Azure Well-Architected Framework-granskning av Azure Firewall
Den här artikeln innehåller metodtips för arkitekturen för Azure Firewall. Vägledningen baseras på de fem grundpelarna för utmärkt arkitektur: kostnadsoptimering, driftseffektivitet, prestandaeffektivitet, tillförlitlighet och säkerhet.
Kostnadsoptimering
Granska underutnyttjade Azure Firewall instanser och identifiera och ta bort Azure Firewall distributioner som inte används. För att Azure Firewall distributioner som inte används börjar du analysera övervakningsmått och användardefinierade vägar (UDR) som är associerade med undernät som pekar på brandväggens privata IP-adress. Kombinera sedan detta med ytterligare verifieringar, till exempel om Azure Firewall har några regler (klassisk) för NAT, nätverk och program, eller även om DNS-proxyinställningen är konfigurerad till Inaktiverad,samt med intern dokumentation om din miljö och distributioner. Mer information om övervakning av loggar och mått finns i Övervaka Azure Firewall, mått ochSNAT-portanvändning.
Dela samma Azure Firewall flera arbetsbelastningar och virtuella Azure-nätverk. Distribuera en central Azure Firewall i det virtuella hubbnätverket och dela samma brandvägg över flera virtuella ekernätverk som är anslutna till samma hubb från samma region. Se till att det inte finns någon oväntad trafik mellan regioner som en del av topologin av nav och ekrar.
Stoppa Azure Firewall distributioner som inte behöver köras under 24 timmar. Detta kan vara fallet för utvecklingsmiljöer som endast används under arbetstid. Mer information finns i Deallocate and allocate Azure Firewall.
Ändra rätt storlek på antalet offentliga IP-adresser som brandväggen behöver. Kontrollera om alla associerade offentliga IP-adresser används. Om de inte används kopplar du bort och tar bort dem. Använd IP-grupper för att minska dina hanteringskostnader. Utvärdera användningen av SNAT-portar innan du tar bort ip-adresser. Mer information om övervakning av loggar och mått finns i Övervaka Azure Firewall, mått ochSNAT-portanvändning.
Använd Azure Firewall Manager och dess principer för att minska dina driftskostnader genom att öka effektiviteten och minska hanteringskostnaderna. Granska Firewall Manager principer, associationer och arv noggrant. Principer debiteras baserat på brandväggsassociationer. En princip med noll eller en brandväggsassociaty är kostnadsfri. En princip med flera brandväggsassociationer debiteras till ett fast pris. Mer information finns i Prissättning – Firewall Manager.
Granska skillnaderna mellan de två Azure Firewall SKU:erna. Standardalternativet är vanligtvis tillräckligt för öst-väst-trafik, där Premium levereras med nödvändiga ytterligare funktioner för nord-syd-trafik, samt funktionen tvingad tunneltrafik och många andra funktioner. Mer information finns i Azure Firewall Premium förhandsversionsfunktioner. Distribuera blandade scenarier med alternativen Standard och Premium, beroende på dina behov.
Utmärkt driftseffektivitet
Allmän administration och styrning
- Använd Azure Firewall för att styra:
- Utgående Internettrafik (virtuella datorer och tjänster som har åtkomst till Internet)
- Inkommande trafik som inte är HTTP/S
- Filtrering av öst-väst-trafik
- Använd Azure Firewall Premium om någon av följande funktioner krävs:
- TLS-kontroll – Dekrypterar utgående trafik, bearbetar data, krypterar data och skickar dem sedan till målet.
- IDPS – Med ett system för identifiering och skydd mot intrång i nätverk (IDPS) kan du övervaka nätverksaktiviteter för skadlig aktivitet, logga information om den här aktiviteten, rapportera den och eventuellt försöka blockera den.
- URL-filtrering – utökar Azure Firewall FQDN-filtrering för att överväga en hel URL. Den filtrerade URL:en kan till exempel vara www.contoso.com/a/c i stället för www.contoso.com.
- Webbkategorier – Administratörer kan tillåta eller neka användaråtkomst till webbplatskategorier, till exempel webbplatser för webbplatser på sociala medier med mera.
- Mer information finns i Azure Firewall Premium förhandsgranskningsfunktioner.
- Använd Firewall Manager för att distribuera och hantera flera Azure Firewalls Azure Virtual WAN-hubbar och hub-spoke-baserade distributioner.
- Skapa en global Azure Firewall för att styra säkerhetsstatusen i den globala nätverksmiljön och tilldela den sedan till alla Azure Firewall instanser. Detta gör att detaljerade principer kan uppfylla kraven för specifika regioner genom att delegera inkrementella Azure Firewall till lokala säkerhetsteam via RBAC.
- Konfigurera SaaS-säkerhetsproviders från tredje part inom Firewall Manager om du vill använda sådana lösningar för att skydda utgående anslutningar.
- För befintliga distributioner migrerar Azure Firewall regler för att Azure Firewall Manager principer och använder Azure Firewall Manager för att centralt hantera dina brandväggar och principer.
Etablering och ändringar av infrastruktur
- Vi rekommenderar Azure Firewall som ska distribueras i det virtuella hubbnätverket. Mycket specifika scenarier kan kräva ytterligare Azure Firewall distributioner i virtuella ekernätverk, men det är inte vanligt.
- Använd ip-prefix.
- Bekanta dig med gränser och begränsningar, särskilt SNAT-portar. Överskrid inte gränserna och var medveten om begränsningarna. Se begränsningar Azure Firewall Azure-prenumerationer och kvoter – Azure Resource Manager. Läs även mer om befintliga begränsningar för användbarhet i vanliga frågor och svar Azure Firewall .
- För samtidiga distributioner ska du se till att använda IP-grupper, principer och brandväggar som inte har samtidiga Put-åtgärder på sig. Se till att alla uppdateringar av IP-grupper och principer har en implicit brandväggsuppdatering som körs efteråt.
- Se till att det finns en utvecklings- och testmiljö för att verifiera brandväggsändringar.
- En välarkerad lösning omfattar också att överväga placeringen av dina resurser för att uppfylla alla funktionella och icke-funktionella krav. Azure Firewall, Application Gateway och lastbalanserare kan kombineras på flera sätt för att uppnå olika mål. Du hittar scenarier med detaljerade rekommendationer i Brandvägg och Application Gateway för virtuella nätverk.
Nätverk
En Azure Firewall är en dedikerad distribution i ditt virtuella nätverk. I ditt virtuella nätverk krävs ett dedikerat undernät för Azure Firewall. Azure Firewall etablerar mer kapacitet när den skalas. Ett /26-adressutrymme för dess undernät säkerställer att brandväggen har tillräckligt med TILLGÄNGLIGA IP-adresser för skalningen. Azure Firewall inte behöver ett undernät som är större än /26 och undernätsnamnet Azure Firewall måste vara AzureFirewallSubnet.
- Om du överväger att använda funktionen tvingad tunneling behöver du ytterligare ett /26-adressutrymme för undernätet Azure Firewall Management och du måste ge det namnet AzureFirewallManagementSubnet (detta är också ett krav).
- Azure Firewall börjar alltid med två instanser kan den skalas upp till 20 instanser och du kan inte se de enskilda instanserna. Du kan bara distribuera en enda Azure Firewall instans i varje VNet.
- Azure Firewall måste ha direktanslutning till internet. Om ditt AzureFirewallSubnet lär sig en standardväg till ditt lokala nätverk via BGP måste du konfigurera Azure Firewall i tvingad tunneltrafik. Om det här är en befintlig Azure Firewall-instans som inte kan konfigureras om i tvingad tunnelläge rekommenderar vi att du skapar en UDR med en 0.0.0.0/0-väg med NextHopType-värdet inställt som Internet. Associera det med AzureFirewallSubnet för att upprätthålla Internetanslutningen.
- När du distribuerar en ny Azure Firewall-instans kan du, om du aktiverar läget för tvingad tunneling, ange Den offentliga IP-adressen till Ingen för att distribuera ett helt privat dataplan. Hanteringsplanet kräver dock fortfarande en offentlig IP-adress, endast i hanteringssyfte. Den interna trafiken från virtuella nätverk och/eller lokalt använder inte den offentliga IP-adressen. Mer information om tvingad tunneling Azure Firewall tvingad tunnel.
- När du har Azure-miljöer i flera regioner bör du komma ihåg Azure Firewall är en regional tjänst. Därför har du förmodligen en instans per regional hubb.
Övervakning
Övervaka kapacitetsmått
Följande mått kan användas av kunden, som indikatorer på användning av etablerade Azure Firewall kapacitet. Aviseringar kan ställas in efter behov av kunderna för att få meddelanden när ett tröskelvärde har nåtts för ett mått.
| Måttnamn | Förklaring |
|---|---|
| Antal träffar för programregler | Antalet gånger som en programregel har använts. Enhet: antal |
| Bearbetade data | Summan av data som går genom brandväggen i ett visst tidsfönster. Enhet: byte |
| Hälsotillstånd för brandvägg | Anger hälsotillståndet för brandväggen, baserat på SNAT-porttillgänglighet. Enhet: procent Det här måttet har två dimensioner: – Status: Möjliga värden är Felfria, Degraderade och Inte felfria. – Orsak: Anger orsaken till motsvarande status för brandväggen. Om SNAT-portarna används 95 % anses de vara uttömda och hälsotillståndet > är 50 % med status=Degraderad och orsak=SNAT-port. Brandväggen fortsätter att bearbeta trafik och de befintliga anslutningarna påverkas inte. Nya anslutningar kanske däremot inte upprättas tillfälligt. Om SNAT-portarna används 95 % anses brandväggen vara felfri och hälsotillståndet visas < som 100 %. Om ingen användning av SNAT-portar rapporteras visas hälsotillståndet som 0 %. |
| Antal träffar för nätverksregler | Antalet gånger som en nätverksregel har använts. Enhet: antal |
| SNAT-portanvändning | Procentandelen SNAT-portar som har använts av brandväggen. Enhet: procent När du lägger till fler offentliga IP-adresser i brandväggen är fler SNAT-portar tillgängliga. Detta minskar användningen av SNAT-portar. När brandväggen skalas ut av olika orsaker (till exempel CPU eller dataflöde) blir dessutom ytterligare SNAT-portar tillgängliga. I praktiken kan en viss procentandel av SNAT-portanvändningen gå ned utan att du lägger till några offentliga IP-adresser, bara för att tjänsten skalas ut. Du kan direkt styra antalet offentliga IP-adresser som är tillgängliga för att öka portarna som är tillgängliga i brandväggen. Men du kan inte styra brandväggsskalningen direkt. Om brandväggen får slut på SNAT-port bör du lägga till minst fem offentliga IP-adresser. Detta ökar antalet tillgängliga SNAT-portar. Ett annat alternativ är att associera en NAT Gateway med Azure Firewall undernät, vilket kan hjälpa dig att öka portarna upp till +1 miljon portar. |
| Dataflöde | Datahastigheten som går genom brandväggen per sekund. Enhet: bitar per sekund |
Övervaka loggar med hjälp Azure Firewall arbetsbok
Azure Firewall visar några andra loggar och mått för felsökning som kan användas som indikatorer på problem. Vi rekommenderar att du utvärderar aviseringar enligt tabellen nedan. Se Övervaka Azure Firewall och mått.
| Måttnamn | Förklaring |
|---|---|
| Programregellogg | Varje ny anslutning som matchar en av dina konfigurerade programregler resulterar i en logg för den accepterade/nekade anslutningen. |
| Nätverksregellogg | Varje ny anslutning som matchar en av dina konfigurerade nätverksregler resulterar i en logg för den accepterade/nekade anslutningen. |
| DNS-proxylogg | Den här loggen spårar DNS-meddelanden till en DNS-server som har konfigurerats med en DNS-proxy. |
Diagnostikloggar och principanalys
Med diagnostikloggar kan du visa Azure Firewall, prestandaloggar och åtkomstloggar. Du kan använda dessa loggar i Azure för att hantera och felsöka din Azure Firewall instans.
Med principanalys för Azure Firewall Manager kan du börja se regler och flöden som matchar reglerna och använda antal för dessa regler. Genom att titta på vilken regel som används och vilken trafik som matchas kan du få full insyn i trafiken.
Prestandaeffektivitet
Slut på SNAT-portar
- Om det behövs fler än 512 000 portar använder du en NAT-gateway med Azure Firewall. Om du vill skala upp den gränsen kan du ha upp till +1 miljon portar när du kopplar en NAT-gateway till Azure Firewall undernätet. Mer information finns i Skala SNAT-portar med Azure NAT Gateway.
Automatisk skalning och prestanda
- Azure Firewall använder automatisk skalning. Det kan gå upp till 30 Gbit/s.
- Azure Firewall börjar alltid med 2 instanser. Den skalar upp och ned baserat på CPU och nätverkets dataflöde. Efter en automatisk skalning Azure Firewall antingen n-1- eller n+1-instanser.
- Uppskalning sker om tröskelvärdet för CPU eller dataflöde är större än 60 %, i mer än fem minuter.
- Nedskalning sker om tröskelvärdet för CPU eller dataflöde är under 60 %, i mer än 30 minuter. Nedskalningsprocessen sker smidigt (instanser tas bort). De aktiva anslutningarna på de avetablera instanserna kopplas från och växlas över till andra instanser. För de flesta program orsakar den här processen inga driftstopp, men program bör ha någon typ av automatisk återanslutning. (Majoriteten har redan den här funktionen.)
- Om du utför belastningstester ser du till att skapa inledande trafik som inte är en del av dina belastningstester, 20 minuter före testet. Detta gör att Azure Firewall instansen kan skala upp sina instanser till max. Använd diagnostikinställningar för att avbilda uppskalnings- och nedskalningshändelser.
- Överskrid inte 10 000 nätverksregler och se till att du använder IP-grupper. När du skapar nätverksregler bör du komma ihåg att Azure faktiskt har flera portar x IP-adresserför varje regel, så om du har en regel med fyra IP-adressintervall och fem portar förbrukar du faktiskt 20 nätverksregler. Försök alltid att sammanfatta IP-intervall.
- Det finns inga begränsningar för programregler.
- Lägg till Tillåt regler först och lägg sedan till Neka-reglerna till de lägsta prioritetsnivåerna.
Tillförlitlighet
Azure Firewall olika serviceavtal för när den distribueras i en enda tillgänglighetszon och när den distribueras i flera zoner. Mer information finns i SLA för Azure Firewall. Information om alla Serviceavtal för Azure finns på sidan med Serviceavtal för Azure.
Kom ihåg att ta hänsyn till att Azure Firewalls och virtuella nätverk är regionala resurser för arbetsbelastningar som är utformade för att vara motståndskraftiga mot fel och för att vara feltoleranta.
Övervaka mätvärden noggrant, särskilt SNAT-portanvändning, brandväggens hälsotillstånd och dataflöde.
Undvik att lägga till flera enskilda IP-adresser eller IP-adressintervall i dina nätverksregler. Använd supernät i stället eller IP-grupper när det är möjligt. Azure Firewall flera IP-adresser x regler,och det kan göra att du når gränsen på 10 000 rekommenderade regler.
Säkerhet
- Förstå logik för regelbearbetning:
- Azure Firewall NAT-regler, nätverksregler och programregler. Reglerna bearbetas enligt regeltypen. Mer information finns Azure Firewall om regelbearbetningslogikAzure Firewall Manager logik för regelbearbetning.
- Använd FQDN-filtrering i nätverksregler.
- Du kan använda FQDN i nätverksregler, baserat på DNS-upplösning i Azure Firewall och brandväggsprincip. Med den här funktionen kan du filtrera utgående trafik med alla TCP/UDP-protokoll (inklusive NTP, SSH, RDP med mera). Du måste aktivera DNS-proxyn för att använda FQDN i dina nätverksregler. Se hur det fungerar på Azure Firewall FQDN-filtrering i nätverksregler.
- Om du filtrerar inkommande Internettrafik med Azure Firewall-princip DNAT av säkerhetsskäl är den rekommenderade metoden att lägga till en specifik Internetkälla, tillåta DNAT-åtkomst till nätverket och undvika att använda jokertecken.
- Använd Azure Firewall för att skydda privata slutpunkter (virtual WAN-scenariot). Mer information finns i Skydda trafik till privata slutpunkter i Azure Virtual WAN.
- Konfigurera hotinformation:
- Filtrering baserad på hotinformation kan konfigureras för din princip Azure Firewall varna och neka trafik från och till kända skadliga IP-adresser och domäner. Mer information finns i Azure Firewall för hotinformation.
- Använd Azure Firewall Manager:
- Azure Firewall Manager är en säkerhetshanteringstjänst som tillhandahåller en central säkerhetsprincip och väghantering för molnbaserade säkerhets perimeterer. Den innehåller följande funktioner:
- Central Azure Firewall distribution och konfiguration.
- Hierarkiska principer (globala och lokala).
- Integrerad med säkerhet som en tjänst från tredje part för avancerad säkerhet.
- Centraliserad väghantering.
- Förstå hur principer tillämpas Azure Firewall Manager principöversikten.
- Använd Azure Firewall för att definiera en regelhierarki. Se Använda Azure Firewall för att definiera en regelhierarki.
- Azure Firewall Manager är en säkerhetshanteringstjänst som tillhandahåller en central säkerhetsprincip och väghantering för molnbaserade säkerhets perimeterer. Den innehåller följande funktioner:
- Använd Azure Firewall Premium:
- Azure Firewall Premium är en nästa generations brandvägg med funktioner som krävs för mycket känsliga och reglerade miljöer. Den innehåller följande funktioner:
- TLS-kontroll – Dekrypterar utgående trafik, bearbetar data, krypterar data och skickar dem sedan till målet.
- IDPS – Med ett system för identifiering och skydd mot nätverksintrång (IDPS) kan du övervaka nätverksaktiviteter för skadlig aktivitet, logga information om den här aktiviteten, rapportera den och eventuellt försöka blockera den.
- URL-filtrering – utökar Azure Firewall FQDN-filtreringsfunktion för att överväga en hel URL. Den filtrerade URL:en kan till exempel www.contoso.com/a/c i stället för www.contoso.com.
- Webbkategorier – Administratörer kan tillåta eller neka användare åtkomst till webbplatskategorier, till exempel webbplatser för webbplatser i sociala medier med mera.
- Mer information finns Azure Firewall Premium förhandsversionsfunktioner.
- Azure Firewall Premium är en nästa generations brandvägg med funktioner som krävs för mycket känsliga och reglerade miljöer. Den innehåller följande funktioner:
- Distribuera en säkerhetspartnerprovider:
- Med säkerhetspartnerproviders i Azure Firewall Manager kan du använda ditt välbekanta SECaaS-erbjudande (Security as a Service) från tredje part för att skydda Internetåtkomsten för dina användare.
- Med en snabb konfiguration kan du skydda en hubb med en säkerhetspartner som stöds. Du kan dirigera och filtrera Internettrafik från dina virtuella nätverk (VNet) eller grenplatser inom en region. Du kan göra detta med automatiserad väghantering utan att konfigurera och hantera användardefinierade vägar (UDR).
- De aktuella säkerhetspartner som stöds är Zscaler, Check Point och iboss.
- Mer information finns i Distribuera en Azure Firewall Manager en säkerhetspartnerprovider.
Nästa steg
Relaterade resurser
- Azure Firewall översikt över Azure Firewall arkitektur
- Azure Well-Architected Framework-granskning av Azure Application Gateway
- Brandvägg och Application Gateway för virtuella nätverk
- Välj mellan peering för virtuella nätverk och VPN-gatewayer
- Nätverkstopologi av typen hub-spoke i Azure
- Säkerhetsaspekter för mycket känsliga IaaS-appar i Azure