Kdy použít Azure Firewall Premium
Organizace můžou používat funkce Služby Azure Firewall Premium, jako je kontrola IDPS a TLS, aby se zabránilo šíření malwaru a virů mezi sítěmi v laterálních i horizontálních směrech. Ke splnění zvýšených požadavků na výkon kontroly ZPS a TLS používá Azure Firewall Premium výkonnější skladovou položku virtuálního počítače. Stejně jako skladová položka Standard může skladová položka Premium bezproblémově vertikálně navýšit kapacitu až 30 Gb/s a integrovat se zónami dostupnosti, aby podporovala smlouvu o úrovni služeb (SLA) o 99,99 %. Skladová položka Premium vyhovuje potřebám prostředí PCI DSS (Payment Card Industry Data Security Standard).
Abyste se mohli rozhodnout, jestli je azure Firewall Premium pro vaši organizaci správný, zvažte následující scénáře:
Chcete zkontrolovat odchozí síťový provoz šifrovaný protokolem TLS.
Kontrola protokolu TLS úrovně Premium ve službě Azure Firewall může dešifrovat odchozí provoz, zpracovat data, pak je zašifrovat a odeslat do cíle.
Azure Firewall Premium ukončuje odchozí a západní připojení TLS. Kontrola příchozího protokolu TLS se podporuje u brány Aplikace Azure, která umožňuje kompletní šifrování. Azure Firewall provádí požadované funkce zabezpečení přidané hodnotou a znovu šifruje provoz odesílaný do původního cíle.
Chcete chránit síť pomocí detekce škodlivého provozu na základě podpisu.
Systém pro detekci a prevenci neoprávněných vniknutí sítě (IDPS) umožňuje monitorovat škodlivou aktivitu ve vaší síti. Umožňuje také protokolovat informace o této aktivitě, hlásit je a volitelně se o ni pokoušet blokovat.
Azure Firewall Premium poskytuje protokol IDPS založený na podpisu, který umožňuje rychlou detekci útoků vyhledáním konkrétních vzorů, jako jsou sekvence bajtů v síťovém provozu nebo známé škodlivé sekvence instrukcí používané malwarem. Podpisy IDPS platí pro provoz na úrovni aplikace i sítě (vrstvy 4–7). Jsou plně spravované a průběžně aktualizované. Ip adresu IDPS můžete použít pro příchozí, paprskový (východ–západ) a odchozí provoz.
Mezi podpisy a sady pravidel služby Azure Firewall patří:
- Důraz na otisky prstů skutečného malwaru, příkazů a řízení, zneužití sad a v divoké škodlivé aktivitě vynechané tradičními metodami prevence.
- Více než 55 000 pravidel ve více než 50 kategoriích.
- Mezi tyto kategorie patří příkazy a řízení malwaru, útoky doS, botnety, informační události, zneužití, ohrožení zabezpečení, síťové protokoly SCADA, aktivita exploit kit a další.
- Každý den se vydává 20 až 40 nových pravidel.
- Nízké falešně pozitivní hodnocení pomocí nejmodernějšího malwarového sandboxu a globální smyčky zpětné vazby ze sítě senzorů.
IDPS umožňuje detekovat útoky ve všech portech a protokolech pro nešifrovaný provoz. Pokud je ale potřeba zkontrolovat provoz HTTPS, azure Firewall může k dešifrování provozu a lepší detekci škodlivých aktivit použít funkci kontroly protokolu TLS.
Seznam obejití zprostředkovatele identity umožňuje nefiltrovat provoz na žádné IP adresy, rozsahy a podsítě zadané v seznamu obejití.
Pravidla podpisu můžete také použít, když je režim IDPS nastavený na Výstraha. Existuje ale jeden nebo více konkrétních podpisů, které chcete blokovat, včetně souvisejícího provozu. V takovém případě můžete přidat nová pravidla podpisu nastavením režimu kontroly protokolu TLS tak, aby se odepíral.
Chcete rozšířit možnosti filtrování plně kvalifikovaného názvu domény služby Azure Firewall, abyste zvážili celou adresu URL.
Azure Firewall Premium může filtrovat na celou adresu URL. Například místo www.contoso.com/a/c www.contoso.com.
Filtrování adres URL se dá použít jak u provozu HTTP, tak https. Při kontrole provozu HTTPS může Azure Firewall Premium použít funkci kontroly protokolu TLS k dešifrování provozu a extrahování cílové adresy URL k ověření, jestli je povolený přístup. Kontrola protokolu TLS vyžaduje souhlas na úrovni pravidla aplikace. Po povolení můžete použít adresy URL k filtrování pomocí protokolu HTTPS.
Chcete povolit nebo odepřít přístup na základě kategorií.
Funkce webových kategorií umožňuje správcům povolit nebo odepřít přístup uživatelů k kategoriím webů, jako jsou například weby s hazardem, weby sociálních médií a další. Webové kategorie jsou také zahrnuté ve službě Azure Firewall Standard, ale v Azure Firewall Premium je to jemněji vyladěné. Na rozdíl od funkce webových kategorií ve skladové posílané jednotce Standard, která odpovídá kategorii založené na plně kvalifikovaném názvu domény, odpovídá skladová položka Premium kategorii podle celé adresy URL provozu HTTP i HTTPS.
Pokud například Azure Firewall zachytí požadavek HTTPS na www.google.com/news, očekává se následující kategorizace:
- Standard brány firewall – zkoumá se pouze část plně kvalifikovaného názvu domény, takže www.google.com je zařazena do kategorií jako vyhledávací web.
- Firewall Premium – prověří se úplná adresa URL, takže www.google.com/news je zařazená do kategorií jako Zprávy.
Kategorie jsou uspořádány na základě závažnosti v rámci Odpovědnosti, Vysoká šířka pásma, Obchodní použití, Ztráta produktivity, Obecné Surfování a Nezařazeno.