Revisione di Azure Well-Architected Framework - Firewall di Azure
Questo articolo fornisce consigli sull'architettura per Firewall di Azure. Le linee guida si basano sui cinque pilastri dell'eccellenza dell'architettura:
- Affidabilità
- Sicurezza
- Ottimizzazione dei costi
- Eccellenza operativa
- Efficienza prestazionale
Si supponga di avere una conoscenza funzionante di Firewall di Azure e di essere ben esperto con le sue caratteristiche. Per altre informazioni, vedere panoramica di Firewall di Azure.
Prerequisiti
- Comprendere i pilastri di Azure Well-Architected Framework può contribuire a produrre un'architettura cloud di alta qualità, stabile ed efficiente. Esaminare il carico di lavoro usando la valutazione di revisione di Well-Architected Framework.
- Usare un'architettura di riferimento per esaminare le considerazioni in base alle indicazioni fornite in questo articolo. Iniziare con l'applicazione Web con protezione avanzata dalla rete con connettività privata agli archivi dati PaaS e Implementare una rete ibrida sicura.
Affidabilità
Per informazioni su come Firewall di Azure supporta in modo affidabile i carichi di lavoro, vedere gli articoli seguenti:
- Introduzione a Firewall di Azure
- Guida introduttiva: Distribuire Firewall di Azure con zone di disponibilità
- Configurare il Firewall di Azure in un hub della rete WAN virtuale
Elenco di controllo della progettazione
Quando si effettuano scelte di progettazione per Firewall di Azure, esaminare i principi di progettazione per l'affidabilità.
- Distribuire Firewall di Azure in reti virtuali hub o come parte degli hub di Azure rete WAN virtuale.
- Sfruttare zone di disponibilità resilienza.
- Creare Firewall di Azure struttura dei criteri.
- Esaminare l'elenco Dei problemi noti.
- Monitorare Firewall di Azure stato di integrità.
Nota
Esistono differenze nella disponibilità dei servizi di rete tra il modello hub e spoke tradizionale e rete WAN virtuale hub protetti gestiti. Ad esempio, in un hub rete WAN virtuale l'indirizzo IP pubblico Firewall di Azure non può essere acquisito da un prefisso IP pubblico e non può avere la protezione DDoS abilitata. La selezione di uno o l'altro modello deve considerare i requisiti in tutti e cinque i pilastri del framework ben progettato.
Consigli
Esplorare la tabella di raccomandazioni seguente per ottimizzare la configurazione Firewall di Azure per l'affidabilità.
| Elemento consigliato | Vantaggio |
|---|---|
| Usare Firewall di Azure Manager con topologie di rete hub e spoke tradizionali o rete WAN virtuale di Azure per distribuire e gestire istanze di Firewall di Azure. | Creare facilmente architetture hub-spoke e transitive con servizi di sicurezza nativi per la governance e la protezione del traffico. Per altre informazioni sulle topologie di rete, vedere la documentazione di Azure Cloud Adoption Framework . |
| Creare Firewall di Azure Criteri per gestire il comportamento di sicurezza in ambienti di rete globali. Assegnare criteri a tutte le istanze di Firewall di Azure. | Firewall di Azure Criteri possono essere disposti in una struttura gerarchica per sovrapporre un criterio di base centrale. Consentire ai criteri granulari di soddisfare i requisiti di aree specifiche. Delegare i criteri firewall incrementali ai team di sicurezza locali tramite il controllo degli accessi in base al ruolo. Alcune impostazioni sono specifiche per ogni istanza, ad esempio regole DNAT e configurazione DNS, quindi potrebbero essere necessari più criteri specializzati. |
| Eseguire la migrazione Firewall di Azure regole classiche ai criteri di Firewall di Azure Manager per le distribuzioni esistenti. | Per le distribuzioni esistenti, eseguire la migrazione delle regole di Firewall di Azure ai criteri di Firewall di Azure Manager. Usare Firewall di Azure Manager per gestire centralmente i firewall e i criteri. Per altre informazioni, vedere Eseguire la migrazione a Firewall di Azure Premium. |
| Esaminare l'elenco di Firewall di Azure problemi noti. | Firewall di Azure Gruppo di prodotti mantiene un elenco aggiornato di problemi noti in questa posizione. Questo elenco contiene informazioni importanti relative al comportamento in base alla progettazione, alle correzioni in fase di costruzione, alle limitazioni della piattaforma, insieme a possibili soluzioni alternative o mitigazioni. |
| Assicurarsi che i criteri di Firewall di Azure siano conformi ai limiti e alle raccomandazioni Firewall di Azure. | Esistono limiti per la struttura dei criteri, inclusi i numeri di regole e i gruppi di raccolta regole, le dimensioni totali dei criteri, le destinazioni di origine/destinazione. Assicurarsi di comporre i criteri e di rimanere al di sotto delle soglie documentate. |
| Distribuire Firewall di Azure tra più zone di disponibilità per un contratto di servizio superiore. | Firewall di Azure fornisce contratti di servizio diversi quando viene distribuito in una singola zona di disponibilità e quando viene distribuito in più zone. Per altre informazioni, vedere Contratto di servizio per Firewall di Azure. Per informazioni su tutti i contratti di servizio di Azure, vedere Riepilogo dei contratti di servizio per i servizi di Azure. |
| Negli ambienti in più aree distribuire un'istanza di Firewall di Azure per area. | Per le architetture hub-spoke tradizionali, i dettagli su più aree sono illustrati in questo articolo. Per gli hub virtuali protetti (Azure rete WAN virtuale), la finalità e i criteri di routing devono essere configurati per proteggere le comunicazioni tra hub e branch-to-branch. Per i carichi di lavoro progettati per essere resistenti agli errori e alla tolleranza di errore, tenere presente che le istanze di Firewall di Azure e Azure Rete virtuale come risorse a livello di area. |
| Monitorare Firewall di Azure metriche e Integrità risorse stato. | Monitorare attentamente l'indicatore delle metriche chiave di Firewall di Azure stato di integrità, ad esempio velocità effettiva, stato di integrità del firewall, utilizzo delle porte SNAT e metriche probe di latenza AZFW. Inoltre, Firewall di Azure ora si integra con Azure Integrità risorse. Con il controllo Firewall di Azure Integrità risorse è ora possibile visualizzare lo stato di integrità del Firewall di Azure e risolvere i problemi del servizio che potrebbero influire sulla risorsa Firewall di Azure. |
Azure Advisor aiuta a garantire e migliorare la continuità delle applicazioni aziendali critiche. Esaminare le raccomandazioni di Azure Advisor.
Sicurezza
La sicurezza è uno degli aspetti essenziali di qualsiasi architettura. Firewall di Azure è un servizio di sicurezza firewall intelligente che fornisce la protezione dalle minacce per i carichi di lavoro cloud in esecuzione in Azure.
Elenco di controllo della progettazione
Quando si effettuano scelte di progettazione per Firewall di Azure, esaminare i principi di progettazione per la sicurezza.
- Determinare se è necessario il tunneling forzato.
- Creare regole per i criteri in base ai criteri di accesso con privilegi minimi.
- Sfruttare Intelligence per le minacce.
- Abilitare Firewall di Azure proxy DNS.
- Indirizzare il traffico di rete attraverso Firewall di Azure.
- Determinare se si desidera usare provider di sicurezza come servizio (SECaaS) di terze parti.
- Proteggere gli indirizzi IP pubblici Firewall di Azure con DDoS.
Consigli
Esplorare la tabella di raccomandazioni seguente per ottimizzare la configurazione Firewall di Azure per la sicurezza.
| Elemento consigliato | Vantaggio |
|---|---|
| Se necessario per instradare tutto il traffico associato a Internet a un hop successivo designato anziché passare direttamente a Internet, configurare Firewall di Azure in modalità tunneling forzato (non si applica ad Azure rete WAN virtuale). | Connettività diretta al Firewall di Azure. Se AzureFirewallSubnet apprende una route predefinita alla rete locale tramite border gateway protocol, è necessario configurare Firewall di Azure in modalità di tunneling forzato. Usando la funzionalità di tunneling forzato, è necessario un altro spazio indirizzi /26 per la subnet di gestione Firewall di Azure. È necessario denominarlo AzureFirewallManagementSubnet. Se si tratta di un'istanza di Firewall di Azure esistente che non può essere riconfigurata nella modalità di tunneling forzato, creare una route definita dall'utente con route 0.0.0.0/0. Impostare il valore NextHopType su Internet. Associarlo ad AzureFirewallSubnet per mantenere la connettività Internet. |
| Impostare l'indirizzo IP pubblico su Nessuno per distribuire un piano dati completamente privato quando si configura Firewall di Azure in modalità di tunneling forzato (non si applica ad Azure rete WAN virtuale). | Quando si distribuisce una nuova istanza di Firewall di Azure, se si abilita la modalità di tunneling forzato, è possibile impostare l'indirizzo IP pubblico su Nessuno per distribuire un piano dati completamente privato. Tuttavia, il piano di gestione richiede comunque un indirizzo IP pubblico solo a scopo di gestione. Il traffico interno dalle reti virtuali e locali non userà l'indirizzo IP pubblico. Per altre informazioni sul tunneling forzato, vedere Firewall di Azure tunneling forzato. |
| Creare regole per i criteri firewall in base ai criteri di accesso con privilegi minimi. | Firewall di Azure Criteri possono essere disposti in una struttura gerarchica per sovrapporre un criterio di base centrale. Consentire ai criteri granulari di soddisfare i requisiti di aree specifiche. Ogni criterio può contenere set diversi di regole DNAT, Network e Application con priorità, azione ed ordine di elaborazione specifici. Creare le regole in base al principio Zero Trust per l'accesso con privilegi minimi. Il modo in cui vengono elaborate le regole è illustrato in questo articolo. |
| Abilitare Intelligence per le minacce in Firewall di Azure in modalità avviso e negazione. | È possibile abilitare i filtri basati sull'intelligence sulle minacce per il firewall in modo da creare avvisi e rifiutare il traffico da o verso indirizzi IP e domini sconosciuti. Gli indirizzi IP e i domini sono originati dal feed Intelligence sulle minacce Microsoft. Intelligent Security Graph supporta l'intelligence sulle minacce Microsoft e viene usato da più servizi, tra cui Microsoft Defender per il cloud. |
| Abilitare IDPS in modalità avviso o avviso e negazione. | IDPS è una delle funzionalità di sicurezza Firewall di Azure (Premium) più potenti e deve essere abilitata. In base ai requisiti di sicurezza e applicazione e considerando l'impatto sulle prestazioni (vedere la sezione Costo di seguito), è possibile selezionare le modalità avviso o avviso e rifiuto . |
| Abilitare la configurazione proxy Firewall di Azure (DNS). | L'abilitazione di questa funzionalità punta i client nelle reti virtuali a Firewall di Azure come server DNS. Proteggerà l'infrastruttura DNS interna che non sarà accessibile direttamente e esposta. Firewall di Azure deve essere configurato anche per l'uso di DNS personalizzato che verrà usato per inoltrare le query DNS. |
| Configurare route definite dall'utente per forzare il traffico attraverso Firewall di Azure. | In un'architettura hub&spoke tradizionale configurare le route definite dall'utente per forzare il traffico attraverso Firewall di Azure per Spoke-to-Spoke, Spoke-to-Internete Spoke-to-Hybrid la connettività. In Azure rete WAN virtuale configurare invece finalità e criteri di routing per reindirizzare il traffico privato e/o Internet attraverso l'istanza di Firewall di Azure integrata nell'hub. |
| Limitare l'utilizzo di indirizzi IP pubblici direttamente associati a Macchine virtuali | Per evitare che il traffico ignori il firewall, è necessario limitare l'associazione di indirizzi IP pubblici alle interfacce di rete delle macchine virtuali. Nel modello CAF (Azure Cloud Adoption Framework) viene assegnato un Criteri di Azure specifico al gruppo di gestione CORP. |
| Se non è possibile applicare la route definita dall'utente e è necessario usare solo il reindirizzamento del traffico Web, è consigliabile usare Firewall di Azure come proxy esplicito | Con la funzionalità proxy esplicita abilitata nel percorso in uscita, è possibile configurare un'impostazione proxy nell'applicazione Web di invio (ad esempio un Web browser) con Firewall di Azure configurata come proxy. Di conseguenza, il traffico Web raggiungerà l'indirizzo IP privato del firewall e quindi egresse direttamente dal firewall senza usare una route definita dall'utente. Questa funzionalità facilita anche l'utilizzo di più firewall senza modificare le route di rete esistenti. |
| Configurare provider di sicurezza SaaS (Software as a Service) supportati all'interno di Gestione firewall se si vogliono usare queste soluzioni per proteggere le connessioni in uscita. | È possibile usare le offerte SECaaS di terze parti familiari e di alta qualità per proteggere l'accesso a Internet per gli utenti. Questo scenario richiede rete WAN virtuale di Azure con un Gateway VPN da sito a sito nell'hub, perché usa un tunnel IPSec per connettersi all'infrastruttura del provider. I provider SECaaS potrebbero addebitare costi di licenza aggiuntivi e limitare la velocità effettiva nelle connessioni IPSec. Esistono soluzioni alternative come ZScaler Cloud Connector e potrebbero essere più adatte. |
| Usare il filtro FQDN (Fully Qualified Domain Name) nelle regole di rete. | È possibile usare il nome di dominio completo basato sulla risoluzione DNS nei criteri di Firewall di Azure e firewall. Questa funzionalità consente di filtrare il traffico in uscita con qualsiasi protocollo TCP/UDP (tra cui NTP, SSH, RDP e altri). È necessario abilitare la configurazione del proxy DNS Firewall di Azure per usare FQDN nelle regole di rete. Per informazioni sul funzionamento, vedere Firewall di Azure filtro FQDN nelle regole di rete. |
| Usare i tag di servizio nelle regole di rete per abilitare l'accesso selettivo a servizi Microsoft specifici. | Un tag di servizio rappresenta un gruppo di prefissi di indirizzo IP che consente di ridurre al minimo la complessità nella creazione di regole di sicurezza. Usando i tag di servizio nelle regole di rete, è possibile abilitare l'accesso in uscita a servizi specifici in Azure, Dynamics e Office 365 senza aprire intervalli estesi di indirizzi IP. Azure manterrà automaticamente il mapping tra questi tag e gli indirizzi IP sottostanti usati da ogni servizio. L'elenco dei tag di servizio disponibili per Firewall di Azure è elencato qui: Az Firewall Service Tags (Tag del servizio Az Firewall). |
| Usare i tag FQDN nelle regole dell'applicazione per abilitare l'accesso selettivo a servizi Microsoft specifici. | Un tag FQDN rappresenta un gruppo di nomi di dominio completi (FQDN) associati a servizi Microsoft noti. È possibile usare un tag FQDN nelle regole dell'applicazione per consentire il traffico di rete in uscita necessario attraverso il firewall per alcuni servizi di Azure specifici, Office 365, Windows 365 e Intune. |
| Usare Firewall di Azure Manager per creare e associare un piano di protezione DDoS alla rete virtuale hub (non si applica ad Azure rete WAN virtuale). | Un piano di protezione DDoS offre funzionalità di mitigazione avanzate per proteggere il firewall dagli attacchi DDoS. Firewall di Azure Manager è uno strumento integrato per creare l'infrastruttura firewall e i piani di protezione DDoS. Per altre informazioni, vedere Configurare un piano di protezione DDoS di Azure con Firewall di Azure Manager. |
| Usare un'infrastruttura a chiave pubblica aziendale per generare certificati per l'ispezione TLS. | Con Firewall di Azure Premium, se viene usata la funzionalità di ispezione TLS, è consigliabile sfruttare un'autorità di certificazione (CA) aziendale interna per l'ambiente di produzione. I certificati autofirmato devono essere usati solo a scopo di test/verifica. |
| Vedere Guida alla configurazione zero-trust per Firewall di Azure e gateway applicazione | Se i requisiti di sicurezza richiedono l'implementazione di un approccio Zero-Trust per le applicazioni Web (ispezione e crittografia), è consigliabile seguire questa guida. In questo documento verrà illustrato come integrare insieme Firewall di Azure e gateway applicazione, sia negli scenari hub &spoke tradizionali che negli scenari rete WAN virtuale. |
Azure Advisor aiuta a garantire e migliorare la continuità delle applicazioni aziendali critiche. Esaminare le raccomandazioni di Azure Advisor.
Definizioni dei criteri
Le interfacce di rete non devono avere indirizzi IP pubblici. Questo criterio nega l'accesso alle interfacce di rete configurate con qualsiasi IP pubblico. Gli indirizzi IP pubblici consentono alle risorse Internet di comunicare in ingresso con le risorse di Azure e alle risorse di Azure di comunicare in uscita con Internet.
Tutto il traffico Internet deve essere instradato tramite il Firewall di Azure distribuito. Il Centro sicurezza di Azure ha rilevato che alcune delle subnet non sono protette con un firewall di nuova generazione. Proteggere le subnet da potenziali minacce limitandone l'accesso con Firewall di Azure o un firewall di nuova generazione supportato.
Tutte le definizioni di criteri predefinite correlate alla rete di Azure sono elencate in Criteri predefiniti - Rete.
Ottimizzazione dei costi
L'ottimizzazione dei costi riguarda l'analisi dei modi per ridurre le spese non necessarie e migliorare l'efficienza operativa.
Elenco di controllo della progettazione
Quando si effettuano scelte di progettazione per Firewall di Azure, esaminare i principi di progettazione per l'ottimizzazione dei costi.
- Selezionare lo SKU Firewall di Azure da distribuire.
- Determinare se alcune istanze non necessitano di allocazione permanente 24x7.
- Determinare dove è possibile ottimizzare l'uso del firewall tra carichi di lavoro.
- Monitorare e ottimizzare l'utilizzo delle istanze del firewall per determinare l'efficacia dei costi.
- Esaminare e ottimizzare il numero di indirizzi IP pubblici necessari e criteri usati.
- Esaminare i requisiti di registrazione, stimare i costi e il controllo nel tempo.
Consigli
Esplorare la tabella di raccomandazioni seguente per ottimizzare la configurazione di Firewall di Azure per l'ottimizzazione dei costi.
| Elemento consigliato | Vantaggio |
|---|---|
| Distribuire lo SKU di Firewall di Azure appropriato. | Firewall di Azure possono essere distribuiti in tre SKU diversi: Basic, Standard e Premium. Firewall di Azure Premium è consigliabile proteggere applicazioni altamente sensibili , ad esempio l'elaborazione dei pagamenti. Firewall di Azure Standard è consigliato per i clienti che cercano il firewall di livello 3-livello 7 e richiede la scalabilità automatica per gestire periodi di traffico di picco fino a 30 Gbps. Firewall di Azure Basic è consigliato per i clienti SMB con esigenze di velocità effettiva di 250 Mbps. Se necessario, è possibile effettuare il downgrade o l'aggiornamento tra Standard e Premium, come documentato qui. Per altre informazioni, vedere Scegliere lo SKU Firewall di Azure appropriato per soddisfare le proprie esigenze. |
| Arrestare Firewall di Azure distribuzioni che non devono essere eseguite per 24x7. | Potrebbero essere presenti ambienti di sviluppo o test usati solo durante l'orario di ufficio. Per altre informazioni, vedere Deallocare e allocare Firewall di Azure. |
| Condividere la stessa istanza di Firewall di Azure tra più carichi di lavoro e Rete virtuale di Azure. | È possibile usare un'istanza centrale di Firewall di Azure nella rete virtuale hub o rete WAN virtuale hub sicuro e condividere lo stesso firewall tra più reti virtuali spoke connesse allo stesso hub dalla stessa area. Verificare che il traffico tra aree non sia imprevisto come parte della topologia hub-spoke. |
| Esaminare regolarmente il traffico elaborato da Firewall di Azure e cercare ottimizzazioni del carico di lavoro di origine | Il log dei flussi principali (noto nel settore come Flussi di grasso) mostra le principali connessioni che contribuiscono alla velocità effettiva più elevata tramite il firewall. È consigliabile esaminare regolarmente il traffico elaborato dal Firewall di Azure e cercare possibili ottimizzazioni per ridurre la quantità di traffico che attraversa il firewall. |
| Esaminare le istanze di Firewall di Azure sottoutilizzate. Identificare ed eliminare distribuzioni di Firewall di Azure inutilizzate. | Per identificare le distribuzioni di Firewall di Azure inutilizzate, iniziare analizzando le metriche di monitoraggio e le route definite dall'utente associate alle subnet che puntano all'INDIRIZZO IP privato del firewall. Combinare tali informazioni con altre convalide, ad esempio se l'istanza di Firewall di Azure include regole (classiche) per NAT, rete e applicazione o anche se l'impostazione proxy DNS è configurata su Disabilitato e con documentazione interna sull'ambiente e le distribuzioni. È possibile rilevare le distribuzioni convenienti nel tempo. Per altre informazioni sul monitoraggio dei log e delle metriche, vedere Monitorare Firewall di Azure log e metriche e utilizzo delle porte SNAT. |
| Usare Firewall di Azure Manager e i relativi criteri per ridurre i costi operativi, aumentare l'efficienza e ridurre il sovraccarico di gestione. | Esaminare attentamente i criteri, le associazioni e l'ereditarietà di Gestione firewall. I criteri vengono fatturati in base alle associazioni di firewall. I criteri con una o zero associazioni di firewall sono gratuiti. I criteri con più associazioni di firewall vengono fatturati a tariffa fissa. Per altre informazioni, vedere Prezzi - Firewall di Azure Manager. |
| Eliminare gli indirizzi IP pubblici inutilizzati. | Verificare se tutti gli indirizzi IP pubblici associati sono in uso. Se non sono in uso, disassociare ed eliminarli. Valutare l'utilizzo delle porte SNAT prima di rimuovere gli indirizzi IP. Si userà solo il numero di indirizzi IP pubblici necessari per il firewall. Per altre informazioni, vedere Monitorare Firewall di Azure log e metriche e utilizzo delle porte SNAT. |
| Esaminare i requisiti di registrazione. | Firewall di Azure ha la possibilità di registrare in modo completo i metadati di tutto il traffico visualizzato, ad aree di lavoro Log Analytics, archiviazione o soluzioni di terze parti tramite Hub eventi. Tuttavia, tutte le soluzioni di registrazione comportano costi per l'elaborazione e l'archiviazione dei dati. Con volumi molto elevati questi costi possono essere significativi, è consigliabile prendere in considerazione un approccio conveniente e un'alternativa a Log Analytics . Valutare se è necessario registrare i metadati del traffico per tutte le categorie di registrazione e modificare in Impostazioni di diagnostica, se necessario. |
Per altri suggerimenti, vedere Elenco di controllo per la revisione della progettazione per Ottimizzazione costi.
Azure Advisor aiuta a garantire e migliorare la continuità delle applicazioni aziendali critiche. Esaminare le raccomandazioni di Azure Advisor.
Eccellenza operativa
Il monitoraggio e la diagnostica sono fondamentali. È possibile misurare rapidamente le statistiche sulle prestazioni e le metriche per risolvere e risolvere rapidamente i problemi.
Elenco di controllo della progettazione
Quando si effettuano scelte di progettazione per Firewall di Azure, esaminare i principi di progettazione per l'eccellenza operativa.
- Gestire l'inventario e il backup di Firewall di Azure configurazione e criteri.
- Sfruttare i log di diagnostica per il monitoraggio e la risoluzione dei problemi del firewall.
- Usare Firewall di Azure cartella di lavoro Monitoraggio.
- Esaminare regolarmente le informazioni dettagliate e l'analisi dei criteri.
- Integrare Firewall di Azure con Microsoft Defender per il cloud e Microsoft Sentinel.
Consigli
Esplorare la tabella seguente delle raccomandazioni per ottimizzare la configurazione Firewall di Azure per l'eccellenza operativa.
| Elemento consigliato | Vantaggio |
|---|---|
| Non usare Firewall di Azure per il controllo del traffico all'interno della rete virtuale. | Firewall di Azure deve essere usato per controllare il traffico tra reti virtuali, tra reti virtuali e reti locali, il traffico in uscita verso Internet e il traffico non HTTP/s in ingresso. Per il controllo del traffico all'interno della rete virtuale, è consigliabile usare i gruppi di sicurezza di rete. |
| Mantenere backup regolari di Criteri di Azure artefatti. | Se l'approccio IaC (Infrastructure-as-Code) viene usato per gestire Firewall di Azure e tutte le dipendenze, il backup e il controllo delle versioni dei criteri di Firewall di Azure devono essere già applicati. In caso contrario, è possibile distribuire un meccanismo complementare basato su app per la logica esterna per automatizzare e offrire una soluzione efficace. |
| Abilitare i log di diagnostica per Firewall di Azure. | I log di diagnostica sono un componente chiave per molti strumenti e strategie di monitoraggio per Firewall di Azure e devono essere abilitati. È possibile monitorare Firewall di Azure usando i log o le cartelle di lavoro del firewall. È anche possibile usare i log attività per le operazioni di controllo sulle risorse Firewall di Azure. |
| Usare il formato Dei log del firewall strutturato. | I log del firewall strutturato sono un tipo di dati di log organizzati in un nuovo formato specifico. Usano uno schema predefinito per strutturare i dati di log in modo da semplificare la ricerca, il filtro e l'analisi. Gli strumenti di monitoraggio più recenti si basano su questo tipo di log, pertanto è spesso un prerequisito. Usare il formato log di diagnostica precedente solo se è presente uno strumento esistente con un prerequisito. Non abilitare entrambi i formati di registrazione contemporaneamente. |
| Usare la cartella di lavoro di monitoraggio Firewall di Azure predefinita. | Firewall di Azure'esperienza del portale include ora una nuova cartella di lavoro in L'interfaccia utente della sezione Monitoraggio, un'installazione separata non è più necessaria. Con la cartella di lavoro Firewall di Azure è possibile estrarre informazioni dettagliate preziose dagli eventi Firewall di Azure, approfondire le regole dell'applicazione e della rete ed esaminare le statistiche relative alle attività del firewall tra URL, porte e indirizzi. |
| Monitorare le metriche chiave e creare avvisi per gli indicatori dell'utilizzo della capacità Firewall di Azure. | È necessario creare avvisi per monitorare almeno la velocità effettiva, lo stato di integrità del firewall, l'utilizzo delle porte SNAT e le metriche del probe di latenza AZFW. Per informazioni sul monitoraggio dei log e delle metriche, vedere Monitorare Firewall di Azure log e metriche. |
| Configurare l'integrazione Firewall di Azure con Microsoft Defender per il cloud e Microsoft Sentinel. | Se questi strumenti sono disponibili nell'ambiente, è consigliabile sfruttare l'integrazione con le soluzioni Microsoft Defender per il cloud e Microsoft Sentinel. Con Microsoft Defender per il cloud integrazione, è possibile visualizzare lo stato completo dell'infrastruttura di rete e della sicurezza di rete in un'unica posizione, inclusa la sicurezza di rete di Azure in tutte le reti virtuali e gli hub virtuali distribuiti in aree diverse in Azure. L'integrazione con Microsoft Sentinel offre funzionalità di rilevamento e prevenzione delle minacce. |
| Esaminare regolarmente il dashboard di Analisi dei criteri per identificare i potenziali problemi. | Analisi dei criteri è una nuova funzionalità che fornisce informazioni dettagliate sull'impatto dei criteri di Firewall di Azure. Consente di identificare i potenziali problemi (raggiungendo i limiti dei criteri, le regole di utilizzo ridotte, le regole ridondanti, le regole troppo generico, le raccomandazioni sull'utilizzo dei gruppi IP) nei criteri e fornisce raccomandazioni per migliorare il comportamento di sicurezza e le prestazioni di elaborazione delle regole. |
| Acquisire familiarità con le query KQL (Linguaggio di query Kusto) per consentire l'analisi rapida e la risoluzione dei problemi usando i log di Firewall di Azure. | Vengono fornite query di esempio per Firewall di Azure. Questi consentono di identificare rapidamente cosa accade all'interno del firewall e verificare quale regola è stata attivata o quale regola consente/blocca una richiesta. |
Azure Advisor aiuta a garantire e migliorare la continuità delle applicazioni aziendali critiche. Esaminare le raccomandazioni di Azure Advisor.
Efficienza prestazionale
L'efficienza delle prestazioni è la capacità del carico di lavoro di ridimensionarsi per soddisfare in modo efficiente le esigenze poste dagli utenti.
Elenco di controllo della progettazione
Quando si effettuano scelte di progettazione per Firewall di Azure, esaminare i principi di progettazione per l'efficienza delle prestazioni.
- Esaminare e ottimizzare regolarmente le regole del firewall.
- Esaminare i requisiti dei criteri e le opportunità per riepilogare gli intervalli IP e l'elenco di URL.
- Valutare i requisiti delle porte SNAT.
- Pianificare i test di carico per testare le prestazioni di scalabilità automatica nell'ambiente.
- Non abilitare gli strumenti di diagnostica e la registrazione, se non necessario.
Consigli
Esplorare la tabella seguente delle raccomandazioni per ottimizzare la configurazione Firewall di Azure per ottenere un'efficienza delle prestazioni.
| Elemento consigliato | Vantaggio |
|---|---|
| Usare il dashboard di Analisi dei criteri per identificare le potenziali ottimizzazioni per i criteri firewall. | Analisi dei criteri è una nuova funzionalità che fornisce informazioni dettagliate sull'impatto dei criteri di Firewall di Azure. Consente di identificare i potenziali problemi (raggiungendo i limiti dei criteri, le regole di utilizzo ridotte, le regole ridondanti, le regole troppo generico, le raccomandazioni sull'utilizzo dei gruppi IP) nei criteri e fornisce raccomandazioni per migliorare il comportamento di sicurezza e le prestazioni di elaborazione delle regole. |
| Per i criteri firewall con set di regole di grandi dimensioni, inserire le regole usate più di frequente all'inizio del gruppo per ottimizzare la latenza. | Le regole vengono elaborate in base al tipo di regola, all'ereditarietà, alla priorità del gruppo di raccolte regole e alla priorità della raccolta regole. I gruppi di raccolta regole con priorità più alta vengono elaborati per primi. All'interno di un gruppo di raccolte regole, le raccolte regole con priorità più alta vengono elaborate per prime. L'inserimento di regole più usate più in alto nel set di regole consente di ottimizzare la latenza di elaborazione. Come vengono elaborate e valutate le regole in questo articolo. |
| Usare i gruppi IP per riepilogare gli intervalli di indirizzi IP. | È possibile usare i gruppi IP per riepilogare gli intervalli IP, in modo da non superare il limite di regole di rete di origine/destinazione univoce. Per ogni regola, Azure moltiplica le porte per indirizzi IP. Pertanto, se si dispone di una regola con quattro intervalli di indirizzi IP e cinque porte, si useranno 20 regole di rete. Il gruppo IP viene considerato come un singolo indirizzo allo scopo di creare regole di rete. |
| Prendere in considerazione categorie Web per consentire o negare l'accesso in uscita in blocco. | Invece di creare e mantenere in modo esplicito un lungo elenco di siti Internet pubblici, prendere in considerazione l'utilizzo di Firewall di Azure categorie Web. Questa funzionalità categorizzerà dinamicamente il contenuto Web e consentirà la creazione di regole di applicazione compatta. |
| Valutare l'impatto sulle prestazioni di IDPS in modalità avviso e negazione . | Se Firewall di Azure è necessario operare in modalità IDPS Avviso e negazione, considerare attentamente l'impatto sulle prestazioni come documentato nelle prestazioni del firewall. |
| Valutare il potenziale problema di esaurimento delle porte SNAT. | Firewall di Azure supporta attualmente 2496 porte per ogni indirizzo IP pubblico per ogni istanza del set di scalabilità di macchine virtuali back-end. Per impostazione predefinita, sono disponibili due istanze del set di scalabilità di macchine virtuali. Sono quindi disponibili 4992 porte per indirizzo IP di destinazione del flusso, porta di destinazione e protocollo (TCP o UDP). Il firewall aumenta fino a un massimo di 20 istanze. È possibile aggirare i limiti configurando Firewall di Azure distribuzioni con almeno cinque indirizzi IP pubblici per le distribuzioni soggette all'esaurimento SNAT. |
| Riscaldamento corretto Firewall di Azure prima di qualsiasi test delle prestazioni. | Creare il traffico iniziale che non fa parte dei test di carico 20 minuti prima del test. Usare le impostazioni di diagnostica per acquisire eventi di aumento e riduzione delle prestazioni. È possibile usare il servizio Test di carico di Azure per generare il traffico iniziale. Consente all'istanza di Firewall di Azure di aumentare le istanze fino al massimo. |
| Configurare una subnet Firewall di Azure (AzureFirewallSubnet) con uno spazio indirizzi /26. | Firewall di Azure è una distribuzione dedicata nella rete virtuale. All'interno della rete virtuale è necessaria una subnet dedicata per l'istanza di Firewall di Azure. Firewall di Azure effettua il provisioning di una maggiore capacità man mano che viene ridimensionata. Uno spazio indirizzi /26 per le subnet garantisce che il firewall disponga di indirizzi IP sufficienti per supportare la scalabilità. Firewall di Azure non ha bisogno di una subnet maggiore di/26. Il nome della subnet Firewall di Azure deve essere AzureFirewallSubnet. |
| Non abilitare la registrazione avanzata se non necessario | Firewall di Azure offre alcune funzionalità di registrazione avanzate che possono essere costose da mantenere sempre attive. Al contrario, devono essere usati solo a scopo di risoluzione dei problemi e limitata in durata, quindi disabilitati quando non sono più necessari. Ad esempio, i flussi principali e i log di traccia del flusso sono costosi possono causare un utilizzo eccessivo della CPU e dell'archiviazione nell'infrastruttura Firewall di Azure. |
Azure Advisor aiuta a garantire e migliorare la continuità delle applicazioni aziendali critiche. Esaminare le raccomandazioni di Azure Advisor.
Consigli di Azure Advisor
Azure Advisor è un consulente cloud personalizzato che facilita l'applicazione delle procedure consigliate per ottimizzare le distribuzioni di Azure. Non esiste ancora alcuna raccomandazione specifica di Advisor Firewall di Azure. È possibile applicare alcune raccomandazioni generali per migliorare l'affidabilità, la sicurezza, l'efficacia dei costi, le prestazioni e l'eccellenza operativa.
- Creare avvisi di Integrità dei servizi di Azure per ricevere una notifica quando si verificano problemi di Azure
- Abilitare Analisi del traffico per visualizzare informazioni dettagliate sui modelli di traffico tra le risorse di Azure
- Proteggere le risorse di rete con Microsoft Defender per il cloud
Risorse aggiuntive
- Documentazione su Firewall di Azure
- Che cos'è Firewall di Azure Manager?
- Firewall di Azure limiti, quote e vincoli del servizio
- Baseline di sicurezza di Azure per Firewall di Azure
Linee guida del Centro architetture di Azure
- Panoramica dell'architettura di Firewall di Azure
- Usare Firewall di Azure per proteggere un cluster servizio Azure Kubernetes (servizio Azure Kubernetes)
- Usare Firewall di Azure per proteggere le distribuzioni di Desktop virtuale Azure
- Usare Firewall di Azure per proteggere Office 365
- Topologia di rete hub-spoke in Azure
- Rete Zero Trust per le applicazioni Web con Firewall di Azure e gateway applicazione
- Implementare una rete ibrida sicura
- Applicazione Web con protezione avanzata di rete e connettività privata agli archivi dati PaaS
Passaggio successivo
Distribuire un'istanza di Firewall di Azure per vedere come funziona: