Планирование, реализация и управление Брандмауэр Azure, политиками диспетчера Брандмауэр Azure и брандмауэра
Брандмауэр Azure — это ориентированная на облако интеллектуальная служба сетевого брандмауэра, обеспечивающая лучшую защиту от угроз для облачных рабочих нагрузок в Azure. Это высокодоступная служба с полным отслеживанием состояния и неограниченными возможностями облачного масштабирования. Она обеспечивает анализ внутреннего и внешнего трафика.
Брандмауэр Azure предлагается в трех ценовых категориях (SKU): "Стандартный", "Премиум" и "Базовый".
Брандмауэр Azure категории "Стандартный"
Брандмауэр Azure Standard обеспечивает фильтрацию и каналы аналитики угроз от уровня 3 до уровня 7 (L3-L7) непосредственно из Microsoft Cyber Security. Фильтрация на основе аналитики угроз может оповещать и запрещать трафик от известных вредоносных IP-адресов и доменов, которые обновляются в режиме реального времени для защиты от новых и новых атак.
Брандмауэр Azure категории "Премиум"
Брандмауэр Azure Premium предоставляет расширенные возможности, включая обнаружение вторжений на основе подписей и систему предотвращения вторжений (IDPS), чтобы обеспечить быстрое обнаружение атак путем поиска конкретных шаблонов. Эти шаблоны могут включать последовательности байтов в сетевом трафике или известные вредоносные последовательности инструкций, используемые вредоносными программами. Существует более 67 000 подписей в более чем 50 категориях, которые обновляются в режиме реального времени для защиты от новых и новых эксплойтов. К категориям эксплойтов относятся вредоносные программы, фишинг, майнинг криптовалют и троянские атаки.
базовый Брандмауэр Azure
Брандмауэр Azure Базовый предназначен для небольших и средних клиентов (S МБ) для защиты облачных сред Azure. Он обеспечивает необходимую защиту S МБ клиентам, нуждающимся в доступной ценовой точке.
Брандмауэр Azure Базовый — это стандартный брандмауэр, но имеет следующие основные ограничения:
- Поддерживает только режим оповещений Intel от угроз
- Исправлена единица масштабирования для запуска службы на двух экземплярах серверной части виртуальной машины
- Рекомендуется для сред с предполагаемой пропускной способностью 250 Мбит/с
Диспетчер брандмауэра Azure
Диспетчер брандмауэра Azure — это служба, обеспечивающая централизованное управление маршрутизацией и политиками защиты для облачных периметров безопасности.
Диспетчер брандмауэра обеспечивает управление безопасностью для двух типов сетевой архитектуры.
Защищенный виртуальный концентратор
Концентратор Виртуальной глобальной сети Azure — это управляемый корпорацией Майкрософт ресурс, который позволяет легко создавать звездообразные архитектуры. Если с таким концентратором связаны политики безопасности и маршрутизации, он называется защищенным виртуальным концентратором.
Центральная виртуальная сеть.
Это стандартная виртуальная сеть Azure, которую вы создаете и контролируете самостоятельно. Если с таким концентратором связаны политики безопасности, он называется центральной виртуальной сетью. В настоящее время поддерживается только политика брандмауэра Azure. Можно также создать периферийные виртуальные сети, содержащие серверы рабочей нагрузки и службы. Вы также можете управлять брандмауэрами в автономных виртуальных сетях, не являющихся одноуровневыми для любого периферийного узла.
Возможности Диспетчера брандмауэра Azure
Диспетчер брандмауэра Azure предлагает следующие функции.
Централизованное развертывание и настройка Брандмауэра Azure
Вы можете централизованно развертывать и настраивать несколько экземпляров Брандмауэра Azure, охватывающих разные регионы и подписки Azure.
Иерархические политики (глобальные и локальные)
С помощью Диспетчера брандмауэра Azure можно централизованно управлять политиками Брандмауэра Azure в нескольких защищенных виртуальных концентраторах. Центральный ИТ-отдел может создавать глобальные политики брандмауэра, применяемые в масштабе всей организации. Локально создаваемые политики брандмауэра обеспечивают модель самообслуживания DevOps для повышения гибкости.
Интеграция со сторонними решениями "безопасность как услуга" для усиления защиты
В дополнение к Брандмауэру Azure можно интегрировать решения "безопасность как услуга" (SECaaS) сторонних поставщиков, чтобы лучше защитить виртуальные сети и подключения филиалов к Интернету.
Эта функция доступна только в средах защищенных виртуальных концентраторов.
Фильтрация трафика из виртуальной сети в Интернет
- Фильтруйте исходящий трафик виртуальной сети с помощью предпочтительного стороннего поставщика безопасности.
- Используйте расширенную защиту интернет-трафика с учетом пользователей для облачных рабочих нагрузок в Azure.
- Фильтруйте исходящий трафик виртуальной сети с помощью предпочтительного стороннего поставщика безопасности.
Фильтрация трафика из филиалов в Интернет
Используйте возможности подключения и глобального распространения Azure, чтобы легко добавить сторонние фильтры для трафика филиалов в Интернет.
Централизованное управление маршрутами
Легко перенаправьте трафик в защищенный концентратор для фильтрации и ведения журнала без необходимости вручную настроить определяемые пользователем маршруты (UDR) в периферийных виртуальных сетях.
Эта функция доступна только в средах защищенных виртуальных концентраторов.
Вы можете использовать решения сторонних поставщиков для фильтрации трафика из филиалов в Интернет параллельно с Брандмауэром Azure для трафика из филиалов в виртуальную сеть, между виртуальными сетями и из виртуальной сети в Интернет.
План защиты от атак DDoS
Вы можете связать свои виртуальные сети с планом защиты от атак DDoS в Диспетчере брандмауэра Azure. Дополнительные сведения можно найти в статье Настройка плана Защиты от атак DDoS Azure с помощью Диспетчера брандмауэра Azure.
Управление политиками Брандмауэра веб-приложений
Вы можете централизованно создавать и связывать политики Брандмауэра веб-приложений (WAF) для платформ доставки приложений, включая Azure Front Door и Шлюз приложений Azure. Дополнительные сведения приведены в статье Управление политиками Брандмауэра веб-приложений.
Доступность по регионам
Политики брандмауэра Azure можно использовать в разных регионах. Например, можно создать политику в западной части США и использовать ее в восточной части США.