Azure Güvenlik Duvarı Premium özellikleri

  • Makale
  • Okumak için 8 dakika

ICSA sertifikasyon logosu PCI sertifikasyon logosu

Azure Güvenlik Duvarı Premium, ödeme ve sağlık sektörleri gibi son derece hassas ve düzenlemeye tabi ortamların ihtiyaçlarını karşılayacak gelişmiş tehdit koruması sağlar.

Kuruluşlar, kötü amaçlı Premium virüslerin ağlar arasında hem yanal hem de yatay yönde yayılmasını önlemek için IDPS ve TLS gibi stok tutma birimi (SKU) özelliklerinden faydalanabiliyor. IDPS ve TLS incelemesinin artan performans taleplerini karşılamak için Azure Güvenlik Duvarı Premium daha güçlü bir sanal makine SKU'su kullanır. Standart SKU'da olduğu gibi, Premium SKU'su da sorunsuzca 30 Gbps'ye kadar ölçeklendirin ve yüzde 99,99 hizmet düzeyi anlaşmasını (SLA) desteklemek için kullanılabilirlik alanlarıyla tümleştirin. SKU Premium Ödeme Kartı Sektörü Veri Güvenliği Standardı (PCI DSS) ortamı ihtiyaçlarına uygun şekilde tasarlanmıştır.

Azure Güvenlik Duvarı Premium genel bakış diyagramı

Azure Güvenlik Duvarı Premium aşağıdaki özellikleri içerir:

  • TLS denetimi: Giden trafiğin şifresini çözebilir, verileri işler, ardından verileri şifreler ve hedefe gönderir.
  • IDPS - Bir ağ izinsiz giriş algılama ve önleme sistemi (IDPS), kötü amaçlı etkinlikler için ağ etkinliklerini izlemenizi, bu etkinlikle ilgili bilgileri günlüğe bildirmenizi, bildirmenizi ve isteğe bağlı olarak engellemeyi denemenizi sağlar.
  • URL filtreleme - url'Azure Güvenlik Duvarı bir URL'nin tamamını göz önünde bulunduracak şekilde, FQDN filtreleme özelliğini genişleter. Örneğin yerine www.contoso.com/a/c www.contoso.com .
  • Web kategorileri - yöneticiler web siteleri, sosyal medya web siteleri ve diğer web siteleri gibi web sitesi kategorilerine kullanıcı erişimine izin verme veya erişimi reddeder.

TLS incelemesi

Azure Güvenlik Duvarı Premium ve doğu-batı TLS bağlantılarını sonlandırılır. Gelen TLS incelemesi, 4 Azure Application Gateway şifrelemeye izin verme özelliğiyle birlikte de desteklenir. Azure Güvenlik Duvarı gerekli katma değerli güvenlik işlevlerini gerçekleştirir ve özgün hedefe gönderilen trafiği yeniden şifreler.

İpucu

TLS 1.0 ve 1.1 kullanım dışıdır ve destek desteklemez. TLS/Güvenli Yuva Katmanı 'nin (SSL) TLS 1.0 ve 1.1 sürümlerinin güvenlik açığı olduğu tespit edildi ve şu anda geriye dönük uyumluluk için çalışmaya devam ederken bunlar önerilmez. Mümkün olan en kısa sürede TLS 1.2'ye geçiş.

Ara CA sertifika gereksinimlerini Azure Güvenlik Duvarı Premium daha fazla bilgi edinmek için bkz. Azure Güvenlik Duvarı Premium sertifikalar.

IDPS

Bir ağ izinsiz giriş algılama ve önleme sistemi (IDPS), ağlarınızı kötü amaçlı etkinlik için izlemenizi, bu etkinlikle ilgili bilgileri günlüğe bildirmenizi, bildirmenizi ve isteğe bağlı olarak engellemeyi denemenizi sağlar.

Azure Güvenlik Duvarı Premium ağ trafiğinde byte dizileri veya kötü amaçlı yazılım tarafından kullanılan bilinen kötü amaçlı yönerge dizileri gibi belirli desenlere bakarak saldırıların hızlı algılanmasına olanak sağlayan imza tabanlı IDPS sağlar. IDPS imzaları hem uygulama hem de ağ düzeyindeki trafik (Katman 4-7) için geçerlidir, tam olarak yönetilir ve sürekli güncelleştirilir. IDPS gelen, spoke-to-spoke (Doğu-Batı) ve giden trafiğe uygulanabilir.

Aşağıdaki Azure Güvenlik Duvarı/kural kümeleri şunları içerir:

  • Gerçek kötü amaçlı yazılımların parmak izi, Komut ve Denetim, güvenlik açığından yararlanma setleri ve geleneksel önleme yöntemlerinin gözden kaçırması gibi kötü amaçlı etkinliklerde vurgu.
  • 50'den fazla kategoride 58.000'den fazla kural.
    • Kategoriler kötü amaçlı yazılım komutu ve denetimi, kimlik avı, truva atları, botnetler, bilgilendirme olayları, açıklardan yararlanma, güvenlik açıkları, SCADA ağ protokolleri, güvenlik açığından yararlanma seti etkinliği ve daha fazlasını içerir.
  • Her gün 20-40'dan fazla yeni kural yayımlar.
  • Son teknoloji kötü amaçlı yazılım korumalı alanı ve küresel algılayıcı ağı geri bildirim döngüsü kullanılarak düşük hatalı pozitif derecelendirme.

IDPS, şifrelenmeyen trafik için tüm bağlantı noktalarında ve protokollerde saldırıları algılamaya olanak sağlar. Ancak HTTPS trafiğinin denetlenmesi gerektiğinde, Azure Güvenlik Duvarı şifresini çözmek ve kötü amaçlı etkinlikleri daha iyi algılamak için TLS inceleme özelliğini kullanabilirsiniz.

IDPS Atlama Listesi, atlama listesinde belirtilen IP adreslerinden, aralıklardan ve alt ağlardan herhangi biri için trafiği filtrelemeyebilirsiniz.

IDPS İmza kuralları (önizleme) şunları sağlar:

  • Bir veya daha fazla imzayı özelleştirin ve modunu Devre Dışı , Uyarı veya Uyarı ve Reddet olarak değiştirebilirsiniz.

    Örneğin, hatalı bir imza nedeniyle geçerli bir isteğin Azure Güvenlik Duvarı engellenmiş olduğu hatalı pozitif sonuç alırsanız, uygulama kuralları günlüklerinden imza kimliğini kullanabilir ve IDPS modunu kapalı olarak ayarlayın. Bu işlem "yanlış" imzanın yoksayılmasına neden olur ve hatalı pozitif sorununu çözer.

  • Çok fazla düşük öncelikli uyarı oluşturan ve dolayısıyla yüksek öncelikli uyarıların görünürlüğüne müdahale eden imzalar için de aynı hassas ayar yordamını uygulayabilirsiniz.

  • 55.000 imzanın tamamının bütünsel bir görünümünü elde

  • Akıllı arama

    Herhangi bir öznitelik türüne göre imza veritabanının tamamına aramanızı sağlar. Örneğin, yalnızca arama çubuğuna kimliği yazarak bu CVE ile hangi imzaların ilgilen yaptığını bulmak için belirli CVE-ID araması edebilirsiniz.

URL filtreleme

URL filtreleme, Azure Güvenlik Duvarı bir URL'nin tamamını dikkate alan FQDN filtreleme özelliğini genişlettir. Örneğin yerine www.contoso.com/a/c www.contoso.com .

URL Filtreleme hem HTTP hem de HTTPS trafiğine uygulanabilir. HTTPS trafiği incelene Azure Güvenlik Duvarı Premium trafiğin şifresini çözmek ve erişime izin verili olmadığını doğrulamak için hedef URL'yi ayıklamak için TLS inceleme özelliğini kullanabilir. TLS incelemesi için uygulama kuralı düzeyinde kabul etmek gerekir. Etkinleştirildikten sonra, HTTPS ile filtreleme için URL'leri kullanabilirsiniz.

Web kategorileri

Web kategorileri, yöneticilerin web sitesi, sosyal medya web siteleri ve diğerleri gibi web sitesi kategorilerine kullanıcı erişimine izin vermesine veya erişimini reddetmesine olanak sağlar. Web kategorileri de Azure Güvenlik Duvarı Standard'a dahil edilecektir, ancak daha hassas bir şekilde Azure Güvenlik Duvarı Premium. Standart SKU'daki FQDN'yi temel alan kategoriyle eşleşen Web kategorileri özelliğinin aksine, Premium SKU'su hem HTTP hem de HTTPS trafiğinin URL'sinin tamamına göre kategoriyle eşler.

Örneğin, Azure Güvenlik Duvarı https isteğini kesmişse www.google.com/news aşağıdaki kategorilere ayırma beklenir:

  • Güvenlik Duvarı Standart – Yalnızca FQDN bölümü incelendiğinden Arama Altyapısı www.google.com olarak kategorilere ayrılmıştır.

  • Güvenlik Premium– URL'nin tamamı incelendiğinden, www.google.com/news Haberler olarak kategorilere ayrılmış olur.

Kategoriler; Sorumluluk, Yüksek Bant Genişliği, İş Kullanımı, Üretkenlik Kaybı, Genel Bakım , ve Kategorilere Ayrılır altında önem derecesine göre düzenlenmiştir. Web kategorilerinin ayrıntılı açıklaması için bkz. Azure Güvenlik Duvarı kategorileri.

Web kategorisi günlüğü

Uygulama günlüklerinde Web kategorilerine göre filtrelenmiş trafiği görüntüleyebilirsiniz. Web kategorileri alanı yalnızca güvenlik duvarı ilkesi uygulama kurallarında açıkça yapılandırılmışsa görüntülenir. Örneğin, Arama Altyapılarını açıkça reddeden bir kuralınız yoksa ve bir kullanıcı www.bing.com'a gitmek isteğinde varsa, Web kategorileri iletisi yerine yalnızca varsayılan bir reddetme iletisi görüntülenir. Bunun nedeni web kategorisinin açıkça yapılandırılmamış durumdan dolayıdır.

Kategori özel durumları

Web kategorisi kurallarınız için özel durumlar oluşturabilirsiniz. Kural koleksiyonu grubu içinde daha yüksek önceliğe sahip ayrı bir izin verme veya reddetme kuralı koleksiyonu oluşturun. Örneğin, 200 önceliğe sahip Sosyal ağı geri alan bir kural koleksiyonu ile 100 önceliğe izin veren bir kural www.linkedin.com koleksiyonu yapılandırarak. Bu, önceden tanımlanmış Sosyal ağ web kategorisi için özel durum oluşturur.

Web Kategorisi Denetimi özelliğini kullanarak, verilen bir FQDN veya URL'nin hangi kategori olduğunu tanımlayabilirsiniz. Bunu kullanmak için Güvenlik Duvarı İlkesi'nin altındaki Web Kategorileri sekmesini Ayarlar. Bu, hedef trafik için uygulama kurallarınızı tanımlarken özellikle yararlıdır.

Güvenlik duvarı kategorisi arama iletişim kutusu

Kategori değişikliği

Güvenlik Duvarı İlkesi'nin Web Kategorileri sekmesinde Ayarlar, şunları yaptıysanız bir kategori değişikliği isteğinde bulabilirsiniz:

  • FQDN veya URL'nin farklı bir kategori altında olması gerektiğini düşünebilirsiniz

    veya

  • kategorilere yoksayılmamış FQDN veya URL için önerilen kategoriye sahip

Bir kategori değişiklik raporu gönderdiğinizde, bildirimlerde işleme isteği aldıklarını belirten bir belirteç verilir. Arama çubuğuna belirteci girerek isteğin devam ediyor, reddedildi veya onaylandı olup olmadığını kontrol edin. Bunu yapmak için belirteç kimliğinizi kaydetmeyi emin olun.

Güvenlik duvarı kategorisi rapor iletişim kutusu

Desteklenen bölgeler

Azure Güvenlik Duvarı Premium aşağıdaki bölgelerde desteklemektedir:

  • Orta Avustralya (Genel / Avustralya)
  • Orta Avustralya 2 (Genel / Avustralya)
  • Doğu Avustralya (Genel / Avustralya)
  • Güneydoğu Avustralya (Genel / Avustralya)
  • Güney Brezilya (Genel / Brezilya)
  • Güneydoğu Brezilya (Genel / Brezilya)
  • Orta Kanada (Genel / Kanada)
  • Doğu Kanada (Genel / Kanada)
  • Orta Hindistan (Genel / Hindistan)
  • Orta ABD (Genel / Birleşik Devletler)
  • Orta ABD EUAP (Genel / Canary (ABD))
  • Çin Kuzey 2 (pasta/Çin)
  • Çin Doğu 2 (pasta/Çin)
  • Doğu Asya (genel/Asya Pasifik)
  • Doğu ABD (genel/Birleşik Devletler)
  • Doğu ABD 2 (genel/Birleşik Devletler)
  • Fransa Orta (kamu/Fransa)
  • Fransa Güney (kamu/Fransa)
  • Almanya Orta Batı (genel/Almanya)
  • Japonya Doğu (kamu/Japonya)
  • Japonya Batı (kamu/Japonya)
  • Kore Orta (Genel/Kore)
  • Kore Güney (Genel/Kore)
  • Orta Kuzey ABD (genel/Birleşik Devletler)
  • Kuzey Avrupa (kamu/Avrupa)
  • Norveç Doğu (genel/Norveç)
  • Güney Afrika Kuzey (kamu/Güney Afrika)
  • Orta Güney ABD (genel/Birleşik Devletler)
  • Güney Hindistan (genel/Hindistan)
  • Güneydoğu Asya (genel/Asya Pasifik)
  • İsviçre Kuzey (genel/Isviçre)
  • BAE Orta (genel/UAE)
  • BAE Kuzey (genel/UAE)
  • UK Güney (kamu/Birleşik Krallık)
  • UK Batı (kamu/Birleşik Krallık)
  • USGov Arizona dili (Fairfax/USGov)
  • USGov Texas (Fairfax/USGov)
  • USGov Virginia (Fairfax/USGov)
  • Orta Batı ABD (genel/Birleşik Devletler)
  • Batı Avrupa (kamu/Avrupa)
  • Batı Hindistan (genel/Hindistan)
  • Batı ABD (genel/Birleşik Devletler)
  • Batı ABD 2 (genel/Birleşik Devletler)
  • Batı ABD 3 (ortak/Birleşik Devletler)

Bilinen sorunlar

Azure güvenlik duvarı Premium aşağıdaki bilinen sorunlara sahiptir:

Sorun Description Risk azaltma
HTTPS 'de FQDN çözümlemesi için ESNı desteği Şifrelenmiş SNı, HTTPS el sıkışması içinde desteklenmez. Yalnızca bugün Firefox, özel yapılandırma ile ESNı destekler. Önerilen geçici çözüm bu özelliği devre dışı bırakdır.
İstemci sertifikaları (TLS) İstemci sertifikaları, istemci ve sunucu arasında karşılıklı kimlik güveni oluşturmak için kullanılır. İstemci sertifikaları, bir TLS anlaşması sırasında kullanılır. Azure Güvenlik Duvarı, sunucuyla bir bağlantıyı yeniden sağlar ve istemci sertifikalarının özel anahtarına erişemez. Hiçbiri
QUIC/HTTP3 QUIC, HTTP 'nin yeni ana sürümüdür. Bu, 80 (PLAN) ve 443 (SSL) üzerinden UDP tabanlı bir protokoldür. FQDN/URL/TLS incelemesi desteklenmez. UDP 80/443 ' i ağ kuralları olarak geçirmeyi yapılandırın.
Güvenilmeyen müşteri tarafından imzalanan sertifikalar Bir intranet tabanlı Web sunucusundan alındıktan sonra, müşteri tarafından imzalanan sertifikalara güvenlik duvarı tarafından güvenilmiyor. Bir düzelme araştırılır.
HTTP için ıDPS ile ilgili uyarılarda yanlış kaynak IP adresi (TLS denetimi olmadan). Düz metin HTTP trafiği kullanımda olduğunda ve ıDPS yeni bir uyarı yayınlar ve hedef bir genel IP adresi ise, görünen kaynak IP adresi yanlış olur (özgün IP adresi yerine iç IP adresi görüntülenir). Bir düzelme araştırılır.
Sertifika yayma Güvenlik duvarında bir CA sertifikası uygulandıktan sonra, sertifikanın etkili olması 5-10 dakika sürebilir. Bir düzelme araştırılır.
TLS 1,3 desteği TLS 1,3 kısmen desteklenir. İstemciden güvenlik duvarına olan TLS tüneli, TLS 1,2 ' i temel alır ve güvenlik duvarındaki dış Web sunucusuna TLS 1,3 ' i temel alır. Güncelleştirmeler araştırılmaktadır.
Anahtar Kasası özel uç noktası Anahtar Kasası, ağ pozlamasını sınırlamak için özel uç nokta erişimini destekler. Güvenilen Azure Hizmetleri, bir özel durum Keykasası belgelerindeaçıklandığı şekilde yapılandırıldıysa bu sınırlamayı atlayabilir. Azure Güvenlik Duvarı şu anda güvenilir bir hizmet olarak listelenmemiştir ve Key Vault erişemez. Bir düzelme araştırılır.
IDPS atlama listesi IDPS atlama listesi, IP gruplarını desteklemez. Bir düzelme araştırılır.

Sonraki adımlar