Prospettiva di Azure Well-Architected Framework su Firewall di Azure

Firewall di Azure è un servizio di sicurezza del firewall di rete intelligente e nativo del cloud che fornisce una protezione dalle minacce di tipo migliore per i carichi di lavoro cloud eseguiti in Azure. Si tratta di un servizio firewall gestito completamente con stato che ha disponibilità elevata incorporata e scalabilità cloud senza restrizioni. Firewall di Azure fornisce sia l'ispezione del traffico est-ovest che nord-sud.

Questo articolo presuppone che in qualità di architetto siano state esaminate le opzioni di sicurezza della rete virtuale e che sia stato scelto Firewall di Azure come servizio di sicurezza di rete per il carico di lavoro. Le linee guida contenute in questo articolo forniscono raccomandazioni sull'architettura mappate ai principi dei pilastri di Azure Well-Architected Framework.

Importante

Come usare questa guida

Ogni sezione include un elenco di controllo di progettazione che presenta le aree di interesse dell'architettura insieme alle strategie di progettazione localizzate nell'ambito della tecnologia.

Sono incluse anche raccomandazioni sulle funzionalità tecnologiche che possono aiutare a materializzare tali strategie. Le raccomandazioni non rappresentano un elenco completo di tutte le configurazioni disponibili per Firewall di Azure e le relative dipendenze. Vengono invece elencate le raccomandazioni principali mappate alle prospettive di progettazione. Usare i consigli per creare il modello di verifica o ottimizzare gli ambienti esistenti.

Architettura di base che illustra le raccomandazioni principali: topologia di rete hub-spoke in Azure.

Ambito della tecnologia

Questa revisione è incentrata sulle decisioni correlate per le risorse di Azure seguenti:

  • Firewall di Azure
  • Gestione firewall di Azure

Affidabilità

Lo scopo del pilastro Affidabilità è fornire funzionalità continue creando una resilienza sufficiente e la possibilità di recuperare rapidamente dagli errori.

I principi di progettazione dell'affidabilità forniscono una strategia di progettazione di alto livello applicata per singoli componenti, flussi di sistema e il sistema nel suo complesso.

Elenco di controllo della progettazione

Avviare la strategia di progettazione in base all'elenco di controllo di revisione della progettazione per l'affidabilità. Determinare la rilevanza per i requisiti aziendali tenendo presenti i criteri e il tipo di architettura usati. Estendere la strategia per includere altri approcci in base alle esigenze.

  • Esaminare l'elenco di Firewall di Azure problemi noti. Firewall di Azure i prodotti mantengono un elenco aggiornato di problemi noti. Questo elenco contiene informazioni importanti sul comportamento in base alla progettazione, correzioni in fase di costruzione, limitazioni della piattaforma e possibili soluzioni alternative o strategie di mitigazione.

  • Assicurarsi che i criteri di Firewall di Azure siano conformi ai limiti e alle raccomandazioni Firewall di Azure. La struttura dei criteri presenta limiti, tra cui il numero di regole e gruppi di raccolta regole, le dimensioni totali dei criteri, le destinazioni di origine e le destinazioni di destinazione. Assicurarsi di comporre i criteri e di rimanere al di sotto delle soglie documentate.

  • Distribuire Firewall di Azure tra più zone di disponibilità per un contratto di servizio più elevato. Firewall di Azure fornisce contratti di servizio diversi a seconda che si distribuisca il servizio in una singola zona di disponibilità o in più zone. Per altre informazioni, vedere Contratti di servizio per Servizi online.

  • Distribuire un'istanza di Firewall di Azure in ogni area in ambienti in più aree. Per le architetture hub-spoke tradizionali, vedere Considerazioni su più aree. Per gli hub rete WAN virtuale di Azure protetti, configurare la finalità e i criteri di routing per proteggere le comunicazioni tra hub e branch-to-branch. Per i carichi di lavoro resistenti agli errori e a tolleranza di errore, prendere in considerazione le istanze di Firewall di Azure e Azure Rete virtuale come risorse a livello di area.

  • Monitorare le metriche Firewall di Azure e lo stato di integrità delle risorse. Firewall di Azure si integra con Azure Integrità risorse. Usare il controllo Integrità risorse per visualizzare lo stato di integrità di Firewall di Azure e risolvere i problemi del servizio che potrebbero influire sulla risorsa Firewall di Azure.

  • Distribuire Firewall di Azure nelle reti virtuali hub o nell'ambito degli hub di rete WAN virtuale.

Nota

La disponibilità dei servizi di rete è diversa tra il modello hub-spoke tradizionale e il modello di hub protetto gestito da rete WAN virtuale. Ad esempio, in un hub rete WAN virtuale, l'indirizzo IP pubblico Firewall di Azure non può provenire da un prefisso IP pubblico e non può avere la protezione DDoS di Azure abilitata. Quando si sceglie il modello, prendere in considerazione i requisiti in tutti e cinque i pilastri del framework ben progettato.

Consigli

Elemento consigliato Vantaggio
Distribuire Firewall di Azure tra più zone di disponibilità. Distribuire Firewall di Azure tra più zone di disponibilità per mantenere un livello specifico di resilienza. Se si verifica un'interruzione di una zona, un'altra zona continua a servire il traffico.
Monitorare Firewall di Azure metriche in un'area di lavoro Log Analytics. Monitorare attentamente le metriche che indicano lo stato di integrità Firewall di Azure, ad esempio velocità effettiva, stato di integrità del firewall, utilizzo delle porte SNAT e metriche probe di latenza AZFW.

Usare Integrità dei servizi di Azure per monitorare l'integrità dei Firewall di Azure.
Monitorare le metriche delle risorse e l'integrità dei servizi in modo da poter rilevare quando uno stato del servizio peggiora e adottare misure proattive per prevenire gli errori.

Sicurezza

Lo scopo del pilastro Sicurezza è fornire garanzie di riservatezza, integrità e disponibilità al carico di lavoro.

I principi di progettazione della sicurezza forniscono una strategia di progettazione di alto livello per raggiungere tali obiettivi applicando approcci alla progettazione tecnica di Firewall di Azure.

Elenco di controllo della progettazione

Avviare la strategia di progettazione in base all'elenco di controllo per la revisione della progettazione per la sicurezza. Identificare vulnerabilità e controlli per migliorare il comportamento di sicurezza. Estendere la strategia per includere altri approcci in base alle esigenze.

  • Inviare tutto il traffico Internet dal carico di lavoro tramite un firewall o un'appliance virtuale di rete per rilevare e bloccare le minacce. Configurare route definite dall'utente per forzare il traffico attraverso Firewall di Azure. Per il traffico Web, è consigliabile usare Firewall di Azure come proxy esplicito.

    Configurare i provider di sicurezza SaaS (Software as a Service) supportati all'interno di Gestione firewall se si vogliono usare questi provider per proteggere le connessioni in uscita.

    Limitare l'utilizzo degli indirizzi IP pubblici direttamente collegati alle macchine virtuali in modo che il traffico non possa ignorare il firewall. Il modello di Azure Cloud Adoption Framework assegna un criterio di Azure specifico al gruppo di gestione CORP.

    Seguire la guida alla configurazione zero trust per Firewall di Azure e gateway applicazione se le esigenze di sicurezza richiedono l'implementazione di un approccio Zero Trust per le applicazioni Web, ad esempio l'aggiunta di ispezione e crittografia. Seguire questa guida per integrare Firewall di Azure e gateway applicazione per scenari tradizionali hub-spoke e rete WAN virtuale.

    Per altre informazioni, vedere Applicare firewall al perimetro.

  • Stabilire i perimetri di rete come parte della strategia di segmentazione del carico di lavoro per controllare il raggio dell'esplosione, offuscare le risorse del carico di lavoro e bloccare l'accesso imprevisto, proibito e non sicuro. Creare regole per i criteri di Firewall di Azure in base ai criteri di accesso con privilegi minimi.

    Impostare l'indirizzo IP pubblico su Nessuno per distribuire un piano dati completamente privato quando si configura Firewall di Azure in modalità di tunneling forzato. Questo approccio non si applica alle rete WAN virtuale.

    Usare nomi di dominio completi (FQDN) e tag di servizio quando si definiscono le regole di rete per semplificare la gestione.

  • Usare i meccanismi di rilevamento per monitorare attentamente le minacce e i segni di abuso. Sfruttare i meccanismi e le misure di rilevamento forniti dalla piattaforma. Abilitare il sistema di rilevamento e prevenzione delle intrusioni (IDPS). Associare un piano di protezione DDoS di Azure alla rete virtuale hub.

    Per altre informazioni, vedere Rilevare l'abuso.

Consigli

Elemento consigliato Vantaggio
Configurare Firewall di Azure in modalità tunneling forzato se è necessario instradare tutto il traffico associato a Internet a un hop successivo designato anziché direttamente a Internet. Questa raccomandazione non si applica alle rete WAN virtuale.

Connettività diretta al Firewall di Azure. Se AzureFirewallSubnet apprende una route predefinita alla rete locale tramite border gateway protocol, è necessario configurare Firewall di Azure in modalità di tunneling forzato. È possibile usare la funzionalità di tunneling forzato per aggiungere un altro spazio indirizzi /26 per la subnet di gestione Firewall di Azure. Assegnare alla subnet il nome AzureFirewallManagementSubnet. Se si dispone di un'istanza di Firewall di Azure esistente che non è possibile riconfigurare in modalità di tunneling forzato, creare una route definita dall'utente con route 0.0.0.0/0. Impostare il valore NextHopType su Internet. Per mantenere la connettività Internet, associare la route definita dall'utente ad AzureFirewallSubnet.

Impostare l'indirizzo IP pubblico su Nessuno per distribuire un piano dati completamente privato quando si configura Firewall di Azure in modalità di tunneling forzato. Tuttavia, il piano di gestione richiede ancora un indirizzo IP pubblico solo a scopo di gestione. Il traffico interno dalle reti virtuali e locali non usa l'indirizzo IP pubblico.
Usare il tunneling forzato per evitare di esporre le risorse di Azure direttamente a Internet. Questo approccio riduce la superficie di attacco e riduce al minimo il rischio di minacce esterne. Per applicare i criteri aziendali e i requisiti di conformità in modo più efficace, instradare tutto il traffico associato a Internet attraverso un firewall locale o un'appliance virtuale di rete.
Creare regole per i criteri firewall in una struttura gerarchica per sovrapporre un criterio di base centrale. Per altre informazioni, vedere Usare i criteri di Firewall di Azure per elaborare le regole.

Creare le regole in base al principio zero trust per l'accesso con privilegi minimi
Organizzare le regole in una struttura gerarchica in modo che i criteri granulari possano soddisfare i requisiti di aree specifiche. Ogni criterio può contenere set diversi di DNAT (Destination Network Address Translation), rete e regole dell'applicazione con priorità, azioni ed ordini di elaborazione specifici.
Configurare i provider di partner di sicurezza supportati in Gestione firewall per proteggere le connessioni in uscita.

Questo scenario richiede rete WAN virtuale con un gateway VPN da sito a sito nell'hub perché usa un tunnel IPsec per connettersi all'infrastruttura del provider. I provider di servizi di sicurezza gestiti potrebbero addebitare costi aggiuntivi per le licenze e limitare la velocità effettiva per le connessioni IPsec. È anche possibile usare soluzioni alternative, ad esempio Zscaler Cloud Connector.
Abilitare i provider di partner di sicurezza in Firewall di Azure a sfruttare le migliori offerte di sicurezza cloud, che offrono protezione avanzata per il traffico Internet. Questi provider offrono funzionalità di filtro specializzate, con riconoscimento degli utenti e rilevamento completo delle minacce che migliorano il comportamento di sicurezza complessivo.
Abilitare Firewall di Azure configurazione del proxy DNS.

Configurare anche Firewall di Azure per l'uso di DNS personalizzati per l'inoltro di query DNS.
Abilitare questa funzionalità per indirizzare i client nelle reti virtuali a Firewall di Azure come server DNS. Questa funzionalità protegge l'infrastruttura DNS interna a cui non si accede direttamente ed è esposta.
Configurare le route definite dall'utente per forzare il traffico attraverso Firewall di Azure in un'architettura hub-spoke tradizionale per la connettività spoke-to-spoke, spoke-to-Internet e spoke-to-hybrid.

In rete WAN virtuale configurare la finalità e i criteri di routing per reindirizzare il traffico privato o il traffico Internet attraverso l'istanza di Firewall di Azure integrata nell'hub.

Se non è possibile applicare una route definita dall'utente e è necessario solo il reindirizzamento del traffico Web, usare Firewall di Azure come proxy esplicito nel percorso in uscita. È possibile configurare un'impostazione proxy nell'applicazione di invio, ad esempio un Web browser, quando si configura Firewall di Azure come proxy.
Inviare traffico attraverso il firewall per esaminare il traffico e identificare e bloccare il traffico dannoso.

Usare Firewall di Azure come proxy esplicito per il traffico in uscita in modo che il traffico Web raggiunga l'indirizzo IP privato del firewall e quindi esce direttamente dal firewall senza usare una route definita dall'utente. Questa funzionalità facilita inoltre l'uso di più firewall senza modificare le route di rete esistenti.
Usare il filtro FQDN nelle regole di rete. È necessario abilitare la configurazione del proxy DNS Firewall di Azure per usare FQDN nelle regole di rete. Usare FQDN nelle regole di rete Firewall di Azure in modo che gli amministratori possano gestire i nomi di dominio anziché più indirizzi IP, semplificando la gestione. Questa risoluzione dinamica garantisce che le regole del firewall vengano aggiornate automaticamente quando gli INDIRIZZI IP del dominio cambiano.
Usare i tag del servizio Firewall di Azure al posto di indirizzi IP specifici per fornire l'accesso selettivo a servizi specifici in Azure, Microsoft Dynamics 365 e Microsoft 365. Usare i tag di servizio nelle regole di rete per definire i controlli di accesso in base ai nomi dei servizi anziché a indirizzi IP specifici, semplificando la gestione della sicurezza. Microsoft gestisce e aggiorna automaticamente questi tag quando gli indirizzi IP cambiano. Questo metodo garantisce che le regole del firewall rimangano accurate ed efficaci senza intervento manuale.
Usare i tag FQDN nelle regole dell'applicazione per fornire l'accesso selettivo a servizi Microsoft specifiche.

È possibile usare un tag FQDN nelle regole dell'applicazione per consentire il traffico di rete in uscita richiesto attraverso il firewall per servizi di Azure specifici, ad esempio Microsoft 365, Windows 365 e Microsoft Intune.
Usare i tag FQDN nelle regole dell'applicazione Firewall di Azure per rappresentare un gruppo di FQDN associati a servizi Microsoft noti. Questo metodo semplifica la gestione delle regole di sicurezza di rete.
Abilitare l'intelligence per le minacce in Firewall di Azure in modalità avviso e negazione. Usare l'intelligence sulle minacce per fornire protezione in tempo reale dalle minacce emergenti, riducendo così il rischio di attacchi informatici. Questa funzionalità usa il feed di Intelligence per le minacce Microsoft per avvisare e bloccare automaticamente il traffico da indirizzi IP dannosi noti, domini e URL.
Abilitare IDPS in modalità avviso o avviso e negazione. Prendere in considerazione l'impatto sulle prestazioni di questa funzionalità. Abilitare il filtro IDPS in Firewall di Azure fornisce il monitoraggio e l'analisi in tempo reale del traffico di rete per rilevare e prevenire attività dannose. Questa funzionalità usa il rilevamento basato sulle firme per identificare rapidamente le minacce note e bloccarle prima che causino danni.

Per altre informazioni, vedere Rilevare l'abuso.
Usare un'autorità di certificazione (CA) aziendale interna per generare certificati quando si usa l'ispezione TLS con Firewall di Azure Premium. Usare i certificati autofirmato solo per scopi di test e modello di verifica.Use self-signed certificates only for testing and proof of concept (PoC). Abilitare l'ispezione TLS in modo che Firewall di Azure Premium termini e controlli le connessioni TLS per rilevare, avvisare e attenuare le attività dannose in HTTPS.
Usare Gestione firewall per creare e associare un piano di protezione DDoS di Azure alla rete virtuale hub. Questo approccio non si applica alle rete WAN virtuale. Configurare un piano di protezione DDoS di Azure in modo da poter gestire centralmente la protezione DDoS insieme ai criteri firewall. Questo approccio semplifica la gestione della sicurezza di rete e semplifica la distribuzione e il monitoraggio dei processi.

Ottimizzazione dei costi

L'ottimizzazione dei costi è incentrata sul rilevamento dei modelli di spesa, sulla definizione delle priorità degli investimenti in aree critiche e sull'ottimizzazione in altri casi in modo da soddisfare il budget dell'organizzazione rispettando i requisiti aziendali.

I principi di progettazione di Ottimizzazione costi forniscono una strategia di progettazione di alto livello per raggiungere tali obiettivi e fare compromessi in base alle esigenze nella progettazione tecnica correlata a Firewall di Azure e al suo ambiente.

Elenco di controllo della progettazione

Avviare la strategia di progettazione in base all'elenco di controllo della revisione della progettazione per l'ottimizzazione dei costi per gli investimenti. Ottimizzare la progettazione in modo che il carico di lavoro sia allineato al budget allocato per il carico di lavoro. La progettazione deve usare le funzionalità di Azure appropriate, monitorare gli investimenti e trovare opportunità per ottimizzare nel tempo.

  • Selezionare uno SKU Firewall di Azure da distribuire. Scegliere tra tre SKU Firewall di Azure: Basic, Standard e Premium. Usare Firewall di Azure Premium per proteggere applicazioni altamente sensibili, ad esempio l'elaborazione dei pagamenti. Usare Firewall di Azure Standard se il carico di lavoro richiede un firewall da livello 3 a livello 7 e richiede la scalabilità automatica per gestire i periodi di traffico di picco fino a 30 Gbps. Usare Firewall di Azure Basic se si usa SMB e si richiedono fino a 250 Mbps di velocità effettiva. È possibile effettuare il downgrade o l'aggiornamento tra SKU Standard e Premium. Per altre informazioni, vedere Scegliere lo SKU Firewall di Azure corretto.

  • Rimuovere le distribuzioni del firewall inutilizzate e ottimizzare le distribuzioni sottoutilizzate. Arrestare Firewall di Azure distribuzioni che non devono essere eseguite continuamente. Identificare ed eliminare distribuzioni di Firewall di Azure inutilizzate. Per ridurre i costi operativi, monitorare e ottimizzare l'utilizzo delle istanze del firewall, la configurazione dei criteri di Firewall di Azure Manager e il numero di indirizzi IP pubblici e criteri usati.

  • Condividere la stessa istanza di Firewall di Azure. È possibile usare un'istanza centrale di Firewall di Azure nella rete virtuale hub o rete WAN virtuale hub sicuro e condividere la stessa istanza di Firewall di Azure tra reti virtuali spoke che si connettono allo stesso hub dalla stessa area. Assicurarsi di non avere traffico tra aree impreviste in una topologia hub-spoke.

  • Ottimizzare il traffico attraverso il firewall. Esaminare regolarmente il traffico che Firewall di Azure processi. Trovare opportunità per ridurre la quantità di traffico che attraversa il firewall.

  • Ridurre la quantità di dati di log archiviati. Firewall di Azure possibile usare Hub eventi di Azure per registrare in modo completo i metadati del traffico e inviarli alle aree di lavoro Log Analytics, Archiviazione di Azure o soluzioni non Microsoft. Tutte le soluzioni di registrazione comportano costi per elaborare i dati e fornire spazio di archiviazione. Grandi quantità di dati possono comportare costi significativi. Prendere in considerazione un approccio conveniente e un'alternativa a Log Analytics e stimare il costo. Valutare se è necessario registrare i metadati del traffico per tutte le categorie di registrazione.

Consigli

Elemento consigliato Vantaggio
Arrestare Firewall di Azure distribuzioni che non devono essere eseguite continuamente. Potrebbero essere presenti ambienti di sviluppo o test usati solo durante l'orario di ufficio. Per altre informazioni, vedere Deallocare e allocare Firewall di Azure. Arrestare queste distribuzioni durante le ore di minore attività o quando sono inattive per ridurre le spese non necessarie, ma mantenere la sicurezza e le prestazioni durante i periodi critici.
Esaminare regolarmente il traffico che Firewall di Azure processi e trovare ottimizzazioni del carico di lavoro di origine. Il log dei flussi principali, noto anche come log dei flussi di grasso, mostra le principali connessioni che contribuiscono alla velocità effettiva più elevata tramite il firewall. Ottimizzare i carichi di lavoro che generano il maggior traffico attraverso il firewall per ridurre il volume di traffico, riducendo il carico sul firewall e riducendo al minimo i costi di elaborazione e larghezza di banda dei dati.
Identificare ed eliminare distribuzioni di Firewall di Azure inutilizzate. Analizzare le metriche di monitoraggio e le route definite dall'utente associate alle subnet che puntano all'INDIRIZZO IP privato del firewall. Prendere in considerazione anche altre convalide e documentazione interna sull'ambiente e le distribuzioni. Ad esempio, analizzare tutte le regole NAT, di rete e di applicazione classiche per Firewall di Azure. E prendere in considerazione le impostazioni. Ad esempio, è possibile configurare l'impostazione proxy DNS su Disabilitato.

Per altre informazioni, vedere Monitorare Firewall di Azure.
Usare questo approccio per rilevare distribuzioni convenienti nel tempo ed eliminare le risorse inutilizzate, evitando così costi non necessari.
Esaminare attentamente i criteri, le associazioni e l'ereditarietà di Gestione firewall per ottimizzare i costi. I criteri vengono fatturati in base alle associazioni di firewall. Un criterio con zero o un'associazione firewall è gratuito. I criteri con più associazioni di firewall vengono fatturati a tariffa fissa.

Per altre informazioni, vedere Prezzi di Gestione firewall.
Usare correttamente Gestione firewall e i relativi criteri per ridurre i costi operativi, aumentare l'efficienza e ridurre il sovraccarico di gestione.
Esaminare tutti gli indirizzi IP pubblici nella configurazione e disassociare ed eliminare quelli che non si usano. Valutare l'utilizzo delle porte SNAT (Source Network Address Translation) prima di rimuovere gli indirizzi IP.

Per altre informazioni, vedere Monitorare Firewall di Azure log e metriche e utilizzo delle porte SNAT.
Eliminare gli indirizzi IP inutilizzati per ridurre i costi.

Eccellenza operativa

L'eccellenza operativa si concentra principalmente sulle procedure per le procedure di sviluppo, l'osservabilità e la gestione del rilascio.

I principi di progettazione dell'eccellenza operativa forniscono una strategia di progettazione di alto livello per raggiungere tali obiettivi per i requisiti operativi del carico di lavoro.

Elenco di controllo della progettazione

Avviare la strategia di progettazione in base all'elenco di controllo della revisione della progettazione per l'eccellenza operativa per definire i processi per l'osservabilità, i test e la distribuzione correlati a Firewall di Azure.

  • Usare Gestione firewall con topologie hub-spoke tradizionali o topologie di rete rete WAN virtuale per distribuire e gestire istanze di Firewall di Azure. Usare i servizi di sicurezza nativi per la governance e la protezione del traffico per creare architetture hub-spoke e transitive. Per altre informazioni, vedere Topologia di rete e connettività.

    Eseguire la migrazione Firewall di Azure regole classiche ai criteri di Gestione firewall per le distribuzioni esistenti. Usare Gestione firewall per gestire centralmente i firewall e i criteri. Per altre informazioni, vedere Eseguire la migrazione a Firewall di Azure Premium.

  • Mantenere backup regolari di Criteri di Azure artefatti. Se si usa un approccio di infrastruttura come codice per gestire Firewall di Azure e tutte le dipendenze, è necessario disporre del backup e del controllo delle versioni dei criteri di Firewall di Azure sul posto. In caso contrario, è possibile distribuire un meccanismo complementare basato su un'app per la logica esterna per fornire una soluzione automatizzata efficace.

  • Monitorare i log e le metriche di Firewall di Azure. Sfruttare i log di diagnostica per il monitoraggio del firewall e la risoluzione dei problemi e i log attività per le operazioni di controllo.

  • Analizzare i dati di monitoraggio per valutare l'integrità complessiva del sistema. Usare la cartella di lavoro di monitoraggio Firewall di Azure predefinita, acquisire familiarità con le query di Linguaggio di query Kusto (KQL) e usare il dashboard di analisi dei criteri per identificare i potenziali problemi.

  • Definire gli avvisi per gli eventi chiave in modo che gli operatori possano rispondere rapidamente a tali eventi .

  • Sfruttare i meccanismi di rilevamento forniti dalla piattaforma in Azure per rilevare gli abusi. Integrare Firewall di Azure con Microsoft Defender per il cloud e Microsoft Sentinel, se possibile. Eseguire l'integrazione con Defender per il cloud in modo da visualizzare lo stato dell'infrastruttura di rete e della sicurezza di rete in un'unica posizione, inclusa la sicurezza di rete di Azure in tutte le reti virtuali e gli hub virtuali in aree diverse in Azure. Eseguire l'integrazione con Microsoft Sentinel per fornire funzionalità di rilevamento e prevenzione delle minacce.

Consigli

Elemento consigliato Vantaggio
Abilitare i log di diagnostica per Firewall di Azure. Usare i log del firewall o le cartelle di lavoro per monitorare Firewall di Azure. È possibile usare anche i log attività per controllare le operazioni eseguite sulle risorse di Firewall di Azure.

Usare il formato dei log del firewall strutturato. Usare il formato dei log di diagnostica precedente solo se si dispone di uno strumento esistente che lo richiede. Non abilitare entrambi i formati di registrazione contemporaneamente.
Abilitare i log di diagnostica per ottimizzare gli strumenti e le strategie di monitoraggio per Firewall di Azure.

Usare i log del firewall strutturato per strutturare i dati di log in modo che sia facile eseguire ricerche, filtrare e analizzare. Gli strumenti di monitoraggio più recenti si basano su questo tipo di log, quindi è spesso un prerequisito.
Usare la cartella di lavoro di Firewall di Azure predefinita. Usare la cartella di lavoro Firewall di Azure per estrarre informazioni dettagliate preziose dagli eventi Firewall di Azure, analizzare le regole di rete e le applicazioni ed esaminare le statistiche sulle attività del firewall tra URL, porte e indirizzi.
Monitorare Firewall di Azure log e metriche e creare avvisi per Firewall di Azure capacità. Creare avvisi per monitorare la velocità effettiva, lo stato di integrità del firewall, l'utilizzo delle porte SNAT e le metriche del probe di latenza AZFW. Configurare avvisi per gli eventi chiave per notificare agli operatori prima che si verifichino potenziali problemi, prevenire le interruzioni e avviare modifiche rapide alla capacità.
Esaminare regolarmente il dashboard di analisi dei criteri per identificare potenziali problemi. Usare l'analisi dei criteri per analizzare l'impatto dei criteri di Firewall di Azure. Identificare i potenziali problemi nei criteri, ad esempio i limiti dei criteri di riunione, le regole non valide e l'utilizzo improprio dei gruppi IP. Ottenere consigli per migliorare il comportamento di sicurezza e le prestazioni di elaborazione delle regole.
Comprendere le query KQL in modo da poter usare i log Firewall di Azure per analizzare e risolvere rapidamente i problemi. Firewall di Azure fornisce query di esempio. Usare query KQL per identificare rapidamente gli eventi all'interno del firewall e verificare quale regola viene attivata o quale regola consente o blocca una richiesta.

Efficienza delle prestazioni

L'efficienza delle prestazioni riguarda la gestione dell'esperienza utente anche quando si verifica un aumento del carico gestendo la capacità. La strategia include il ridimensionamento delle risorse, l'identificazione e l'ottimizzazione dei potenziali colli di bottiglia e l'ottimizzazione delle prestazioni massime.

I principi di progettazione dell'efficienza delle prestazioni forniscono una strategia di progettazione di alto livello per raggiungere tali obiettivi di capacità rispetto all'utilizzo previsto.

Elenco di controllo della progettazione

Avviare la strategia di progettazione in base all'elenco di controllo di revisione della progettazione per l'efficienza delle prestazioni. Definire una linea di base basata su indicatori di prestazioni chiave per Firewall di Azure.

  • Ottimizzare la configurazione Firewall di Azure in base alle raccomandazioni di Well-Architected Framework per ottimizzare il codice e l'infrastruttura e garantire il picco dell'operazione. Per mantenere una rete efficiente e sicura, esaminare e ottimizzare regolarmente le regole del firewall. Questa procedura consente di garantire che le configurazioni del firewall rimangano efficaci e aggiornate con le minacce alla sicurezza più recenti.

    Valutare i requisiti dei criteri e trovare opportunità per riepilogare gli intervalli IP e gli elenchi di URL. Usare le categorie Web per consentire o negare l'accesso in uscita in blocco per semplificare la gestione e migliorare la sicurezza. Valutare l'impatto sulle prestazioni di IDPS in modalità avviso e negazione perché questa configurazione può influire sulla latenza di rete e sulla velocità effettiva. Configurare gli indirizzi IP pubblici per supportare i requisiti delle porte SNAT. Seguire queste procedure per creare un'infrastruttura di sicurezza di rete affidabile e scalabile.

  • Non usare Firewall di Azure per il controllo del traffico di rete virtuale. Usare Firewall di Azure per controllare i tipi di traffico seguenti:

    • Traffico tra reti virtuali
    • Traffico tra reti virtuali e reti locali
    • Traffico in uscita verso Internet
    • Traffico non HTTP o non HTTPS in ingresso

    Per il controllo del traffico di rete all'interno della rete virtuale, usare i gruppi di sicurezza di rete.

  • Scaldare Firewall di Azure correttamente prima dei test delle prestazioni. Creare il traffico iniziale che non fa parte dei test di carico 20 minuti prima dei test. Usare le impostazioni di diagnostica per acquisire eventi di aumento e riduzione delle prestazioni. È possibile usare il servizio Test di carico di Azure per generare il traffico iniziale in modo da poter aumentare le Firewall di Azure al numero massimo di istanze.

  • Configurare una subnet Firewall di Azure con uno spazio indirizzi /26. È necessaria una subnet dedicata per Firewall di Azure. Firewall di Azure effettua il provisioning di una maggiore capacità man mano che viene ridimensionata. Uno spazio indirizzi /26 garantisce che il firewall disponga di un numero sufficiente di indirizzi IP per la scalabilità. Firewall di Azure non richiede una subnet maggiore di /26. Denominare la subnet Firewall di Azure AzureFirewallSubnet.

  • Non abilitare la registrazione avanzata se non è necessaria. Firewall di Azure offre alcune funzionalità di registrazione avanzate che possono comportare costi significativi per mantenere attivo. È invece possibile usare queste funzionalità solo a scopo di risoluzione dei problemi e per quantità limitate di tempo. Disabilitare le funzionalità quando non sono necessarie. Ad esempio, i flussi principali e i log di traccia del flusso sono costosi e possono causare un utilizzo eccessivo della CPU e dell'archiviazione nell'infrastruttura Firewall di Azure.

Consigli

Elemento consigliato Vantaggio
Usare il dashboard di analisi dei criteri per identificare i modi per ottimizzare i criteri di Firewall di Azure. Usare l'analisi dei criteri per identificare potenziali problemi nei criteri, ad esempio i limiti dei criteri di riunione, le regole non valide e l'utilizzo improprio dei gruppi IP. Ottenere consigli per migliorare il comportamento di sicurezza e le prestazioni di elaborazione delle regole.
Inserire le regole usate di frequente nelle prime fasi di un gruppo per ottimizzare la latenza per i criteri di Firewall di Azure con set di regole di grandi dimensioni.

Per altre informazioni, vedere Usare i criteri di Firewall di Azure per elaborare le regole.
Posizionare le regole usate di frequente in un set di regole per ottimizzare la latenza di elaborazione. Firewall di Azure elabora le regole in base al tipo di regola, all'ereditarietà, alla priorità del gruppo di raccolte regole e alla priorità della raccolta regole. Firewall di Azure elabora prima i gruppi di raccolta regole ad alta priorità. All'interno di un gruppo di raccolte regole, Firewall di Azure elabora le raccolte di regole con la priorità più alta.
Usare i gruppi IP per riepilogare gli intervalli di indirizzi IP ed evitare di superare il limite di regole di rete di origine univoca o di destinazione univoca. Firewall di Azure considera il gruppo IP come singolo indirizzo quando si creano regole di rete. Questo approccio aumenta efficacemente il numero di indirizzi IP che è possibile coprire senza superare il limite. Per ogni regola, Azure moltiplica le porte per indirizzi IP. Pertanto, se una regola ha quattro intervalli di indirizzi IP e cinque porte, si usano 20 regole di rete.
Usare Firewall di Azure categorie Web per consentire o negare l'accesso in uscita in blocco, anziché compilare e mantenere in modo esplicito un lungo elenco di siti Internet pubblici. Questa funzionalità classifica dinamicamente il contenuto Web e consente la creazione di regole dell'applicazione compatta, riducendo così il sovraccarico operativo.
Valutare l'impatto sulle prestazioni di IDPS in modalità avviso e negazione . Per altre informazioni, vedere Prestazioni di Firewall di Azure. Abilitare IDPS in modalità avviso e negazione per rilevare e impedire attività di rete dannose. Questa funzionalità potrebbe comportare una riduzione delle prestazioni. Comprendere l'effetto sul carico di lavoro in modo da poter pianificare di conseguenza.
Configurare Firewall di Azure distribuzioni con almeno cinque indirizzi IP pubblici per le distribuzioni che sono soggette all'esaurimento delle porte SNAT. Firewall di Azure supporta 2.496 porte per ogni indirizzo IP pubblico usato da ogni istanza di Azure set di scalabilità di macchine virtuali back-end. Questa configurazione aumenta di cinque volte le porte SNAT disponibili.

Per impostazione predefinita, Firewall di Azure distribuisce due istanze di set di scalabilità di macchine virtuali che supportano 4.992 porte per ogni ip di destinazione del flusso, porta di destinazione e protocollo TCP o UDP. Il firewall è scalabile fino a un massimo di 20 istanze.

Criteri di Azure

Azure offre un set completo di criteri predefiniti correlati a Firewall di Azure e alle relative dipendenze. È possibile controllare alcune delle raccomandazioni precedenti tramite Criteri di Azure. Ad esempio, è possibile verificare se:

  • Le interfacce di rete non devono avere indirizzi IP pubblici. Questo criterio nega le interfacce di rete configurate con un indirizzo IP pubblico. Gli indirizzi IP pubblici consentono alle risorse Internet di comunicare in ingresso con le risorse di Azure e le risorse di Azure possono comunicare in uscita con Internet.

  • Tutto il traffico Internet deve essere instradato tramite l'istanza di Firewall di Azure distribuita. Centro sicurezza di Azure identifica che alcune subnet non sono protette con un firewall di nuova generazione. Proteggere le subnet da potenziali minacce. Usare Firewall di Azure o un firewall di nuova generazione supportato per limitare l'accesso alle subnet.

Per una governance completa, esaminare le definizioni predefinite Criteri di Azure per Firewall di Azure e altri criteri che potrebbero influire sulla sicurezza della rete.

Consigli di Azure Advisor

Azure Advisor è un consulente cloud personalizzato che facilita l'applicazione delle procedure consigliate per ottimizzare le distribuzioni di Azure. Ecco alcuni consigli che consentono di migliorare l'affidabilità, la sicurezza, l'efficacia dei costi, le prestazioni e l'eccellenza operativa di Firewall di Azure.

Passaggi successivi

Vedere le risorse seguenti che illustrano le raccomandazioni in questo articolo.