Azure Well-Architected Framework-Perspektive für Azure Firewall

Azure Firewall ist ein cloudeigener und intelligenter Netzwerkfirewall-Sicherheitsdienst, der bedrohungsbeste Schutz für Ihre Cloudworkloads bietet, die in Azure ausgeführt werden. Es ist ein vollständig zustandsbehafteter, verwalteter Firewalldienst, der über integrierte hohe Verfügbarkeit und uneingeschränkte Cloud-Skalierbarkeit verfügt. Azure Firewall bietet sowohl Ost-West- als auch Nord-Süd-Datenverkehrsüberprüfung.

In diesem Artikel wird davon ausgegangen, dass Sie als Architekt die Sicherheitsoptionen für virtuelle Netzwerke überprüft und Azure Firewall als Netzwerksicherheitsdienst für Ihre Workload ausgewählt haben. Die Anleitung in diesem Artikel enthält Architekturempfehlungen, die den Prinzipien der Säulen des Azure Well-Architected Framework zugeordnet sind.

Wichtig

So verwenden Sie dieses Handbuch

Jeder Abschnitt verfügt über eine Entwurfsprüfliste , die architektonische Themenbereiche zusammen mit Designstrategien darstellt, die auf den Technologiebereich lokalisiert sind.

Außerdem sind Empfehlungen zu den Technologiefunktionen enthalten, die bei der Materialisierung dieser Strategien helfen können. Die Empfehlungen stellen keine vollständige Liste aller Konfigurationen dar, die für Azure Firewall und deren Abhängigkeiten verfügbar sind. Stattdessen werden die wichtigsten Empfehlungen aufgelistet, die den Entwurfsperspektiven zugeordnet sind. Verwenden Sie die Empfehlungen, um Ihre Machbarkeitsstudie zu erstellen oder Ihre vorhandenen Umgebungen zu optimieren.

Grundlegende Architektur, die die wichtigsten Empfehlungen veranschaulicht: Hub-Spoke-Netzwerktopologie in Azure.

Technologieumfang

Diese Überprüfung konzentriert sich auf die miteinander verbundenen Entscheidungen für die folgenden Azure-Ressourcen:

  • Azure Firewall
  • Azure Firewall Manager

Zuverlässigkeit

Der Zweck der Zuverlässigkeitssäule besteht darin, fortlaufende Funktionen bereitzustellen, indem genügend Resilienz und die Fähigkeit zur schnellen Wiederherstellung von Fehlern erstellt werden.

Die Zuverlässigkeitsdesignprinzipien bieten eine allgemeine Designstrategie, die für einzelne Komponenten, Systemflüsse und das gesamte System angewendet wird.

Prüfliste für den Entwurf

Starten Sie Ihre Designstrategie basierend auf der Prüfliste für die Designüberprüfung für Zuverlässigkeit. Bestimmen Sie ihre Relevanz für Ihre Geschäftlichen Anforderungen, und berücksichtigen Sie dabei die Richtlinien und die Art der verwendeten Architektur. Erweitern Sie die Strategie, um bei Bedarf weitere Ansätze einzuschließen.

  • Überprüfen Sie die Liste der bekannten Probleme der Azure Firewall. Azure Firewall-Produkte verwalten eine aktualisierte Liste bekannter Probleme. Diese Liste enthält wichtige Informationen über das By-Design-Verhalten, Korrekturen im Bauwesen, Plattformbeschränkungen und mögliche Problemumgehungen oder Gegenmaßnahmen.

  • Stellen Sie sicher, dass Ihre Azure Firewall-Richtlinie den Grenzwerten und Empfehlungen der Azure Firewall entspricht. Die Richtlinienstruktur weist Beschränkungen auf, einschließlich der Anzahl der Regeln und Regelsammlungsgruppen, der Gesamtrichtliniengröße, der Quellziele und der Zielziele. Achten Sie darauf, Ihre Richtlinie zu verfassen und unter den dokumentierten Schwellenwerten zu bleiben.

  • Bereitstellen von Azure Firewall in mehreren Verfügbarkeitszonen für eine Vereinbarung auf höherer Dienstebene (SLA). Azure Firewall bietet unterschiedliche SLAs, je nachdem, ob Sie den Dienst in einer einzelnen Verfügbarkeitszone oder mehreren Zonen bereitstellen. Weitere Informationen finden Sie unter SLAs für Onlinedienste.

  • Stellen Sie eine Azure Firewall-Instanz in jeder Region in Umgebungen mit mehreren Regionen bereit. Informationen zu herkömmlichen Hub-and-Spoke-Architekturen finden Sie unter Überlegungen zu mehreren Regionen. Konfigurieren Sie routingabsichten und Richtlinien für gesicherte virtuelle Azure WAN-Hubs, um die Kommunikation zwischen Hubs und Verzweigungen zu verzweigen zu sichern. Bei ausfallsicheren und fehlertoleranten Workloads sollten Sie Instanzen von Azure Firewall und Azure Virtual Network als regionale Ressourcen in Betracht ziehen.

  • Überwachen Sie Azure Firewall-Metriken und den Status der Ressourcenintegrität. Azure Firewall ist in Azure Resource Health integriert. Verwenden Sie die Überprüfung "Ressourcenintegrität", um den Integritätsstatus von Azure Firewall anzuzeigen und Dienstprobleme zu beheben, die sich auf Ihre Azure Firewall-Ressource auswirken können.

  • Stellen Sie Azure Firewall in virtuellen Hubnetzwerken oder als Teil von virtuellen WAN-Hubs bereit.

Hinweis

Die Verfügbarkeit von Netzwerkdiensten unterscheidet sich zwischen dem herkömmlichen Hub-and-Spoke-Modell und dem vom virtuellen WAN verwalteten gesicherten Hubs-Modell. In einem virtuellen WAN-Hub kann die öffentliche Azure-Firewall-IP z. B. nicht aus einem öffentlichen IP-Präfix stammen und azure DDoS Protection nicht aktiviert sein. Berücksichtigen Sie bei der Auswahl Ihres Modells Ihre Anforderungen in allen fünf Säulen des Well-Architected Framework.

Empfehlungen

Empfehlung Vorteil
Stellen Sie Azure Firewall in mehreren Verfügbarkeitszonen bereit. Stellen Sie Azure Firewall über mehrere Verfügbarkeitszonen bereit, um ein bestimmtes Maß an Ausfallsicherheit aufrechtzuerhalten. Wenn eine Zone einen Ausfall erlebt, bedient eine andere Zone weiterhin Datenverkehr.
Überwachen von Azure Firewall-Metriken in einem Log Analytics-Arbeitsbereich. Überwachen Sie Metriken, die den Integritätsstatus der Azure Firewall angeben, z . B. Durchsatz, Firewallintegritätszustand, SNAT-Portauslastung und AZFW-Latenzsondenmetriken .

Verwenden Sie Azure Service Health, um die Azure Firewall-Integrität zu überwachen.
Überwachen Sie Ressourcenmetriken und Dienststatus, damit Sie erkennen können, wann ein Dienststatus beeinträchtigt wird, und proaktive Maßnahmen ergreifen, um Fehler zu verhindern.

Sicherheit

Der Zweck der Säule „Security“ besteht darin, Garantien für die Arbeitsauslastung für Vertraulichkeit, Integrität und Verfügbarkeit bereitzustellen.

Die Prinzipien des Sicherheitsdesigns stellen eine allgemeine Designstrategie für die Erreichung dieser Ziele bereit, indem Ansätze auf das technische Design von Azure Firewall angewendet werden.

Prüfliste für den Entwurf

Starten Sie Ihre Designstrategie basierend auf der Prüfliste für die Designüberprüfung für Sicherheit. Identifizieren Sie Sicherheitsrisiken und Kontrollen, um den Sicherheitsstatus zu verbessern. Erweitern Sie die Strategie, um bei Bedarf weitere Ansätze einzuschließen.

  • Senden Sie den gesamten Internetdatenverkehr von Ihrer Workload über eine Firewall oder eine virtuelle Netzwerk-Appliance (NVA), um Bedrohungen zu erkennen und zu blockieren. Konfigurieren Sie benutzerdefinierte Routen (UDRs), um den Datenverkehr über die Azure Firewall zu erzwingen. Bei Webdatenverkehr sollten Sie die Verwendung der Azure-Firewall als expliziten Proxy in Betracht ziehen.

    Konfigurieren Sie unterstützte Partnersoftware als SaaS-Sicherheitsanbieter in Firewall Manager, wenn Sie diese Anbieter verwenden möchten, um ausgehende Verbindungen zu schützen.

    Beschränken Sie die Verwendung öffentlicher IP-Adressen , die direkt an virtuelle Computer gebunden sind, sodass der Datenverkehr die Firewall nicht umgehen kann. Das Azure Cloud Adoption Framework-Modell weist der CORP-Verwaltungsgruppe eine bestimmte Azure-Richtlinie zu.

    Befolgen Sie den Zero Trust-Konfigurationsleitfaden für Azure Firewall und Anwendungsgateway, wenn Ihre Sicherheitsanforderungen erfordern, dass Sie einen Zero Trust-Ansatz für Webanwendungen implementieren, z. B. das Hinzufügen von Inspektion und Verschlüsselung. Befolgen Sie dieses Handbuch , um Azure Firewall und Anwendungsgateway sowohl für herkömmliche Hub- als auch für virtuelle WAN-Szenarien zu integrieren.

    Weitere Informationen finden Sie unter Anwenden von Firewalls am Edge.

  • Richten Sie Netzwerkperimeter als Teil Ihrer Workloadsegmentierungsstrategie ein, um den Explosionsradius zu steuern, Workloadressourcen zu verschleiern und unerwarteten, verbotenen und unsicheren Zugriff zu blockieren. Erstellen Sie Regeln für Azure Firewall-Richtlinien basierend auf den Kriterien für den Zugriff auf die geringsten Berechtigungen.

    Legen Sie die öffentliche IP-Adresse auf "Keine " fest, um eine vollständig private Datenebene bereitzustellen, wenn Sie Azure Firewall im Erzwungenen Tunnelmodus konfigurieren. Dieser Ansatz gilt nicht für virtual WAN.

    Verwenden Sie vollqualifizierte Domänennamen (Fully Qualified Domain Names, FQDN) und Diensttags, wenn Sie Netzwerkregeln definieren, um die Verwaltung zu vereinfachen.

  • Verwenden Sie Erkennungsmechanismen , um sorgfältig auf Bedrohungen und Anzeichen von Missbrauch zu überwachen. Nutzen Sie plattformgestützte Erkennungsmechanismen und -maßnahmen. Aktivieren Sie das Angriffserkennungs- und Präventionssystem (IDPS). Ordnen Sie Ihrem virtuellen Hubnetzwerk einen Azure DDoS Protection-Plan zu.

    Weitere Informationen finden Sie unter Erkennen von Missbrauch.

Empfehlungen

Empfehlung Vorteil
Konfigurieren Sie Azure Firewall im Erzwungenen Tunnelmodus , wenn Sie den gesamten internetgebundenen Datenverkehr an einen bestimmten nächsten Hop statt direkt an das Internet weiterleiten müssen. Diese Empfehlung gilt nicht für virtual WAN.

Azure Firewall muss über eine direkte Internetverbindung verfügen. Wenn Ihr AzureFirewallSubnet eine Standardroute zu Ihrem lokalen Netzwerk über das Border Gateway Protocol lernt, müssen Sie azure Firewall im erzwungenen Tunnelmodus konfigurieren. Sie können das Feature zum Erzwungenen Tunneln verwenden, um einen weiteren /26-Adressraum für das Azure Firewall Management-Subnetz hinzuzufügen. Benennen Sie das Subnetz AzureFirewallManagementSubnet. Wenn Sie über eine vorhandene Azure Firewall-Instanz verfügen, die Sie im Erzwungenen Tunnelmodus nicht neu konfigurieren können, erstellen Sie eine UDR mit einer Route von 0.0.0.0/0. Legen Sie den NextHopType-Wert als Internet fest. Um die Internetverbindung aufrechtzuerhalten, ordnen Sie die UDR AzureFirewallSubnet zu.

Legen Sie die öffentliche IP-Adresse auf "Keine " fest, um eine vollständig private Datenebene bereitzustellen, wenn Sie Azure Firewall im Erzwungenen Tunnelmodus konfigurieren. Die Verwaltungsebene erfordert jedoch immer noch eine öffentliche IP für Verwaltungszwecke. Der interne Datenverkehr von virtuellen und lokalen Netzwerken verwendet diese öffentliche IP nicht.
Verwenden Sie erzwungene Tunneling, damit Sie Ihre Azure-Ressourcen nicht direkt im Internet verfügbar machen. Dieser Ansatz reduziert die Angriffsfläche und minimiert das Risiko externer Bedrohungen. Um Unternehmensrichtlinien und Complianceanforderungen effektiver zu erzwingen, leiten Sie den gesamten internetgebundenen Datenverkehr über eine lokale Firewall oder eine NVA weiter.
Erstellen Sie Regeln für Firewallrichtlinien in einer hierarchischen Struktur , um eine zentrale Basisrichtlinie zu überlagern. Weitere Informationen finden Sie unter Verwenden von Azure Firewall-Richtlinien zum Verarbeiten von Regeln.

Erstellen Sie Ihre Regeln basierend auf dem Zero Trust-Prinzip mit den geringsten Berechtigungen.
Organisieren Sie Regeln in einer hierarchischen Struktur, damit präzise Richtlinien die Anforderungen bestimmter Regionen erfüllen können. Jede Richtlinie kann unterschiedliche Gruppen von Zielnetzwerkadressenübersetzung (Destination Network Address Translation, DNAT), Netzwerk- und Anwendungsregeln enthalten, die bestimmte Prioritäten, Aktionen und Verarbeitungsaufträge aufweisen.
Konfigurieren Sie unterstützte Sicherheitspartneranbieter innerhalb des Firewall-Managers, um ausgehende Verbindungen zu schützen.

Dieses Szenario erfordert virtuelles WAN mit einem S2S-VPN-Gateway im Hub, da es einen IPsec-Tunnel verwendet, um eine Verbindung mit der Infrastruktur des Anbieters herzustellen. Verwaltete Sicherheitsdienstanbieter berechnen möglicherweise zusätzliche Lizenzgebühren und beschränken den Durchsatz für IPsec-Verbindungen. Sie können auch alternative Lösungen wie Zscaler Cloud Connector verwenden.
Aktivieren Sie Sicherheitspartneranbieter in Azure Firewall, um die vorteile der besten Cloudsicherheitsangebote zu nutzen, die einen erweiterten Schutz für Ihren Internetdatenverkehr bieten. Diese Anbieter bieten spezielle, benutzerfreundliche Filterfunktionen und umfassende Funktionen zur Bedrohungserkennung, die Ihren allgemeinen Sicherheitsstatus verbessern.
Aktivieren Sie die Dns-Proxykonfiguration der Azure Firewall.

Konfigurieren Sie außerdem Azure Firewall so, dass benutzerdefiniertes DNS für die Weiterleitung von DNS-Abfragen verwendet wird.
Aktivieren Sie dieses Feature, um Clients in den virtuellen Netzwerken auf Azure Firewall als DNS-Server zu verweisen. Dieses Feature schützt die interne DNS-Infrastruktur, auf die nicht direkt zugegriffen und verfügbar gemacht wird.
Konfigurieren Sie UDRs so, dass Datenverkehr über die Azure-Firewall in einer herkömmlichen Hub-and-Spoke-Architektur für Die Sprach-zu-Speichen-, Speichen-zu-Internet- und Speichen-zu-Hybrid-Konnektivität erzwungen wird.

Konfigurieren Sie in virtual WAN Routingabsichten und -richtlinien , um privaten Datenverkehr oder Internetdatenverkehr über die Azure Firewall-Instanz umzuleiten, die in den Hub integriert ist.

Wenn Sie keine UDR anwenden können und nur eine Umleitung des Webdatenverkehrs erforderlich ist, verwenden Sie Azure Firewall als expliziten Proxy für den ausgehenden Pfad. Sie können eine Proxyeinstellung für die sendende Anwendung konfigurieren, z. B. einen Webbrowser, wenn Sie Azure Firewall als Proxy konfigurieren.
Senden Sie Datenverkehr über die Firewall, um Datenverkehr zu prüfen und schädlichen Datenverkehr zu identifizieren und zu blockieren.

Verwenden Sie Azure Firewall als expliziten Proxy für ausgehenden Datenverkehr, sodass der Webdatenverkehr die private IP-Adresse der Firewall erreicht und daher direkt von der Firewall ausgeht, ohne eine UDR zu verwenden. Dieses Feature erleichtert auch die Verwendung mehrerer Firewalls, ohne vorhandene Netzwerkrouten zu ändern.
Verwenden Sie die FQDN-Filterung in Netzwerkregeln. Sie müssen die Azure Firewall-DNS-Proxykonfiguration aktivieren, um FQDNs in Ihren Netzwerkregeln zu verwenden. Verwenden Sie FQDNs in Azure Firewall-Netzwerkregeln, damit Administratoren Domänennamen anstelle mehrerer IP-Adressen verwalten können, wodurch die Verwaltung vereinfacht wird. Diese dynamische Auflösung stellt sicher, dass Firewallregeln beim Ändern von Domänen-IPs automatisch aktualisiert werden.
Verwenden Sie Azure Firewall-Diensttags anstelle bestimmter IP-Adressen, um selektiven Zugriff auf bestimmte Dienste in Azure, Microsoft Dynamics 365 und Microsoft 365 zu ermöglichen. Verwenden Sie Diensttags in Netzwerkregeln, damit Sie Zugriffssteuerungen basierend auf Dienstnamen und nicht auf bestimmten IP-Adressen definieren können, wodurch die Sicherheitsverwaltung vereinfacht wird. Microsoft verwaltet und aktualisiert diese Tags automatisch, wenn sich IP-Adressen ändern. Mit dieser Methode wird sichergestellt, dass Ihre Firewallregeln ohne manuelle Eingriffe korrekt und effektiv bleiben.
Verwenden Sie FQDN-Tags in Anwendungsregeln, um selektiven Zugriff auf bestimmte Microsoft-Dienste zu ermöglichen.

Sie können ein FQDN-Tag in Anwendungsregeln verwenden, um den erforderlichen ausgehenden Netzwerkdatenverkehr über Ihre Firewall für bestimmte Azure-Dienste wie Microsoft 365, Windows 365 und Microsoft Intune zuzulassen.
Verwenden Sie FQDN-Tags in Azure Firewall-Anwendungsregeln, um eine Gruppe von FQDNs darzustellen, die bekannten Microsoft-Dienste zugeordnet sind. Diese Methode vereinfacht die Verwaltung von Netzwerksicherheitsregeln.
Aktivieren Sie die Bedrohungserkennung in azure Firewall im Warnungs- und Verweigerungsmodus . Verwenden Sie Bedrohungsintelligenz, um Echtzeitschutz vor neuen Bedrohungen bereitzustellen, wodurch das Risiko von Cyberangriffen reduziert wird. Dieses Feature verwendet den Microsoft Threat Intelligence-Feed, um den Datenverkehr von bekannten bösartigen IP-Adressen, Domänen und URLs automatisch zu benachrichtigen und zu blockieren.
Aktivieren Sie den IDPS im Warnungs- oder Benachrichtigungs - und Verweigerungsmodus . Berücksichtigen Sie die Auswirkungen dieser Funktion auf die Leistung . Aktivieren sie die IDPS-Filterung in Azure Firewall bietet Echtzeitüberwachung und Analyse des Netzwerkdatenverkehrs, um schädliche Aktivitäten zu erkennen und zu verhindern. Dieses Feature verwendet die signaturbasierte Erkennung, um bekannte Bedrohungen schnell zu identifizieren und zu blockieren, bevor sie Schaden verursachen.

Weitere Informationen finden Sie unter Erkennen von Missbrauch.
Verwenden Sie eine interne Zertifizierungsstelle für Unternehmen, um Zertifikate zu generieren, wenn Sie TLS-Inspektion mit Azure Firewall Premium verwenden. Verwenden Sie selbstsignierte Zertifikate nur für Test- und Machbarkeitsnachweise (PoC). Aktivieren Sie die TLS-Inspektion, damit Azure Firewall Premium TLS-Verbindungen beendet und überprüft, um schädliche Aktivitäten in HTTPS zu erkennen, zu benachrichtigen und zu mindern.
Verwenden Sie firewall-Manager, um einen Azure DDoS Protection-Plan mit Ihrem virtuellen Hubnetzwerk zu erstellen und zuzuordnen. Dieser Ansatz gilt nicht für virtual WAN. Konfigurieren Sie einen Azure DDoS Protection-Plan, damit Sie den DDoS-Schutz zusammen mit Ihren Firewallrichtlinien zentral verwalten können. Dieser Ansatz optimiert die Verwaltung Ihrer Netzwerksicherheit und vereinfacht die Bereitstellung und Überwachung von Prozessen.

Kostenoptimierung

Die Kostenoptimierung konzentriert sich auf das Erkennen von Ausgabenmustern, das Priorisieren von Investitionen in kritische Bereiche und die Optimierung in anderen Bereichen, um das Budget der Organisation zu erfüllen, während die Geschäftsanforderungen erfüllt werden.

Die Designprinzipien für die Kostenoptimierung bieten eine allgemeine Designstrategie, um diese Ziele zu erreichen und bei Bedarf kompromisse im technischen Design im Zusammenhang mit Azure Firewall und seiner Umgebung zu treffen.

Prüfliste für den Entwurf

Starten Sie Ihre Designstrategie basierend auf der Prüfliste für die Entwurfsüberprüfung für Kostenoptimierung für Investitionen. Optimieren Sie den Entwurf so, dass die Arbeitsauslastung mit dem Budget übereinstimmt, das für die Workload zugewiesen ist. Ihr Design sollte die richtigen Azure-Funktionen verwenden, Investitionen überwachen und Möglichkeiten zur Optimierung im Laufe der Zeit finden.

  • Wählen Sie eine Azure Firewall-SKU aus, die bereitgestellt werden soll. Wählen Sie aus drei Azure Firewall-SKUs: Basic, Standard und Premium. Verwenden Sie Azure Firewall Premium, um hochsensible Anwendungen wie die Zahlungsverarbeitung zu sichern. Verwenden Sie Azure Firewall Standard, wenn Ihre Workload eine Firewall von Layer 3 bis Layer 7 benötigt und automatisch skaliert werden muss, um Spitzendatenverkehrszeiträume von bis zu 30 GBit/s zu verarbeiten. Verwenden Sie Azure Firewall Basic, wenn Sie SMB verwenden und bis zu 250 MBit/s Durchsatz benötigen. Sie können ein Downgrade oder Upgrade zwischen Standard- und Premium-SKUs durchführen. Weitere Informationen finden Sie unter Auswählen der richtigen Azure Firewall-SKU.

  • Entfernen Sie nicht verwendete Firewallbereitstellungen, und optimieren Sie nicht verwendete Bereitstellungen. Beenden Sie Azure Firewall-Bereitstellungen, die nicht kontinuierlich ausgeführt werden müssen. Identifizieren und Löschen nicht verwendeter Azure Firewall-Bereitstellungen. Um die Betriebskosten zu reduzieren, überwachen und optimieren Sie die Nutzung von Firewallinstanzen, die Konfiguration von Azure Firewall Manager-Richtlinien und die Anzahl der öffentlichen IP-Adressen und Richtlinien, die Sie verwenden.

  • Teilen Sie dieselbe Instanz von Azure Firewall. Sie können eine zentrale Instanz von Azure Firewall im virtuellen Hub oder virtual WAN Secure Hub verwenden und dieselbe Azure Firewall-Instanz über virtuelle Speichennetzwerke freigeben, die eine Verbindung mit demselben Hub aus derselben Region herstellen. Stellen Sie sicher, dass sie keinen unerwarteten regionsübergreifenden Datenverkehr in einer Hub-and-Spoke-Topologie haben.

  • Optimieren Sie den Datenverkehr über die Firewall. Überprüfen Sie regelmäßig den Datenverkehr, den Azure Firewall verarbeitet. Finden Sie Möglichkeiten, um den Datenverkehr zu reduzieren, der die Firewall durchläuft.

  • Verringern Sie die Menge an Protokolldaten, die Sie speichern. Azure Firewall kann Azure Event Hubs verwenden, um die Metadaten des Datenverkehrs umfassend zu protokollieren und an Log Analytics-Arbeitsbereiche, Azure Storage oder Nicht-Microsoft-Lösungen zu senden. Bei allen Protokollierungslösungen entstehen Kosten für die Verarbeitung von Daten und die Bereitstellung von Speicher. Große Datenmengen können erhebliche Kosten verursachen. Berücksichtigen Sie einen kostengünstigen Ansatz und eine Alternative zu Log Analytics, und schätzen Sie die Kosten. Überlegen Sie, ob Sie Datenverkehrsmetadaten für alle Protokollierungskategorien protokollieren müssen.

Empfehlungen

Empfehlung Vorteil
Beenden Sie Azure Firewall-Bereitstellungen, die nicht kontinuierlich ausgeführt werden müssen. Möglicherweise verfügen Sie über Entwicklungs- oder Testumgebungen, die Sie nur während der Geschäftszeiten verwenden. Weitere Informationen finden Sie unter "Deallocate" und "Zuweisen von Azure Firewall". Beenden Sie diese Bereitstellungen während der Spitzenzeiten oder im Leerlauf, um unnötige Ausgaben zu reduzieren, aber die Sicherheit und Leistung während kritischer Zeiten aufrechtzuerhalten.
Überprüfen Sie regelmäßig den Datenverkehr, den Die Azure Firewall verarbeitet, und suchen Sie nach den Optimierungen der Ursprünglichen Workload. Das Protokoll der obersten Flüsse, auch als Fettflussprotokoll bezeichnet, zeigt die wichtigsten Verbindungen an, die zum höchsten Durchsatz über die Firewall beitragen. Optimieren Sie Workloads, die den meisten Datenverkehr über die Firewall generieren, um das Datenverkehrsvolumen zu reduzieren, wodurch die Auslastung der Firewall verringert wird, und minimieren Sie die Datenverarbeitungs- und Bandbreitenkosten.
Identifizieren und Löschen nicht verwendeter Azure Firewall-Bereitstellungen. Analysieren Sie Überwachungsmetriken und UDRs, die mit Subnetzen verknüpft sind, die auf die private IP der Firewall verweisen. Berücksichtigen Sie auch andere Überprüfungen und interne Dokumentationen zu Ihrer Umgebung und Bereitstellungen. Analysieren Sie z. B. alle klassischen NAT-, Netzwerk- und Anwendungsregeln für Azure Firewall. Und berücksichtigen Sie Ihre Einstellungen. Sie können beispielsweise die DNS-Proxyeinstellung auf "Deaktiviert" konfigurieren.

Weitere Informationen finden Sie unter Überwachen der Azure-Firewall.
Verwenden Sie diesen Ansatz, um kostengünstige Bereitstellungen im Laufe der Zeit zu erkennen und nicht verwendete Ressourcen zu beseitigen, wodurch unnötige Kosten vermieden werden.
Überprüfen Sie Ihre Firewall-Manager-Richtlinien, -Zuordnungen und -Vererbung sorgfältig, um Kosten zu optimieren. Richtlinien werden basierend auf der Firewallzuordnung abgerechnet. Eine Richtlinie mit null oder einer Firewallzuordnung ist kostenlos. Richtlinien mit mehreren Firewallzuordnungen werden zu festen Preisen abgerechnet.

Weitere Informationen finden Sie unter Firewall Manager-Preise.
Verwenden Sie den Firewall-Manager und seine Richtlinien ordnungsgemäß, um die Betriebskosten zu senken, die Effizienz zu steigern und den Verwaltungsaufwand zu reduzieren.
Überprüfen Sie alle öffentlichen IP-Adressen in Ihrer Konfiguration, und heben Sie die Zuordnung und Löschung der Adressen auf, die Sie nicht verwenden. Auswerten der Portverwendung der Quellnetzwerkadressenübersetzung (Source Network Address Translation, SNAT), bevor Sie IP-Adressen entfernen.

Weitere Informationen finden Sie unter Überwachen von Azure Firewall-Protokollen und -Metriken und der SNAT-Portnutzung.
Löschen Sie nicht verwendete IP-Adressen, um Kosten zu senken.

Optimaler Betrieb

Operational Excellence konzentriert sich in erster Linie auf Verfahren für Entwicklungspraktiken, Observability und Release Management.

Die Designprinzipien der Operational Excellence bieten eine allgemeine Designstrategie, um diese Ziele für die betrieblichen Anforderungen der Arbeitsauslastung zu erreichen.

Prüfliste für den Entwurf

Starten Sie Ihre Designstrategie basierend auf der Prüfliste für die Designüberprüfung für Operational Excellence zum Definieren von Prozessen für Observability, Tests und Bereitstellung im Zusammenhang mit Azure Firewall.

  • Verwenden Sie Firewall-Manager mit herkömmlichen Hub-and-Spoke-Topologien oder Virtuellen WAN-Netzwerktopologien , um Instanzen von Azure Firewall bereitzustellen und zu verwalten. Verwenden Sie systemeigene Sicherheitsdienste für die Datenverkehrsgovernance und den Schutz, um Hub-and-Spoke- und transitive Architekturen zu erstellen. Weitere Informationen finden Sie unter Netzwerktopologie und Konnektivität.

    Migrieren Sie klassische Azure Firewall-Regeln zu Firewall-Manager-Richtlinien für vorhandene Bereitstellungen. Verwenden Sie den Firewall-Manager, um Ihre Firewalls und Richtlinien zentral zu verwalten. Weitere Informationen finden Sie unter Migrieren zu Azure Firewall Premium.

  • Verwalten Sie regelmäßige Sicherungen von Azure-Richtlinienartefakten. Wenn Sie einen Infrastruktur-as-Code-Ansatz verwenden, um Azure Firewall und alle Abhängigkeiten zu verwalten, sollten Sie über die Sicherung und Versionsverwaltung von Azure Firewall-Richtlinien verfügen. Wenn dies nicht der Fehler ist, können Sie einen Begleitmechanismus bereitstellen, der auf einer externen Logik-App basiert, um eine effektive automatisierte Lösung bereitzustellen.

  • Überwachen von Azure Firewall-Protokollen und -Metriken Nutzen Sie Diagnoseprotokolle für Firewallüberwachung und Problembehandlung und Aktivitätsprotokolle für Überwachungsvorgänge.

  • Analysieren Sie Überwachungsdaten, um die Gesamtintegrität des Systems zu bewerten. Verwenden Sie die integrierte Azure Firewall-Überwachungsarbeitsmappe, machen Sie sich mit Kusto-Abfragesprache (KQL)-Abfragen vertraut, und verwenden Sie das Richtlinienanalysedashboard, um potenzielle Probleme zu identifizieren.

  • Definieren Sie Warnungen für wichtige Ereignisse , damit Operatoren schnell darauf reagieren können.

  • Nutzen Sie die von der Plattform bereitgestellten Erkennungsmechanismen in Azure, um Missbrauch zu erkennen. Integrieren Sie Azure Firewall nach Möglichkeit in Microsoft Defender für Cloud und Microsoft Sentinel . Integration in Defender for Cloud, damit Sie den Status der Netzwerkinfrastruktur und der Netzwerksicherheit an einem Ort visualisieren können, einschließlich der Azure-Netzwerksicherheit in allen virtuellen Netzwerken und virtuellen Hubs in verschiedenen Regionen in Azure. Integration in Microsoft Sentinel zur Bereitstellung von Funktionen zur Bedrohungserkennung und -prävention.

Empfehlungen

Empfehlung Vorteil
Aktivieren Sie Diagnoseprotokolle für Azure Firewall. Verwenden Sie Firewallprotokolle oder Arbeitsmappen, um die Azure Firewall zu überwachen. Sie können aber auch Aktivitätsprotokolle verwenden, um Vorgänge für Azure Firewall-Ressourcen zu überwachen.

Verwenden Sie das Format für strukturierte Firewallprotokolle . Verwenden Sie nur das vorherige Diagnoseprotokollformat , wenn Sie über ein vorhandenes Tool verfügen, für das es erforderlich ist. Aktivieren Sie nicht beide Protokollierungsformate gleichzeitig.
Aktivieren Sie Diagnoseprotokolle, um Ihre Überwachungstools und -strategien für Azure Firewall zu optimieren.

Verwenden Sie strukturierte Firewallprotokolle, um Protokolldaten zu strukturieren, damit sie einfach zu suchen, zu filtern und zu analysieren sind. Die neuesten Überwachungstools basieren auf dieser Art von Protokoll, daher ist es häufig eine Voraussetzung.
Verwenden Sie die integrierte Azure Firewall-Arbeitsmappe. Verwenden Sie die Azure Firewall-Arbeitsmappe, um wertvolle Erkenntnisse aus Azure Firewall-Ereignissen zu extrahieren, Ihre Anwendungs- und Netzwerkregeln zu analysieren und Statistiken zu Firewallaktivitäten über URLs, Ports und Adressen hinweg zu untersuchen.
Überwachen Sie Azure Firewall-Protokolle und -Metriken, und erstellen Sie Warnungen für die Azure Firewall-Kapazität. Erstellen Sie Warnungen zum Überwachen des Durchsatzes, des Firewallintegritätszustands, der SNAT-Portauslastung und der AZFW-Latenzsondenmetriken . Richten Sie Warnungen für wichtige Ereignisse ein, um Operatoren zu benachrichtigen, bevor potenzielle Probleme auftreten, Unterbrechungen verhindern und schnelle Kapazitätsanpassungen initiieren.
Überprüfen Sie regelmäßig das Dashboard zur Richtlinienanalyse , um potenzielle Probleme zu identifizieren. Verwenden Sie Richtlinienanalysen, um die Auswirkungen Ihrer Azure Firewall-Richtlinien zu analysieren. Identifizieren Sie potenzielle Probleme in Ihren Richtlinien, z. B. Besprechungsrichtlinienbeschränkungen, unsachgemäße Regeln und die verwendung von nicht ordnungsgemäßen IP-Gruppen. Erhalten Sie Empfehlungen, um Ihren Sicherheitsstatus und die Leistung der Regelverarbeitung zu verbessern.
Verstehen Sie KQL-Abfragen, damit Sie Azure Firewall-Protokolle verwenden können, um Probleme schnell zu analysieren und zu beheben. Azure Firewall stellt Beispielabfragen bereit. Verwenden Sie KQL-Abfragen, um Ereignisse in Ihrer Firewall schnell zu identifizieren und zu überprüfen, welche Regel ausgelöst wird oder welche Regel eine Anforderung zulässt oder blockiert.

Effiziente Leistung

Die Leistungseffizienz geht es darum , die Benutzererfahrung auch dann aufrechtzuerhalten, wenn die Auslastung durch die Verwaltung der Kapazität erhöht wird. Die Strategie umfasst die Skalierung von Ressourcen, das Identifizieren und Optimieren potenzieller Engpässe und die Optimierung der Spitzenleistung.

Die Designprinzipien für die Leistungseffizienz bieten eine allgemeine Entwurfsstrategie, um diese Kapazitätsziele gegen die erwartete Nutzung zu erreichen.

Prüfliste für den Entwurf

Starten Sie Ihre Designstrategie basierend auf der Prüfliste für die Entwurfsüberprüfung für die Leistungseffizienz. Definieren Sie einen Basisplan, der auf wichtigen Leistungsindikatoren für Azure Firewall basiert.

  • Optimieren Sie Ihre Azure Firewall-Konfiguration gemäß den Empfehlungen von Well-Architected Framework, um Code und Infrastruktur zu optimieren und spitzen Betrieb sicherzustellen. Um ein effizientes und sicheres Netzwerk aufrechtzuerhalten, überprüfen und optimieren Sie die Firewallregeln regelmäßig. Mit dieser Vorgehensweise wird sichergestellt, dass Ihre Firewallkonfigurationen mit den neuesten Sicherheitsbedrohungen effektiv und auf dem neuesten Stand bleiben.

    Bewerten Sie Richtlinienanforderungen, und finden Sie Möglichkeiten zum Zusammenfassen von IP-Bereichen und URL-Listen. Verwenden Sie Webkategorien, um ausgehenden Zugriff in Massen zuzulassen oder zu verweigern, um die Verwaltung zu optimieren und die Sicherheit zu verbessern. Bewerten Sie die Leistungseinbußen von IDPS im Warnungs- und Verweigerungsmodus , da sich diese Konfiguration auf die Netzwerklatenz und den Durchsatz auswirken kann. Konfigurieren Sie öffentliche IP-Adressen, um Ihre SNAT-Portanforderungen zu unterstützen. Befolgen Sie diese Methoden, um eine robuste und skalierbare Netzwerksicherheitsinfrastruktur zu erstellen.

  • Verwenden Sie keine Azure Firewall für die steuerung des datenverkehrsinternen Netzwerks. Verwenden Sie Azure Firewall, um die folgenden Arten von Datenverkehr zu steuern:

    • Datenverkehr über virtuelle Netzwerke hinweg
    • Datenverkehr zwischen virtuellen Netzwerken und lokalen Netzwerken
    • Ausgehender Datenverkehr zum Internet
    • Eingehender Nicht-HTTP- oder Nicht-HTTPS-Datenverkehr

    Verwenden Sie für die steuerung des datenverkehrsinternen Netzwerks Netzwerksicherheitsgruppen.

  • Warm up Azure Firewall ordnungsgemäß vor Leistungstests. Erstellen Sie anfänglichen Datenverkehr, der nicht Teil Ihrer Auslastungstests ist, 20 Minuten vor den Tests. Verwenden Sie Diagnoseeinstellungen, um Skalierungsereignisse (Hoch- und Herunterskalieren) zu erfassen. Sie können den Azure Load Testing-Dienst verwenden, um den anfänglichen Datenverkehr zu generieren, sodass Sie die Azure Firewall auf die maximale Anzahl von Instanzen skalieren können.

  • Konfigurieren Sie ein Azure Firewall-Subnetz mit einem /26-Adressraum. Sie benötigen ein dediziertes Subnetz für die Azure-Firewall. Die Azure-Firewall stellt mehr Kapazität für die Skalierung zur Seite. Ein /26-Adressraum stellt sicher, dass für die Firewall genügend IP-Adressen vorhanden sind, um der Skalierung gerecht zu werden. Azure Firewall erfordert kein Subnetz, das größer als /26 ist. Nennen Sie das Azure Firewall-Subnetz AzureFirewallSubnet.

  • Aktivieren Sie die erweiterte Protokollierung nicht, wenn Sie sie nicht benötigen. Azure Firewall bietet einige erweiterte Protokollierungsfunktionen, die erhebliche Kosten verursachen können, um aktiv zu bleiben. Stattdessen können Sie diese Funktionen nur für Problembehandlungszwecke und nur für begrenzte Zeit verwenden. Deaktivieren Sie Funktionen, wenn Sie sie nicht benötigen. Beispielsweise sind die wichtigsten Flüsse und Ablaufverfolgungsprotokolle teuer und können zu einer übermäßigen CPU- und Speicherauslastung in der Azure Firewall-Infrastruktur führen.

Empfehlungen

Empfehlung Vorteil
Verwenden Sie das Richtlinienanalysedashboard , um Möglichkeiten zur Optimierung von Azure Firewall-Richtlinien zu identifizieren. Verwenden Sie Richtlinienanalysen, um potenzielle Probleme in Ihren Richtlinien zu identifizieren, z. B. Besprechungsrichtlinienbeschränkungen, unsachgemäße Regeln und die verwendung von unsachgemäßen IP-Gruppen. Erhalten Sie Empfehlungen, um Ihren Sicherheitsstatus und die Leistung der Regelverarbeitung zu verbessern.
Platzieren Sie häufig verwendete Regeln frühzeitig in einer Gruppe, um die Latenz für Azure Firewall-Richtlinien mit großen Regelsätzen zu optimieren.

Weitere Informationen finden Sie unter Verwenden von Azure Firewall-Richtlinien zum Verarbeiten von Regeln.
Platzieren Sie häufig verwendete Regeln in einem Regelsatz, um die Verarbeitungslatenz zu optimieren. Azure Firewall verarbeitet Regeln basierend auf dem Regeltyp, der Vererbung, der Priorität der Regelsammlungsgruppe und der Regelsammlungspriorität. Azure Firewall verarbeitet zuerst Regelsammlungsgruppen mit hoher Priorität. In einer Regelsammlungsgruppe verarbeitet Azure Firewall Regelsammlungen, die zuerst die höchste Priorität haben.
Verwenden Sie IP-Gruppen, um IP-Adressbereiche zusammenzufassen und das Überschreiten des Grenzwerts eindeutiger Quell- oder eindeutiger Zielnetzwerkregeln zu vermeiden. Azure Firewall behandelt die IP-Gruppe als einzelne Adresse, wenn Sie Netzwerkregeln erstellen. Dieser Ansatz erhöht effektiv die Anzahl der IP-Adressen, die Sie ohne Überschreitung des Grenzwerts abdecken können. Für jede Regel multipliziert Azure Ports nach IP-Adressen. Wenn eine Regel also vier IP-Adressbereiche und fünf Ports aufweist, verbrauchen Sie 20 Netzwerkregeln.
Verwenden Sie Azure Firewall-Webkategorien, um ausgehenden Zugriff in Massen zuzulassen oder zu verweigern, anstatt explizit eine lange Liste öffentlicher Internetwebsites zu erstellen und zu verwalten. Dieses Feature kategorisiert Webinhalte dynamisch und ermöglicht die Erstellung kompakter Anwendungsregeln, wodurch der Betriebsaufwand reduziert wird.
Bewerten Sie die Leistungseinbußen von IDPS im Warnungs- und Verweigerungsmodus . Weitere Informationen finden Sie unter Azure Firewall-Leistung. Aktivieren Sie IDPS im Warnungs- und Verweigerungsmodus, um böswillige Netzwerkaktivitäten zu erkennen und zu verhindern. Dieses Feature kann zu Leistungseinbußen führen. Verstehen Sie die Auswirkungen auf Ihre Arbeitsauslastung, damit Sie entsprechend planen können.
Konfigurieren Sie Azure Firewall-Bereitstellungen mit mindestens fünf öffentlichen IP-Adressen für Bereitstellungen, die für die SNAT-Portausschöpfung anfällig sind. Azure Firewall unterstützt 2.496 Ports für jede öffentliche IP-Adresse, die jede Azure Virtual Machine Scale Sets-Instanz des Back-End-Computers verwendet. Diese Konfiguration erhöht die verfügbaren SNAT-Ports um fünf Mal.

Standardmäßig stellt Azure Firewall zwei Vm Scale Sets-Instanzen bereit, die 4.992 Ports für die einzelnen Ablaufziel-IP, Zielport und TCP- oder UDP-Protokoll unterstützen. Die Firewall wird auf maximal 20 Instanzen hochskaliert.

Azure-Richtlinien

Azure bietet einen umfassenden Satz integrierter Richtlinien im Zusammenhang mit der Azure-Firewall und seinen Abhängigkeiten. Einige der vorstehenden Empfehlungen können über Azure-Richtlinie überwacht werden. Sie können beispielsweise überprüfen, ob:

  • Netzwerkschnittstellen sollten keine öffentlichen IPs haben. Diese Richtlinie verweigert Netzwerkschnittstellen, die mit einer öffentlichen IP konfiguriert sind. Öffentliche IP-Adressen ermöglichen es Internetressourcen, eingehende Verbindungen mit Azure-Ressourcen zu kommunizieren, und Azure-Ressourcen können ausgehend mit dem Internet kommunizieren.

  • Der gesamte Internetdatenverkehr sollte über Ihre bereitgestellte Azure Firewall-Instanz weitergeleitet werden. Azure Security Center gibt an, dass einige Ihrer Subnetze nicht durch eine Firewall der nächsten Generation geschützt sind. Schützen Sie Ihre Subnetze vor potenziellen Bedrohungen. Verwenden Sie Azure Firewall oder eine unterstützte Firewall der nächsten Generation, um den Zugriff auf Ihre Subnetze einzuschränken.

Überprüfen Sie für eine umfassende Governance die integrierten Azure-Richtliniendefinitionen für Azure Firewall und andere Richtlinien, die sich auf die Sicherheit des Netzwerks auswirken können.

Azure Advisor-Empfehlungen

Bei Azure Advisor handelt es sich um einen personalisierten Cloudberater, der Sie mit bewährten Methoden zum Optimieren von Azure-Bereitstellungen unterstützt. Hier sind einige Empfehlungen, die Ihnen helfen können, die Zuverlässigkeit, Sicherheit, Kosteneffizienz, Leistung und operative Exzellenz von Azure Firewall zu verbessern.

Nächste Schritte

Lesen Sie die folgenden Ressourcen, die die Empfehlungen in diesem Artikel veranschaulichen.