet para manter a conectividade à Internet. |
Defina o endereço IP público como Nenhum para implementar um plano de dados totalmente privado quando configurar Azure Firewall no modo de túnel forçado (não se aplica ao Azure WAN Virtual). | Quando implementa uma nova instância Azure Firewall, se ativar o modo de túnel forçado, pode definir o endereço IP público como Nenhum para implementar um plano de dados totalmente privado. No entanto, o plano de gestão ainda requer um IP público apenas para fins de gestão. O tráfego interno de redes virtuais e no local não utilizará esse IP público. Para obter mais informações sobre túneis forçados, veja Azure Firewall túnel forçado. |
Crie regras para Políticas de Firewall com base em critérios de acesso com menos privilégios. | Azure Firewall Políticas podem ser dispostas numa estrutura hierárquica para sobrepor uma política de base central. Permitir que as políticas granulares cumpram os requisitos de regiões específicas. Cada política pode conter diferentes conjuntos de regras dnat, rede e aplicação com prioridade específica, ação e ordem de processamento. Crie as suas regras com base no acesso com menos privilégios Confiança Zero princípio . A forma como as regras são processadas é explicada neste artigo. |
Ative as Informações sobre Ameaças no Azure Firewall no modo de Alerta e negação. | Pode ativar a filtragem baseada em informações sobre ameaças para que a firewall alerte e negue o tráfego de ou para domínios e endereços IP desconhecidos. Os endereços IP e os domínios são obtidos a partir do Feed de Informações sobre Ameaças da Microsoft. O Intelligent Security Graph alimenta as informações sobre ameaças da Microsoft e é utilizado por vários serviços, incluindo Microsoft Defender para a Cloud. |
Ative o IDPS no modo de Alerta ou Alerta e negação . | O IDPS é uma das funcionalidades de segurança mais avançadas Azure Firewall (Premium) e deve ser ativado. Com base nos requisitos de segurança e aplicações e tendo em conta o impacto no desempenho (veja a secção Custo abaixo), os modos Alerta ou Alerta e negação podem ser selecionados. |
Ative a configuração do proxy Azure Firewall (DNS). | Ativar esta funcionalidade aponta os clientes nas VNets para Azure Firewall como um servidor DNS. Protegerá a infraestrutura de DNS interna que não será acedida e exposta diretamente. Azure Firewall também tem de ser configurado para utilizar DNS personalizado que será utilizado para reencaminhar consultas DNS. |
Configure rotas definidas pelo utilizador (UDR) para forçar o tráfego através de Azure Firewall. | Numa arquitetura tradicional do Hub & Spokes, configure UDRs para forçar o tráfego através de Azure Firewall para SpoketoSpoke , SpoketoInternet e SpoketoHybrid conectividade. No Azure WAN Virtual, em vez disso, configure a Intenção de Encaminhamento e as Políticas para redirecionar o tráfego privado e/ou da Internet através da instância Azure Firewall integrada no hub. |
Restringir a utilização de endereços IP públicos diretamente associados a Máquinas Virtuais | Para evitar que o tráfego ignore a firewall, a associação de endereços IP públicos às interfaces de rede da VM deve ser restrita. No modelo de Cloud Adoption Framework do Azure (CAF), é atribuído um Azure Policy específico ao Grupo de Gestão CORP. |
Se não for possível aplicar a UDR e apenas for necessário redirecionamento de tráfego Web, considere utilizar Azure Firewall como um Proxy Explícito | Com a funcionalidade de proxy explícito ativada no caminho de saída, pode configurar uma definição de proxy na aplicação Web de envio (como um browser) com Azure Firewall configurado como o proxy. Como resultado, o tráfego da Web irá aceder ao endereço IP privado da firewall e, por conseguinte, é efetuado diretamente a partir da firewall sem utilizar um UDR. Esta funcionalidade também facilita a utilização de várias firewalls sem modificar as rotas de rede existentes. |
Configure fornecedores de segurança de software como serviço (SaaS) de terceiros suportados no Firewall Manager se quiser utilizar estas soluções para proteger as ligações de saída. | Pode utilizar as suas ofertas seCaaS de terceiros familiares e de terceiros para proteger o acesso à Internet para os seus utilizadores. Este cenário requer que o Azure WAN Virtual com um Gateway de VPN S2S no Hub, uma vez que utiliza um túnel IPSec para ligar à infraestrutura do fornecedor. Os fornecedores do SECaaS podem cobrar taxas de licença adicionais e limitar o débito em ligações IPSec. Existem soluções alternativas, como o Conector de Cloud ZScaler, e podem ser mais adequadas. |
Utilize a filtragem de Nome de Domínio Completamente Qualificado (FQDN) nas regras de rede. | Pode utilizar o FQDN com base na resolução de DNS no Azure Firewall e nas políticas de firewall. Esta capacidade permite-lhe filtrar o tráfego de saída com qualquer protocolo TCP/UDP (incluindo NTP, SSH, RDP e muito mais). Tem de ativar o Azure Firewall configuração do Proxy DNS para utilizar FQDNs nas regras de rede. Para saber como funciona, veja Azure Firewall filtragem FQDN em regras de rede. |
Utilize Etiquetas de Serviço nas Regras de Rede para permitir o acesso seletivo a serviços Microsoft específicos. | As etiquetas de serviço representam um grupo de prefixos de endereços IP, que ajudam a minimizar a complexidade da criação de regras de segurança. Com as Etiquetas de Serviço nas Regras de Rede, é possível permitir o acesso de saída a serviços específicos no Azure, Dynamics e Office 365 sem abrir vastos intervalos de endereços IP. O Azure manterá automaticamente o mapeamento entre estas etiquetas e os endereços IP subjacentes utilizados por cada serviço. A lista de Etiquetas de Serviço disponíveis para Azure Firewall estão listadas aqui: Etiquetas de Serviço do Az Firewall. |
Utilize Etiquetas FQDN nas Regras da Aplicação para permitir o acesso seletivo a serviços Microsoft específicos. | Uma etiqueta FQDN representa um grupo de nomes de domínio completamente qualificados (FQDNs) associados a serviços Da Microsoft conhecidos. Pode utilizar uma etiqueta FQDN nas regras da aplicação para permitir o tráfego de rede de saída necessário através da firewall para alguns serviços específicos do Azure, Office 365, Windows 365 e Intune. |
Utilize o Azure Firewall Manager para criar e associar um plano de proteção contra DDoS à rede virtual do hub (não se aplica ao Azure WAN Virtual). | Um plano de proteção contra DDoS fornece funcionalidades de mitigação melhoradas para defender a firewall de ataques DDoS. Azure Firewall Manager é uma ferramenta integrada para criar a sua infraestrutura de firewall e planos de proteção contra DDoS. Para obter mais informações, veja Configurar um Plano do Azure DDoS Protection com o Azure Firewall Manager. |
Utilize uma PKI Empresarial para gerar certificados para Inspeção TLS. | Com Azure Firewall Premium, se for utilizada a funcionalidade inspeção TLS, recomenda-se tirar partido de uma Autoridade de Certificação (AC) empresarial interna para o ambiente de produção. Os certificados autoassinados devem ser utilizados apenas para fins de teste/PoC . |
Veja Zero-Trust guia de configuração para Azure Firewall e Gateway de Aplicação | Se os seus requisitos de segurança exigirem a implementação de uma abordagem de Zero-Trust para aplicações Web (inspeção e encriptação), recomenda-se que siga este guia. Neste documento, será explicado como integrar Azure Firewall e Gateway de Aplicação em cenários tradicionais de Hub & Spoke e WAN Virtual. |
O Assistente do Azure ajuda-o a garantir e melhorar a continuidade das suas aplicações críticas para a empresa. Reveja as recomendações do Assistente do Azure.
Definições de política
As interfaces de rede não devem ter IPs públicos. Esta política nega as interfaces de rede configuradas com qualquer IP público. Os endereços IP públicos permitem que os recursos da Internet comuniquem a entrada para recursos do Azure e os recursos do Azure para comunicar a saída para a Internet.
Todo o tráfego da Internet deve ser encaminhado através do Azure Firewall implementado. Centro de Segurança do Azure identificou que algumas das suas sub-redes não estão protegidas com uma firewall de próxima geração. Proteja as sub-redes contra potenciais ameaças ao restringir o acesso às mesmas com Azure Firewall ou uma firewall de próxima geração suportada.
A política do Azure Firewall deve ativar a inspeção TLS dentro das regras da aplicação. A ativação da inspeção TLS é recomendada para que todas as regras da aplicação detetem, alertem e mitiguem atividades maliciosas em HTTPS. Para saber mais sobre a inspeção TLS com Azure Firewall, visite https://aka.ms/fw-tlsinspect.
Azure Firewall Premium deve configurar um certificado intermédio válido para ativar a inspeção TLS. Configure um certificado intermédio válido e ative Azure Firewall inspeção TLS Premium para detetar, alertar e mitigar atividades maliciosas em HTTPS. Para saber mais sobre a inspeção TLS com Azure Firewall, visite https://aka.ms/fw-tlsinspect.
A lista de Deteção e Prevenção de Intrusões (IDPS) deve estar vazia na Política de Firewall Premium. A Lista de Ignorar Sistemas de Deteção e Prevenção de Intrusões (IDPS) permite-lhe não filtrar o tráfego para nenhum dos endereços IP, intervalos e sub-redes especificados na lista de ignorar. No entanto, é recomendado ativar o IDPS para todos os fluxos de tráfego para identificar melhor as ameaças conhecidas. Para saber mais sobre as assinaturas do Sistema de Deteção e Prevenção de Intrusões (IDPS) com o Azure Firewall Premium, visite https://aka.ms/fw-idps-signature.
A Política de Firewall Premium deve ativar todas as regras de assinatura do IDPS para monitorizar todos os fluxos de tráfego de entrada e saída. Recomenda-se ativar todas as regras de assinatura do Sistema de Deteção e Prevenção de Intrusões (IDPS) para identificar melhor as ameaças conhecidas nos fluxos de tráfego. Para saber mais sobre as assinaturas do Sistema de Deteção e Prevenção de Intrusões (IDPS) com o Azure Firewall Premium, visite https://aka.ms/fw-idps.
A Política de Firewall Premium deve ativar o Sistema de Deteção e Prevenção de Intrusões (IDPS). Ativar o Sistema de Deteção e Prevenção de Intrusões (IDPS) permite-lhe monitorizar a sua rede quanto a atividades maliciosas, registar informações sobre esta atividade, reportá-la e, opcionalmente, tentar bloqueá-la. Para saber mais sobre o Sistema de Deteção e Prevenção de Intrusões (IDPS) com o Azure Firewall Premium, visite https://aka.ms/fw-idps.
A subscrição deve configurar o Azure Firewall Premium para fornecer uma camada adicional de proteção. Azure Firewall Premium fornece proteção avançada contra ameaças que satisfaz as necessidades de ambientes altamente confidenciais e regulados. Implemente Azure Firewall Premium na sua subscrição e certifique-se de que todo o tráfego do serviço está protegido pelo Azure Firewall Premium. Para saber mais sobre Azure Firewall Premium, visite https://aka.ms/fw-premium.
Todas as definições de política incorporadas relacionadas com a rede do Azure estão listadas em Políticas incorporadas – Rede.
Otimização de custos
A otimização de custos consiste em procurar formas de reduzir despesas desnecessárias e melhorar a eficiência operacional.
Lista de verificação de estruturação
À medida que faz escolhas de estrutura para Azure Firewall, reveja os princípios de estrutura para otimização de custos.
- Selecione o SKU Azure Firewall a implementar.
- Determine se algumas instâncias não precisam de alocação permanente 24 x 7.
- Determine onde pode otimizar a utilização da firewall entre cargas de trabalho.
- Monitorize e otimize a utilização de instâncias de firewall para determinar a relação custo-eficácia.
- Reveja e otimize o número de endereços IP públicos necessários e Políticas utilizadas.
- Reveja os requisitos de registo, calcule o custo e o controlo ao longo do tempo.
Recomendações
Explore o seguinte índice de recomendações para otimizar a configuração do Azure Firewall para otimização de custos.
Recomendação | Vantagem |
---|---|
Implemente o SKU de Azure Firewall adequado. | Azure Firewall podem ser implementados em três SKUs diferentes: Básico, Standard e Premium. Azure Firewall Premium é recomendado para proteger aplicações altamente confidenciais (como o processamento de pagamentos). Azure Firewall Standard é recomendado para clientes que procuram a firewall de Camada 3–Camada 7 e precisa de dimensionamento automático para processar períodos de tráfego máximos de até 30 Gbps. Azure Firewall Básico é recomendado para clientes SMB com necessidades de débito de 250 Mbps. Se necessário, é possível mudar para uma versão anterior ou atualizar entre Standard e Premium, conforme documentado aqui. Para obter mais informações, consulte Escolher o SKU Azure Firewall adequado para satisfazer as suas necessidades. |
Pare Azure Firewall implementações que não precisam de ser executadas para 24 horas por dia, 7 dias por semana. | Pode ter ambientes de desenvolvimento ou teste que são utilizados apenas durante o horário comercial. Para obter mais informações, veja Desalocar e alocar Azure Firewall. |
Partilhe a mesma instância de Azure Firewall em várias cargas de trabalho e redes virtuais do Azure. | Pode utilizar uma instância central de Azure Firewall na rede virtual do hub ou WAN Virtual hub seguro e partilhar a mesma firewall em várias redes virtuais spoke que estão ligadas ao mesmo hub a partir da mesma região. Certifique-se de que não existe tráfego entre regiões inesperado como parte da topologia hub-spoke. |
Reveja regularmente o tráfego processado por Azure Firewall e procure otimizações de cargas de trabalho de origem | O registo de Fluxos Superiores (conhecido no setor como Fluxos de Gordura), mostra as principais ligações que estão a contribuir para o débito mais elevado através da firewall. Recomenda-se que reveja regularmente o tráfego processado pelo Azure Firewall e procure possíveis otimizações para reduzir a quantidade de tráfego que atravessa a firewall. |
Reveja as instâncias de Azure Firewall subutilizadas. Identificar e eliminar implementações de Azure Firewall não utilizadas. | Para identificar implementações de Azure Firewall não utilizadas, comece por analisar as métricas de monitorização e os UDRs associados a sub-redes que apontam para o IP privado da firewall. Combine essas informações com outras validações, como se a sua instância de Azure Firewall tiver regras (clássicas) para NAT, Rede e Aplicação, ou mesmo se a definição do Proxy de DNS estiver configurada para Desativada e com documentação interna sobre o seu ambiente e implementações. Pode detetar implementações que são económicas ao longo do tempo. Para obter mais informações sobre a monitorização de registos e métricas, veja Monitorizar registos e métricas Azure Firewall e a utilização da porta SNAT. |
Utilize o Azure Firewall Manager e as respetivas Políticas para reduzir os custos operacionais, aumentar a eficiência e reduzir a sobrecarga de gestão. | Reveja cuidadosamente as políticas, associações e heranças do Firewall Manager. As políticas são faturadas com base em associações de firewall. Uma política com zero ou uma associação de firewall é gratuita. Uma política com múltiplas associações de firewall é faturada a uma taxa fixa. Para obter mais informações, veja Preços - Gestor de Azure Firewall. |
Eliminar endereços IP públicos não utilizados. | Valide se todos os endereços IP públicos associados estão a ser utilizados. Se não estiverem a ser utilizados, desassocie-os e elimine-os. Avalie a utilização da porta SNAT antes de remover os endereços IP. Só utilizará o número de IPs públicos de que a firewall precisa. Para obter mais informações, veja Monitorizar Azure Firewall registos e métricas e a utilização da porta SNAT. |
Reveja os requisitos de registo. | Azure Firewall tem a capacidade de registar de forma abrangente metadados de todo o tráfego que vê, para áreas de trabalho do Log Analytics, Armazenamento ou soluções de terceiros através dos Hubs de Eventos. No entanto, todas as soluções de registo incorrem em custos de processamento e armazenamento de dados. Em volumes muito grandes, estes custos podem ser significativos, uma abordagem económica e uma alternativa ao Log Analytics devem ser consideradas e os custos estimados. Considere se é necessário registar metadados de tráfego para todas as categorias de registo e modificar nas Definições de Diagnóstico, se necessário. |
Para obter mais sugestões, veja Lista de verificação De revisão de estrutura para Otimização de Custos.
O Assistente do Azure ajuda-o a garantir e a melhorar a continuidade das suas aplicações críticas para a empresa. Reveja as recomendações do Assistente do Azure.
Excelência operacional
A monitorização e o diagnóstico são fundamentais. Pode medir as estatísticas de desempenho e as métricas para resolver e corrigir problemas rapidamente.
Lista de verificação de estruturação
À medida que faz escolhas de design para Azure Firewall, reveja os princípios de design para excelência operacional.
- Manter o inventário e a cópia de segurança de Azure Firewall configuração e Políticas.
- Tire partido dos registos de diagnóstico para monitorização e resolução de problemas da firewall.
- Tire partido Azure Firewall Livro de Monitorização.
- Reveja regularmente as suas informações e análises de Políticas.
- Integre Azure Firewall com Microsoft Defender para a Cloud e o Microsoft Sentinel.
Recomendações
Explore o seguinte índice de recomendações para otimizar a sua configuração de Azure Firewall para excelência operacional.
Recomendação | Vantagem |
---|---|
Não utilize Azure Firewall para controlo de tráfego intra-VNet. | Azure Firewall deve ser utilizado para controlar o tráfego entre VNets, entre VNets e redes no local, tráfego de saída para a Internet e tráfego não HTTP/s recebido. Para o controlo de tráfego intra-VNet, é recomendado utilizar Grupos de Segurança de Rede. |
Manter cópias de segurança regulares de artefactos Azure Policy. | Se a abordagem Infraestrutura como Código (IaC) for utilizada para manter Azure Firewall e todas as dependências, a cópia de segurança e o controlo de versões das Políticas de Azure Firewall já devem estar em vigor. Caso contrário, um mecanismo complementar baseado na Aplicação Lógica externa pode ser implementado para automatizar e fornecer uma solução eficaz. |
Ative os Registos de Diagnóstico para Azure Firewall. | Os Registos de Diagnóstico são um componente fundamental para muitas ferramentas e estratégias de monitorização para Azure Firewall e devem ser ativados. Pode monitorizar Azure Firewall com registos de firewall ou livros. Também pode utilizar registos de atividades para operações de auditoria em recursos Azure Firewall. |
Utilize o formato Registos de Firewall Estruturado . | Os Registos de Firewall Estruturados são um tipo de dados de registo organizados num novo formato específico. Utilizam um esquema predefinido para estruturar os dados de registo de uma forma que facilita a pesquisa, filtragem e análise. As ferramentas de monitorização mais recentes baseiam-se neste tipo de registos, pelo que, muitas vezes, é um pré-requisito. Utilize o formato de Registos de Diagnóstico anterior apenas se existir uma ferramenta existente com um pré-requisito. Não ative ambos os formatos de registo ao mesmo tempo. |
Utilize o Livro de Monitorização de Azure Firewall incorporado. | Azure Firewall experiência do portal inclui agora um novo livro na IU da secção Monitorização, já não é necessária uma instalação separada. Com o Livro de Azure Firewall, pode extrair informações valiosas de Azure Firewall eventos, aprofundar as regras de aplicação e de rede e examinar estatísticas sobre atividades de firewall em URLs, portas e endereços. |
Monitorize as principais métricas e crie alertas para indicadores da utilização da capacidade Azure Firewall. | Devem ser criados alertas para monitorizar, pelo menos, o Débito, o estado de funcionamento da firewall, a utilização da porta SNAT e as métricas da Sonda de Latência do AZFW . Para obter informações sobre os registos de monitorização e as métricas, veja Monitorizar Azure Firewall registos e métricas. |
Configure Azure Firewall integração com Microsoft Defender para a Cloud e o Microsoft Sentinel. | Se estas ferramentas estiverem disponíveis no ambiente, recomendamos que tire partido da integração com Microsoft Defender para soluções da Cloud e do Microsoft Sentinel. Com Microsoft Defender para a integração na Cloud, pode visualizar o estado completo da infraestrutura de rede e da segurança de rede num único local, incluindo a Segurança de Rede do Azure em todas as VNets e Hubs Virtuais distribuídos por diferentes regiões no Azure. A integração com o Microsoft Sentinel fornece capacidades de deteção e prevenção de ameaças. |
Reveja regularmente o dashboard de Análise de Políticas para identificar potenciais problemas. | A Análise de Políticas é uma nova funcionalidade que fornece informações sobre o impacto das suas políticas de Azure Firewall. Ajuda-o a identificar potenciais problemas (atingir limites de políticas, regras de baixa utilização, regras redundantes, regras demasiado genéricas, recomendação de utilização de Grupos IP) nas suas políticas e fornece recomendações para melhorar a postura de segurança e o desempenho do processamento de regras. |
Familiarize-se com as consultas KQL (Linguagem de Pesquisa Kusto) para permitir análises rápidas e resolução de problemas com Azure Firewall registos. | As consultas de exemplo são fornecidas para Azure Firewall. Estes irão permitir-lhe identificar rapidamente o que está a acontecer dentro da firewall e verificar que regra foi acionada ou que regra está a permitir/bloquear um pedido. |
O Assistente do Azure ajuda-o a garantir e a melhorar a continuidade das suas aplicações críticas para a empresa. Reveja as recomendações do Assistente do Azure.
Eficiência de desempenho
A eficiência de desempenho é a capacidade da carga de trabalho dimensionar para satisfazer de forma eficiente as exigências que os utilizadores lhe colocam.
Lista de verificação de estruturação
À medida que faz escolhas de design para Azure Firewall, reveja os princípios de design para obter eficiência de desempenho.
- Reveja e otimize regularmente as regras de firewall.
- Reveja os requisitos de política e as oportunidades para resumir os intervalos de IP e a lista de URLs.
- Avalie os seus requisitos de porta SNAT.
- Planeie testes de carga para testar o desempenho de dimensionamento automático no seu ambiente.
- Se não for necessário, não ative as ferramentas de diagnóstico e o registo.
Recomendações
Explore o seguinte índice de recomendações para otimizar a configuração de Azure Firewall para eficiência de desempenho.
Recomendação | Vantagem |
---|---|
Utilize o dashboard análise de políticas para identificar potenciais otimizações para Políticas de Firewall. | A Análise de Políticas é uma nova funcionalidade que fornece informações sobre o impacto das suas políticas de Azure Firewall. Ajuda-o a identificar potenciais problemas (atingir limites de políticas, regras de baixa utilização, regras redundantes, regras demasiado genéricas, recomendação de utilização de Grupos IP) nas suas políticas e fornece recomendações para melhorar a postura de segurança e o desempenho de processamento de regras. |
Para Políticas de Firewall com grandes conjuntos de regras, coloque as regras utilizadas mais frequentemente no início do grupo para otimizar a latência. | As regras são processadas com base no tipo de regra, herança, prioridade do Grupo de Coleção de Regras e prioridade da Coleção de Regras. Os Grupos de Coleção de Regras de prioridade mais alta são processados primeiro. Dentro de um grupo de coleção de regras, as Coleções de Regras com prioridade mais alta são processadas primeiro. Colocar as regras mais utilizadas mais acima no conjunto de regras otimizará a latência de processamento. A forma como as regras são processadas e avaliadas é explicada neste artigo. |
Utilize Grupos IP para resumir intervalos de endereços IP. | Pode utilizar Grupos IP para resumir intervalos de IP, para que não exceda o limite de regras de rede de origem/destino exclusivas. Para cada regra, o Azure multiplica portas por endereços IP. Assim, se tiver uma regra com quatro intervalos de endereços IP e cinco portas, irá consumir 20 regras de rede. O Grupo IP é tratado como um endereço único com o objetivo de criar regras de rede. |
Considere categorias Web para permitir ou negar o acesso de saída em massa. | Em vez de criar e manter explicitamente uma longa lista de sites públicos da Internet, considere a utilização de Azure Firewall Categorias Web. Esta funcionalidade categorizará dinamicamente o conteúdo Web e permitirá a criação de Regras de Aplicação compactas. |
Avalie o impacto no desempenho do IDPS no modo de Alerta e negação . | Se Azure Firewall for necessário para operar no modo IDPSAlertar e negar, considere cuidadosamente o impacto no desempenho, conforme documentado nesta página. |
Avalie o potencial problema de esgotamento da porta SNAT. | Azure Firewall atualmente suporta 2496 portas por endereço IP público por instância do Conjunto de Dimensionamento de Máquinas Virtuais de back-end. Por predefinição, existem duas instâncias do Conjunto de Dimensionamento de Máquinas Virtuais. Assim, existem 4992 portas por IP de destino do fluxo, porta de destino e protocolo (TCP ou UDP). A firewall aumenta verticalmente até um máximo de 20 instâncias. Pode contornar os limites ao configurar Azure Firewall implementações com um mínimo de cinco endereços IP públicos para implementações suscetíveis ao esgotamento de SNAT. |
Aqueça corretamente Azure Firewall antes de qualquer teste de desempenho. | Crie tráfego inicial que não faça parte dos testes de carga 20 minutos antes do teste. Utilize as definições de diagnóstico para capturar eventos de aumento vertical e redução vertical. Pode utilizar o serviço Azure Load Testing para gerar o tráfego inicial. Permite que a instância Azure Firewall aumente verticalmente as instâncias para o máximo. |
Configure uma sub-rede Azure Firewall (AzureFirewallSubnet) com um espaço de endereços /26. | Azure Firewall é uma implementação dedicada na sua rede virtual. Na sua rede virtual, é necessária uma sub-rede dedicada para a instância de Azure Firewall. Azure Firewall aprovisiona mais capacidade à medida que dimensiona. Um espaço de endereços /26 para as respetivas sub-redes garante que a firewall tem endereços IP suficientes disponíveis para acomodar o dimensionamento. Azure Firewall não precisa de uma sub-rede maior do que /26. O nome da sub-rede Azure Firewall tem de ser AzureFirewallSubnet. |
Não ative o registo avançado se não for necessário | Azure Firewall fornece algumas capacidades de registo avançadas que podem ser dispendiosas para manter sempre ativas. Em vez disso, devem ser utilizadas apenas para fins de resolução de problemas e limitadas em duração e, em seguida, desativadas quando já não for necessário. Por exemplo, os principais fluxos e os registos de rastreio do Flow são dispendiosos podem causar uma utilização excessiva da CPU e do armazenamento na infraestrutura de Azure Firewall. |
O Assistente do Azure ajuda-o a garantir e melhorar a continuidade das suas aplicações críticas para a empresa. Reveja as recomendações do Assistente do Azure.
Recomendações do Assistente do Azure
O Assistente do Azure é um consultor de cloud personalizado que o ajuda a seguir as melhores práticas para otimizar as implementações do Azure. Ainda não existe Azure Firewall recomendação específica do Assistente. Algumas recomendações gerais podem ser aplicadas para ajudar a melhorar a fiabilidade, a segurança, a relação custo-eficácia, o desempenho e a excelência operacional.
- Criar alertas do Azure Service Health para ser notificado quando os problemas do Azure o afetarem
- Certifique-se de que tem acesso a especialistas na cloud do Azure quando precisar dele
- Ativar a Análise de Tráfego para obter informações sobre os padrões de tráfego nos recursos do Azure
- Seguir administração suficiente (princípio de privilégio mínimo)
- Proteger os recursos de rede com o Microsoft Defender para a Cloud
Recursos adicionais
- Documentação do Azure Firewall
- O que é o Azure Firewall Manager?
- Azure Firewall limites, quotas e restrições do serviço
- Linha de base de segurança do Azure para Azure Firewall
Documentação de orientação do Centro de Arquitetura do Azure
- descrição geral da arquitetura do Azure Firewall
- Utilizar Azure Firewall para ajudar a proteger um cluster do Azure Kubernetes Service (AKS)
- Utilizar Azure Firewall para proteger implementações do Azure Virtual Desktop (AVD)
- Utilizar Azure Firewall para proteger Office 365
- Topologia de rede hub and spoke no Azure
- Rede de confiança zero para aplicações Web com Azure Firewall e Gateway de Aplicação
- Implementar uma rede híbrida segura
- Aplicação Web com proteção de rede com conectividade privada aos arquivos de dados PaaS
Passo seguinte
Implemente uma instância de Azure Firewall para ver como funciona:
Comentários
https://aka.ms/ContentUserFeedback.
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja:Submeter e ver comentários