Perspective d’Azure Well-Architected Framework sur Pare-feu Azure

Pare-feu Azure est un service de sécurité de pare-feu réseau natif et intelligent qui offre une protection contre les menaces optimale pour vos charges de travail cloud qui s’exécutent dans Azure. Il s’agit d’un service de pare-feu complètement avec état géré qui dispose d’une haute disponibilité intégrée et d’une scalabilité cloud illimitée. Pare-feu Azure fournit à la fois l’inspection du trafic est-ouest et nord-sud.

Cet article part du principe que, en tant qu’architecte, vous avez examiné les options de sécurité du réseau virtuel et choisi Pare-feu Azure comme service de sécurité réseau pour votre charge de travail. Les conseils de cet article fournissent des recommandations architecturales mappées aux principes des piliers azure Well-Architected Framework.

Important

Guide pratique pour utiliser ce guide

Chaque section possède une liste de contrôle de conception qui présente des domaines d’intérêt architecturaux, ainsi que des stratégies de conception localisées dans l’étendue de la technologie.

Il y a également des recommandations sur les fonctionnalités technologiques qui peuvent aider à matérialiser ces stratégies. Les recommandations ne représentent pas une liste exhaustive de toutes les configurations disponibles pour Pare-feu Azure et ses dépendances. Au lieu de cela, ils répertorient les recommandations clés mappées aux perspectives de conception. Utilisez les recommandations pour créer votre preuve de concept ou optimiser vos environnements existants.

Architecture fondamentale qui illustre les recommandations clés : topologie de réseau hub-spoke dans Azure.

Étendue de la technologie

Cette révision se concentre sur les décisions liées aux ressources Azure suivantes :

  • Pare-feu Azure
  • Azure Firewall Manager

Fiabilité

L’objectif du pilier fiabilité est de fournir des fonctionnalités continues en générant suffisamment de résilience et en permettant de récupérer rapidement des défaillances.

Les principes de conception de fiabilité fournissent une stratégie de conception de haut niveau appliquée aux composants individuels, aux flux système et au système dans son ensemble.

Check-list pour la conception

Démarrez votre stratégie de conception en fonction de la liste de vérification de la révision de conception pour la fiabilité. Déterminez sa pertinence pour vos besoins métier tout en gardant à l’esprit les stratégies et le type d’architecture que vous utilisez. Étendez la stratégie pour inclure davantage d’approches en fonction des besoins.

  • Passez en revue la liste des problèmes connus Pare-feu Azure. Pare-feu Azure produits conservent une liste mise à jour des problèmes connus. Cette liste contient des informations importantes sur le comportement par conception, les correctifs en cours de construction, les limitations de plateforme et les stratégies de contournement ou d’atténuation possibles.

  • Assurez-vous que votre stratégie de Pare-feu Azure respecte Pare-feu Azure limites et recommandations. La structure de stratégie a des limites, notamment le nombre de règles et de groupes de regroupements de règles, la taille totale de la stratégie, les destinations sources et les destinations cibles. Veillez à composer votre stratégie et à rester au-dessous des seuils documentés.

  • Déployez Pare-feu Azure entre plusieurs zones de disponibilité pour un contrat de niveau de service (SLA). Pare-feu Azure fournit des contrats SLA différents selon que vous déployez le service dans une seule zone de disponibilité ou plusieurs zones. Pour plus d’informations, consultez les contrats SLA pour services en ligne.

  • Déployez une instance de Pare-feu Azure dans chaque région dans des environnements multirégions. Pour connaître les architectures hub-and-spoke traditionnelles, consultez considérations relatives à plusieurs régions. Pour les hubs Azure Virtual WAN sécurisés, configurez l’intention et les stratégies de routage pour sécuriser les communications inter-hubs et de branche à branche. Pour les charges de travail résistantes aux défaillances et tolérantes aux pannes, tenez compte des instances de Pare-feu Azure et d’Azure Réseau virtuel en tant que ressources régionales.

  • Surveillez les métriques Pare-feu Azure et l’état d’intégrité des ressources. Pare-feu Azure s’intègre à Azure Resource Health. Utilisez la vérification Resource Health pour afficher l’état d’intégrité de Pare-feu Azure et résoudre les problèmes de service susceptibles d’affecter votre ressource Pare-feu Azure.

  • Déployez Pare-feu Azure dans des réseaux virtuels hub ou dans le cadre de hubs Virtual WAN.

Remarque

La disponibilité des services réseau diffère entre le modèle hub-and-spoke traditionnel et le modèle de hubs sécurisés gérés par Virtual WAN. Par exemple, dans un hub Virtual WAN, l’adresse IP publique Pare-feu Azure ne peut pas provenir d’un préfixe d’adresse IP publique et ne peut pas activer Azure DDoS Protection. Lorsque vous choisissez votre modèle, tenez compte de vos besoins sur les cinq piliers du Well-Architected Framework.

Recommandations

Recommandation Avantage
Déployez Pare-feu Azure sur plusieurs zones de disponibilité. Déployez Pare-feu Azure sur plusieurs zones de disponibilité pour maintenir un niveau de résilience spécifique. Si une zone rencontre une panne, une autre zone continue de servir le trafic.
Surveillez Pare-feu Azure métriques dans un espace de travail Log Analytics. Surveillez attentivement les métriques qui indiquent l’état d’intégrité Pare-feu Azure, comme le débit, l’état d’intégrité du pare-feu, l’utilisation du port SNAT et les métriques de la sonde de latence AZFW.

Utilisez Azure Service Health pour surveiller l’intégrité des Pare-feu Azure.
Surveillez les métriques de ressources et l’intégrité du service afin de détecter quand un état de service se dégrade et prend des mesures proactives pour éviter les défaillances.

Sécurité

L’objectif du pilier de sécurité est de fournir des garanties de confidentialité, d’intégrité et de disponibilité à la charge de travail.

Les principes de conception de la sécurité fournissent une stratégie de conception de haut niveau pour atteindre ces objectifs en appliquant des approches à la conception technique de Pare-feu Azure.

Check-list pour la conception

Démarrez votre stratégie de conception en fonction de la liste de vérification de la révision de conception pour sécurité. Identifiez les vulnérabilités et les contrôles pour améliorer la posture de sécurité. Étendez la stratégie pour inclure davantage d’approches en fonction des besoins.

  • Envoyez tout le trafic Internet de votre charge de travail via un pare-feu ou une appliance virtuelle réseau (NVA) pour détecter et bloquer les menaces. Configurez des itinéraires définis par l’utilisateur pour forcer le trafic via Pare-feu Azure. Pour le trafic web, envisagez d’utiliser Pare-feu Azure comme proxy explicite.

    Configurez les fournisseurs de sécurité SaaS (Software as a Service) pris en charge dans Firewall Manager si vous souhaitez utiliser ces fournisseurs pour protéger les connexions sortantes.

    Limitez l’utilisation des adresses IP publiques directement liées aux machines virtuelles afin que le trafic ne puisse pas contourner le pare-feu. Le modèle Azure Cloud Adoption Framework affecte une stratégie Azure spécifique au groupe d’administration CORP.

    Suivez le guide de configuration Confiance Zéro pour Pare-feu Azure et Application Gateway si vos besoins de sécurité nécessitent l’implémentation d’une approche Confiance Zéro pour les applications web, telles que l’ajout d’une inspection et d’un chiffrement. Suivez ce guide pour intégrer Pare-feu Azure et Application Gateway pour les scénarios hub-and-spoke et Virtual WAN traditionnels.

    Pour plus d’informations, consultez Appliquer des pare-feu à la périphérie.

  • Établissez des périmètres réseau dans le cadre de votre stratégie de segmentation de charge de travail pour contrôler le rayon d’explosion, masquer les ressources de charge de travail et bloquer un accès inattendu, interdit et non sécurisé. Créez des règles pour Pare-feu Azure stratégies en fonction des critères d’accès les moins privilégiés.

    Définissez l’adresse IP publique sur None pour déployer un plan de données entièrement privé lorsque vous configurez Pare-feu Azure en mode tunneling forcé. Cette approche ne s’applique pas à Virtual WAN.

    Utilisez des noms de domaine complets (FQDN) et des balises de service lorsque vous définissez des règles réseau pour simplifier la gestion.

  • Utilisez des mécanismes de détection pour surveiller avec diligence les menaces et les signes d’abus. Tirez parti des mécanismes et mesures de détection fournis par la plateforme. Activez le système de détection et de prévention des intrusions (IDPS). Associez un plan Azure DDoS Protection à votre réseau virtuel hub.

    Pour plus d’informations, consultez Détecter les abus.

Recommandations

Recommandation Avantage
Configurez Pare-feu Azure en mode tunneling forcé si vous devez acheminer tout le trafic lié à Internet vers un tronçon suivant désigné au lieu d’accéder directement à Internet. Cette recommandation ne s’applique pas à Virtual WAN.

Le Pare-feu Azure doit avoir une connectivité Internet directe. Si votre azureFirewallSubnet apprend un itinéraire par défaut vers votre réseau local via le protocole border gateway, vous devez configurer Pare-feu Azure en mode tunneling forcé. Vous pouvez utiliser la fonctionnalité de tunneling forcé pour ajouter un autre espace d’adressage /26 pour le sous-réseau de gestion Pare-feu Azure. Nommez le sous-réseau AzureFirewallManagementSubnet. Si vous disposez d’une instance Pare-feu Azure existante que vous ne pouvez pas reconfigurer en mode tunneling forcé, créez un UDR avec un itinéraire 0.0.0.0/0. Définissez la valeur NextHopType en tant qu’Internet. Pour maintenir la connectivité Internet, associez l’UDR à AzureFirewallSubnet.

Définissez l’adresse IP publique sur None pour déployer un plan de données entièrement privé lorsque vous configurez Pare-feu Azure en mode tunneling forcé. Mais le plan de gestion nécessite toujours une adresse IP publique uniquement à des fins de gestion. Le trafic interne à partir de réseaux virtuels et locaux n’utilise pas cette adresse IP publique.
Utilisez le tunneling forcé pour ne pas exposer vos ressources Azure directement à Internet. Cette approche réduit la surface d’attaque et réduit le risque de menaces externes. Pour appliquer plus efficacement les stratégies d’entreprise et les exigences de conformité, routez tout le trafic lié à Internet via un pare-feu local ou une appliance virtuelle réseau.
Créez des règles pour les stratégies de pare-feu dans une structure hiérarchique pour superposer une stratégie de base centrale. Pour plus d’informations, consultez Utiliser Pare-feu Azure stratégies pour traiter les règles.

Créez vos règles en fonction du principe d’accès le moins privilégié Confiance Zéro
Organisez des règles dans une structure hiérarchique afin que les stratégies granulaires puissent répondre aux exigences des régions spécifiques. Chaque stratégie peut contenir différents ensembles de traduction d’adresses réseau de destination (DNAT), de règles réseau et d’application qui ont des priorités, des actions et des commandes de traitement spécifiques.
Configurez les fournisseurs de partenaires de sécurité pris en charge dans Firewall Manager pour protéger les connexions sortantes.

Ce scénario nécessite Virtual WAN avec une passerelle VPN S2S dans le hub, car il utilise un tunnel IPsec pour se connecter à l’infrastructure du fournisseur. Les fournisseurs de services de sécurité managés peuvent facturer des frais de licence supplémentaires et limiter le débit sur les connexions IPsec. Vous pouvez également utiliser d’autres solutions, telles que Zscaler Cloud Connector.
Permettre aux fournisseurs de partenaires de sécurité dans Pare-feu Azure de tirer parti des offres de sécurité cloud les plus performantes, qui offrent une protection avancée pour votre trafic Internet. Ces fournisseurs offrent des fonctionnalités de filtrage spécialisées, prenant en charge les utilisateurs et une détection complète des menaces qui améliorent votre posture globale de sécurité.
Activez Pare-feu Azure configuration du proxy DNS.

Configurez également Pare-feu Azure pour utiliser un DNS personnalisé pour transférer des requêtes DNS.
Activez cette fonctionnalité pour pointer les clients dans les réseaux virtuels vers Pare-feu Azure en tant que serveur DNS. Cette fonctionnalité protège l’infrastructure DNS interne qui n’est pas directement accessible et exposée.
Configurez les UDR pour forcer le trafic via Pare-feu Azure dans une architecture hub-and-spoke traditionnelle pour la connectivité spoke-to-spoke, spoke-to-Internet et spoke-to-hybrid.

Dans Virtual WAN, configurez l’intention et les stratégies de routage pour rediriger le trafic privé ou le trafic Internet via l’instance de Pare-feu Azure intégrée au hub.

Si vous ne pouvez pas appliquer un UDR et que vous avez uniquement besoin d’une redirection de trafic web, utilisez Pare-feu Azure en tant que proxy explicite sur le chemin sortant. Vous pouvez configurer un paramètre de proxy sur l’application d’envoi, par exemple un navigateur web, lorsque vous configurez Pare-feu Azure en tant que proxy.
Envoyez le trafic via le pare-feu pour inspecter le trafic et aider à identifier et bloquer le trafic malveillant.

Utilisez Pare-feu Azure en tant que proxy explicite pour le trafic sortant afin que le trafic web atteigne l’adresse IP privée du pare-feu et par conséquent se déclenche directement à partir du pare-feu sans utiliser d’UDR. Cette fonctionnalité facilite également l’utilisation de plusieurs pare-feu sans modifier les itinéraires réseau existants.
Utilisez le filtrage FQDN dans les règles de réseau. Vous devez activer la configuration du proxy DNS Pare-feu Azure pour utiliser des noms de domaine complets dans vos règles réseau. Utilisez des noms de domaine complets dans Pare-feu Azure règles réseau afin que les administrateurs puissent gérer les noms de domaine au lieu de plusieurs adresses IP, ce qui simplifie la gestion. Cette résolution dynamique garantit que les règles de pare-feu sont automatiquement mises à jour lorsque les adresses IP de domaine changent.
Utilisez Pare-feu Azure balises de service à la place d’adresses IP spécifiques pour fournir un accès sélectif à des services spécifiques dans Azure, Microsoft Dynamics 365 et Microsoft 365. Utilisez des balises de service dans les règles réseau pour pouvoir définir des contrôles d’accès basés sur des noms de service plutôt que sur des adresses IP spécifiques, ce qui simplifie la gestion de la sécurité. Microsoft gère et met à jour ces balises automatiquement lorsque les adresses IP changent. Cette méthode garantit que vos règles de pare-feu restent précises et efficaces sans intervention manuelle.
Utilisez des balises de nom de domaine complet dans les règles d’application pour fournir un accès sélectif à des services Microsoft spécifiques.

Vous pouvez utiliser une balise de nom de domaine complet dans les règles d’application pour autoriser le trafic réseau sortant requis via votre pare-feu pour des services Azure spécifiques, tels que Microsoft 365, Windows 365 et Microsoft Intune.
Utilisez des balises FQDN dans Pare-feu Azure règles d’application pour représenter un groupe de noms de domaine complets associés à des services Microsoft connus. Cette méthode simplifie la gestion des règles de sécurité réseau.
Activez le renseignement sur les menaces sur Pare-feu Azure en mode Alerte et refus. Utilisez le renseignement sur les menaces pour fournir une protection en temps réel contre les menaces émergentes, ce qui réduit le risque de cyberattaques. Cette fonctionnalité utilise le flux d’informations sur les menaces Microsoft pour alerter et bloquer automatiquement le trafic à partir d’adresses IP, de domaines et d’URL malveillants connus.
Activez l’IDPS en mode Alerte ou Alerte et refus. Tenez compte de l’impact sur les performances de cette fonctionnalité. Activer le filtrage IDPS dans Pare-feu Azure fournit une surveillance et une analyse en temps réel du trafic réseau pour détecter et empêcher les activités malveillantes. Cette fonctionnalité utilise la détection basée sur des signatures pour identifier rapidement les menaces connues et les bloquer avant qu’elles ne provoquent des dommages.

Pour plus d’informations, consultez Détecter les abus.
Utilisez une autorité de certification d’entreprise interne pour générer des certificats lorsque vous utilisez l’inspection TLS avec Pare-feu Azure Premium. Utilisez des certificats auto-signés uniquement à des fins de test et de preuve de concept (PoC). Activez l’inspection TLS afin que Pare-feu Azure Premium se termine et inspecte les connexions TLS pour détecter, alerter et atténuer les activités malveillantes dans HTTPS.
Utilisez Firewall Manager pour créer et associer un plan Azure DDoS Protection à votre réseau virtuel hub. Cette approche ne s’applique pas à Virtual WAN. Configurez un plan Azure DDoS Protection afin de pouvoir gérer de manière centralisée la protection DDoS en même temps que vos stratégies de pare-feu. Cette approche simplifie la gestion de votre sécurité réseau et simplifie la façon dont vous déployez et surveillez les processus.

Optimisation des coûts

L’optimisation des coûts se concentre sur la détection des modèles de dépense, la hiérarchisation des investissements dans les domaines critiques et l’optimisation dans d’autres pour répondre au budget de l’organisation tout en répondant aux besoins de l’entreprise.

Les principes de conception de l’optimisation des coûts fournissent une stratégie de conception de haut niveau pour atteindre ces objectifs et faire des compromis si nécessaire dans la conception technique liée à Pare-feu Azure et à son environnement.

Check-list pour la conception

Démarrez votre stratégie de conception en fonction de la liste de vérification de la révision de conception pour l’optimisation des coûts pour les investissements. Ajustez la conception afin que la charge de travail soit alignée sur le budget alloué pour la charge de travail. Votre conception doit utiliser les fonctionnalités Azure appropriées, surveiller les investissements et trouver des opportunités d’optimisation au fil du temps.

  • Sélectionnez une référence SKU Pare-feu Azure à déployer. Choisissez parmi trois références SKU Pare-feu Azure : De base, Standard et Premium. Utilisez Pare-feu Azure Premium pour sécuriser des applications hautement sensibles, telles que le traitement des paiements. Utilisez Pare-feu Azure Standard si votre charge de travail a besoin d’un pare-feu de couche 3 à la couche 7 et a besoin d’une mise à l’échelle automatique pour gérer les périodes de trafic maximales allant jusqu’à 30 Gbits/s. Utilisez Pare-feu Azure De base si vous utilisez SMB et que vous avez besoin de 250 Mbits/s de débit. Vous pouvez rétrograder ou mettre à niveau entre les références SKU Standard et Premium. Pour plus d’informations, consultez Choisir la référence SKU Pare-feu Azure appropriée.

  • Supprimez les déploiements de pare-feu inutilisés et optimisez les déploiements sous-utilisés. Arrêtez Pare-feu Azure déploiements qui n’ont pas besoin d’être exécutés en continu. Identifiez et supprimez les déploiements Pare-feu Azure inutilisés. Pour réduire les coûts opérationnels, surveiller et optimiser l’utilisation des instances de pare-feu, la configuration des stratégies Pare-feu Azure Manager et le nombre d’adresses IP publiques et de stratégies que vous utilisez.

  • Partagez la même instance de Pare-feu Azure. Vous pouvez utiliser une instance centrale de Pare-feu Azure dans le réseau virtuel hub ou le hub sécurisé Virtual WAN et partager la même instance de Pare-feu Azure sur des réseaux virtuels spoke qui se connectent au même hub à partir de la même région. Vérifiez que vous n’avez pas de trafic interrégion inattendu dans une topologie hub-and-spoke.

  • Optimisez le trafic via le pare-feu. Examinez régulièrement le trafic qui Pare-feu Azure processus. Trouvez des opportunités pour réduire la quantité de trafic qui traverse le pare-feu.

  • Réduisez la quantité de données de journal que vous stockez. Pare-feu Azure pouvez utiliser Azure Event Hubs pour consigner de manière complète les métadonnées du trafic et l’envoyer aux espaces de travail Log Analytics, aux Stockage Azure ou aux solutions non-Microsoft. Toutes les solutions de journalisation entraînent des coûts pour traiter les données et fournir un stockage. De grandes quantités de données peuvent entraîner des coûts importants. Envisagez une approche économique et une alternative à Log Analytics et estimez le coût. Déterminez si vous devez consigner les métadonnées de trafic pour toutes les catégories de journalisation.

Recommandations

Recommandation Avantage
Arrêtez Pare-feu Azure déploiements qui n’ont pas besoin d’être exécutés en continu. Vous pouvez avoir des environnements de développement ou de test que vous utilisez uniquement pendant les heures d’ouverture. Pour plus d’informations, consultez Libérer et allouer Pare-feu Azure. Arrêtez ces déploiements pendant les heures creuses ou en cas d’inactivité pour réduire les dépenses inutiles, mais conservez la sécurité et les performances pendant les heures critiques.
Examinez régulièrement le trafic qui Pare-feu Azure processus et recherchez des optimisations de charge de travail d’origine. Le journal des flux principaux, également appelé journal des flux gras, affiche les connexions principales qui contribuent au débit le plus élevé via le pare-feu. Optimisez les charges de travail qui génèrent le plus de trafic via le pare-feu pour réduire le volume de trafic, ce qui réduit la charge sur le pare-feu et réduit les coûts de traitement et de bande passante des données.
Identifiez et supprimez les déploiements Pare-feu Azure inutilisés. Analysez les métriques de surveillance et les UDR associés aux sous-réseaux qui pointent vers l’adresse IP privée du pare-feu. Prenez également en compte d’autres validations et documentation interne sur votre environnement et vos déploiements. Par exemple, analysez les règles nat, réseau et application classiques pour Pare-feu Azure. Et tenez compte de vos paramètres. Par exemple, vous pouvez configurer le paramètre de proxy DNS sur Désactivé.

Pour plus d’informations, consultez Surveiller Pare-feu Azure.
Utilisez cette approche pour détecter les déploiements rentables au fil du temps et éliminer les ressources inutilisées, ce qui empêche les coûts inutiles.
Passez en revue soigneusement vos stratégies, associations et héritage Firewall Manager pour optimiser les coûts. Les stratégies sont facturées en fonction des associations de pare-feu. Une stratégie avec zéro ou une association de pare-feu est gratuite. Une stratégie avec plusieurs associations de pare-feu est facturée à un tarif fixe.

Pour plus d’informations, consultez la tarification de Firewall Manager.
Utilisez correctement Firewall Manager et ses stratégies pour réduire les coûts opérationnels, augmenter l’efficacité et réduire la surcharge de gestion.
Passez en revue toutes les adresses IP publiques de votre configuration, dissociez et supprimez celles que vous n’utilisez pas. Évaluez l’utilisation du port de traduction d’adresses réseau source (SNAT) avant de supprimer toutes les adresses IP.

Pour plus d’informations, consultez Surveiller les journaux d’activité et les métriques et l’utilisation des ports SNAT Pare-feu Azure.
Supprimez les adresses IP inutilisées pour réduire les coûts.

Excellence opérationnelle

L’excellence opérationnelle se concentre principalement sur les procédures de développement, l’observabilité et la gestion des mises en production.

Les principes de conception d’excellence opérationnelle fournissent une stratégie de conception de haut niveau pour atteindre ces objectifs pour les exigences opérationnelles de la charge de travail.

Check-list pour la conception

Démarrez votre stratégie de conception en fonction de la liste de contrôle de révision de conception pour l’excellence opérationnelle pour définir des processus d’observabilité, de test et de déploiement liés à Pare-feu Azure.

  • Utilisez Firewall Manager avec des topologies hub-and-spoke traditionnelles ou des topologies de réseau Virtual WAN pour déployer et gérer des instances de Pare-feu Azure. Utilisez des services de sécurité natifs pour la gouvernance et la protection du trafic pour créer des architectures hub-and-spoke et transitives. Pour plus d’informations, consultez topologie et connectivité réseau.

    Migrez Pare-feu Azure règles classiques vers des stratégies Firewall Manager pour les déploiements existants. Utilisez Firewall Manager pour gérer de manière centralisée vos pare-feu et stratégies. Pour plus d’informations, consultez Migrer vers Pare-feu Azure Premium.

  • Conservez des sauvegardes régulières des artefacts Azure Policy. Si vous utilisez une approche d’infrastructure en tant que code pour gérer Pare-feu Azure et toutes les dépendances, vous devez disposer d’une sauvegarde et d’un contrôle de version des stratégies de Pare-feu Azure en place. Si ce n’est pas le cas, vous pouvez déployer un mécanisme complémentaire basé sur une application logique externe pour fournir une solution automatisée efficace.

  • Superviser les journaux d’activité et les métriques du Pare-feu Azure Tirez parti des journaux de diagnostic pour la surveillance et la résolution des problèmes et les journaux d’activité du pare-feu pour les opérations d’audit.

  • Analysez les données de surveillance pour évaluer l’intégrité globale du système. Utilisez le classeur de surveillance intégré Pare-feu Azure, familiarisez-vous avec les requêtes Langage de requête Kusto (KQL) et utilisez le tableau de bord d’analyse de stratégie pour identifier les problèmes potentiels.

  • Définissez des alertes pour les événements clés afin que les opérateurs puissent y répondre rapidement.

  • Tirez parti des mécanismes de détection fournis par la plateforme dans Azure pour détecter les abus. Intégrez Pare-feu Azure avec Microsoft Defender pour le cloud et Microsoft Sentinel si possible. Intégrez-les à Defender pour le cloud pour vous permettre de visualiser l’état de l’infrastructure réseau et de la sécurité réseau en un seul endroit, notamment la sécurité réseau Azure sur tous les réseaux virtuels et les hubs virtuels dans différentes régions d’Azure. Intégrer à Microsoft Sentinel pour fournir des fonctionnalités de détection et de prévention des menaces.

Recommandations

Recommandation Avantage
Activez les journaux de diagnostic pour Pare-feu Azure. Utilisez des journaux d’activité ou des classeurs de pare-feu pour surveiller les Pare-feu Azure. Vous pouvez également utiliser les journaux d’activité pour auditer les opérations sur les ressources de Pare-feu Azure.

Utilisez le format des journaux de pare-feu structuré. Utilisez uniquement le format précédent des journaux de diagnostic si vous disposez d’un outil existant qui en a besoin. N’activez pas les deux formats de journalisation en même temps.
Activez les journaux de diagnostic pour optimiser vos outils et stratégies de surveillance pour Pare-feu Azure.

Utilisez des journaux de pare-feu structurés pour structurer les données de journal afin qu’il soit facile de rechercher, de filtrer et d’analyser. Les derniers outils de surveillance sont basés sur ce type de journal. Il s’agit donc souvent d’un prérequis.
Utilisez le classeur intégré Pare-feu Azure. Utilisez le classeur Pare-feu Azure pour extraire des insights précieux à partir d’événements Pare-feu Azure, analyser vos règles d’application et de réseau et examiner les statistiques sur les activités de pare-feu sur les URL, les ports et les adresses.
Surveillez Pare-feu Azure journaux et métriques, puis créez des alertes pour Pare-feu Azure capacité. Créez des alertes pour surveiller le débit, l’état d’intégrité du pare-feu, l’utilisation du port SNAT et les métriques de sonde de latence AZFW. Configurez des alertes pour les événements clés afin d’avertir les opérateurs avant que des problèmes potentiels se produisent, empêchez les interruptions et lancez des ajustements rapides de capacité.
Passez régulièrement en revue le tableau de bord d’analyse de stratégie pour identifier les problèmes potentiels. Utilisez l’analytique des stratégies pour analyser l’impact de vos stratégies de Pare-feu Azure. Identifiez les problèmes potentiels dans vos stratégies, tels que la réunion des limites de stratégie, les règles incorrectes et l’utilisation incorrecte des groupes IP. Obtenez des recommandations pour améliorer la posture de sécurité et les performances de traitement des règles.
Comprenez les requêtes KQL afin de pouvoir utiliser Pare-feu Azure journaux pour analyser et résoudre rapidement les problèmes. Pare-feu Azure fournit des exemples de requêtes. Utilisez des requêtes KQL pour identifier rapidement les événements à l’intérieur de votre pare-feu et vérifier quelle règle est déclenchée ou quelle règle autorise ou bloque une requête.

Efficacité des performances

L’efficacité des performances consiste à maintenir l’expérience utilisateur même en cas d’augmentation de la charge en gérant la capacité. La stratégie inclut la mise à l’échelle des ressources, l’identification et l’optimisation des goulots d’étranglement potentiels et l’optimisation des performances maximales.

Les principes de conception d’efficacité des performances fournissent une stratégie de conception de haut niveau pour atteindre ces objectifs de capacité par rapport à l’utilisation attendue.

Check-list pour la conception

Démarrez votre stratégie de conception en fonction de la liste de vérification de la révision de conception pour l’efficacité des performances. Définissez une base de référence basée sur des indicateurs de performances clés pour Pare-feu Azure.

  • Optimisez votre configuration de Pare-feu Azure conformément aux recommandations de Well-Architected Framework pour optimiser le code et l’infrastructure et garantir l’opération de pointe. Pour maintenir un réseau efficace et sécurisé, passez régulièrement en revue et optimisez les règles de pare-feu. Cette pratique permet de s’assurer que vos configurations de pare-feu restent efficaces et à jour avec les dernières menaces de sécurité.

    Évaluez les exigences de stratégie et trouvez des opportunités pour résumer les plages d’adresses IP et les listes d’URL. Utilisez des catégories web pour autoriser ou refuser l’accès sortant en bloc pour simplifier la gestion et améliorer la sécurité. Évaluez l’impact sur les performances d’IDPS en mode Alerte et refus , car cette configuration peut affecter la latence et le débit du réseau. Configurez les adresses IP publiques pour prendre en charge vos exigences de port SNAT. Suivez ces pratiques pour créer une infrastructure de sécurité réseau robuste et évolutive.

  • N’utilisez pas Pare-feu Azure pour le contrôle de trafic réseau intra-virtuel. Utilisez Pare-feu Azure pour contrôler les types de trafic suivants :

    • Trafic entre réseaux virtuels
    • Trafic entre les réseaux virtuels et les réseaux locaux
    • Trafic sortant vers Internet
    • Trafic non HTTP ou non HTTPS entrant

    Pour le contrôle de trafic réseau intra-virtuel, utilisez des groupes de sécurité réseau.

  • Réchauffez Pare-feu Azure correctement avant les tests de performances. Créez le trafic initial qui ne fait pas partie de vos tests de charge 20 minutes avant vos tests. Utilisez les paramètres de diagnostic pour capturer les événements de scale-up et scale-down. Vous pouvez utiliser le service Azure Load Testing pour générer le trafic initial afin de pouvoir effectuer un scale-up Pare-feu Azure au nombre maximal d’instances.

  • Configurez un sous-réseau Pare-feu Azure avec un espace d’adressage /26. Vous avez besoin d’un sous-réseau dédié pour Pare-feu Azure. Pare-feu Azure approvisionne plus de capacité à mesure qu’elle est mise à l’échelle. Avec un espace d'adressage de /26, le pare-feu dispose de suffisamment d'adresses IP pour prendre en charge la mise à l'échelle. Pare-feu Azure ne nécessite pas de sous-réseau supérieur à /26. Nommez le sous-réseau Pare-feu Azure AzureFirewallSubnet.

  • N’activez pas la journalisation avancée si vous n’en avez pas besoin. Pare-feu Azure fournit certaines fonctionnalités de journalisation avancées qui peuvent entraîner des coûts importants pour maintenir l’activité. Au lieu de cela, vous pouvez utiliser ces fonctionnalités à des fins de résolution des problèmes uniquement et pour des durées limitées. Désactivez les fonctionnalités quand vous n’en avez pas besoin. Par exemple, les principaux flux et les journaux de trace de flux sont coûteux et peuvent entraîner une utilisation excessive du processeur et du stockage sur l’infrastructure Pare-feu Azure.

Recommandations

Recommandation Avantage
Utilisez le tableau de bord d’analytique des stratégies pour identifier les façons d’optimiser les stratégies Pare-feu Azure. Utilisez l’analytique des stratégies pour identifier les problèmes potentiels dans vos stratégies, tels que la conformité aux limites de stratégie, les règles incorrectes et l’utilisation incorrecte des groupes IP. Obtenez des recommandations pour améliorer la posture de sécurité et les performances de traitement des règles.
Placez des règles fréquemment utilisées au début d’un groupe pour optimiser la latence pour les stratégies Pare-feu Azure qui ont des ensembles de règles volumineux.

Pour plus d’informations, consultez Utiliser Pare-feu Azure stratégies pour traiter les règles.
Placez les règles fréquemment utilisées dans un ensemble de règles pour optimiser la latence de traitement. Pare-feu Azure traite les règles en fonction du type de règle, de l’héritage, de la priorité du groupe de regroupements de règles et de la priorité de collecte de règles. Pare-feu Azure traite d’abord les groupes de regroupements de règles à priorité élevée. À l’intérieur d’un groupe de regroupements de règles, Pare-feu Azure traite d’abord les regroupements de règles qui ont la priorité la plus élevée.
Utilisez des groupes IP pour synthétiser les plages d’adresses IP et éviter de dépasser la limite des règles de réseau de source unique ou de destination unique. Pare-feu Azure traite le groupe IP comme une seule adresse lorsque vous créez des règles réseau. Cette approche augmente efficacement le nombre d’adresses IP que vous pouvez couvrir sans dépasser la limite. Pour chaque règle, Azure multiplie les ports par adresses IP. Par conséquent, si une règle a quatre plages d’adresses IP et cinq ports, vous utilisez 20 règles réseau.
Utilisez Pare-feu Azure catégories web pour autoriser ou refuser l’accès sortant en bloc, au lieu de créer et de gérer explicitement une longue liste de sites Internet publics. Cette fonctionnalité catégorise dynamiquement le contenu web et permet la création de règles d’application compactes, ce qui réduit la surcharge opérationnelle.
Évaluez l’impact sur les performances d’IDPS en mode Alerte et refus. Pour plus d’informations, consultez Performances du Pare-feu Azure. Activez IDPS en mode Alerte et refus pour détecter et empêcher l’activité réseau malveillante. Cette fonctionnalité peut introduire une pénalité de performances. Comprendre l’effet sur votre charge de travail afin de pouvoir planifier en conséquence.
Configurez Pare-feu Azure déploiements avec au moins cinq adresses IP publiques pour les déploiements susceptibles d’épuisement des ports SNAT. Pare-feu Azure prend en charge 2 496 ports pour chaque adresse IP publique utilisée par chaque instance de groupe de machines virtuelles identiques Azure back-end. Cette configuration augmente les ports SNAT disponibles de cinq fois.

Par défaut, Pare-feu Azure déploie deux instances de groupes de machines virtuelles identiques qui prennent en charge 4 992 ports pour chaque adresse IP de destination de flux, port de destination et protocole TCP ou UDP. Le pare-feu peut évoluer jusqu’à 20 instances maximum.

Stratégies Azure

Azure fournit un ensemble complet de stratégies intégrées liées à Pare-feu Azure et à ses dépendances. Certaines des recommandations précédentes peuvent être auditées via Azure Policy. Par exemple, vous pouvez vérifier si :

  • Les interfaces réseau ne doivent pas avoir d’adresses IP publiques. Cette stratégie refuse les interfaces réseau configurées avec une adresse IP publique. Les adresses IP publiques permettent aux ressources Internet de communiquer entrantes vers des ressources Azure, et les ressources Azure peuvent communiquer sortant vers Internet.

  • Tout le trafic Internet doit être routé via votre instance de Pare-feu Azure déployée. Azure Security Center identifie que certains de vos sous-réseaux ne sont pas protégés par un pare-feu de nouvelle génération. Protégez vos sous-réseaux contre les menaces potentielles. Utilisez Pare-feu Azure ou un pare-feu de nouvelle génération pris en charge pour restreindre l’accès à vos sous-réseaux.

Pour une gouvernance complète, passez en revue les définitions intégrées d’Azure Policy pour Pare-feu Azure et d’autres stratégies susceptibles d’affecter la sécurité du réseau.

Recommandations Azure Advisor

Azure Advisor est un conseiller cloud personnalisé qui vous aide à suivre les bonnes pratiques pour optimiser vos déploiements Azure. Voici quelques recommandations qui peuvent vous aider à améliorer la fiabilité, la sécurité, l’efficacité des coûts, les performances et l’excellence opérationnelle de Pare-feu Azure.

Étapes suivantes

Consultez les ressources suivantes qui illustrent les recommandations de cet article.