Perspektywa platformy Azure Well-Architected Framework w usłudze Azure Firewall
Usługa Azure Firewall to natywna dla chmury i inteligentna usługa zabezpieczeń zapory sieciowej, która zapewnia najlepszą ochronę przed zagrożeniami dla obciążeń w chmurze uruchamianych na platformie Azure. Jest to w pełni stanowa, zarządzana usługa zapory, która ma wbudowaną wysoką dostępność i nieograniczoną skalowalność chmury. Usługa Azure Firewall zapewnia inspekcję ruchu na wschód-zachód i północ-południe.
W tym artykule założono, że jako architekt zapoznaliśmy się z opcjami zabezpieczeń sieci wirtualnej i wybraliśmy usługę Azure Firewall jako usługę zabezpieczeń sieci dla obciążenia. Wskazówki zawarte w tym artykule zawierają zalecenia dotyczące architektury mapowane na zasady filarów platformy Azure Well-Architected Framework.
Ważne
Jak korzystać z tego przewodnika
Każda sekcja zawiera listę kontrolną projektu, która przedstawia zagadnienia dotyczące architektury wraz ze strategiami projektowania zlokalizowanymi w zakresie technologii.
Uwzględniono również zalecenia dotyczące możliwości technologicznych, które mogą pomóc zmaterializować te strategie. Zalecenia nie reprezentują wyczerpującej listy wszystkich konfiguracji dostępnych dla usługi Azure Firewall i jej zależności. Zamiast tego wyświetlają listę kluczowych zaleceń mapowanych na perspektywy projektu. Skorzystaj z zaleceń, aby utworzyć weryfikację koncepcji lub zoptymalizować istniejące środowiska.
Podstawowa architektura, która demonstruje kluczowe zalecenia: topologia sieci piasty i szprych na platformie Azure.
Zakres technologii
Ten przegląd koncentruje się na powiązanych decyzjach dotyczących następujących zasobów platformy Azure:
- Azure Firewall
- Azure Firewall Manager
Niezawodność
Celem filaru niezawodności jest zapewnienie ciągłej funkcjonalności dzięki tworzeniu wystarczającej odporności i możliwości szybkiego odzyskiwania po awariach.
Zasady projektowania niezawodności zapewniają ogólną strategię projektowania stosowaną dla poszczególnych składników, przepływów systemowych i całego systemu.
Lista kontrolna projektu
Rozpocznij strategię projektowania na podstawie listy kontrolnej przeglądu projektu pod kątem niezawodności. Określ jego znaczenie dla wymagań biznesowych, pamiętając o zasadach i typie używanej architektury. Rozszerz strategię w celu uwzględnienia większej liczby podejść zgodnie z potrzebami.
Przejrzyj listę znanych problemów z usługą Azure Firewall. Produkty usługi Azure Firewall utrzymują zaktualizowaną listę znanych problemów. Ta lista zawiera ważne informacje o zachowaniu projektu, poprawkach w budowie, ograniczeniach platformy i możliwych obejściach lub strategiach ograniczania ryzyka.
Upewnij się, że zasady usługi Azure Firewall są zgodne z limitami i zaleceniami usługi Azure Firewall. Struktura zasad ma limity, w tym liczbę reguł i grup kolekcji reguł, całkowity rozmiar zasad, lokalizacje docelowe źródła i docelowe miejsca docelowe. Pamiętaj, aby utworzyć zasady i pozostać poniżej udokumentowanych progów.
Wdróż usługę Azure Firewall w wielu strefach dostępności, aby uzyskać umowę dotyczącą wyższego poziomu usług (SLA). Usługa Azure Firewall udostępnia różne umowy SLA w zależności od tego, czy usługa jest wdrażana w jednej strefie dostępności, czy w wielu strefach. Aby uzyskać więcej informacji, zobacz Umowy SLA dotyczące Usługi online.
Wdróż wystąpienie usługi Azure Firewall w każdym regionie w środowiskach z wieloma regionami. W przypadku tradycyjnych architektur piasty i szprych zobacz Zagadnienia dotyczące wielu regionów. W przypadku zabezpieczonych koncentratorów usługi Azure Virtual WAN skonfiguruj intencję routingu i zasady , aby zabezpieczyć komunikację między piastą i oddziałami. W przypadku obciążeń odpornych na awarie i odpornych na błędy rozważ wystąpienia usług Azure Firewall i Azure Virtual Network jako zasoby regionalne.
Monitorowanie metryk usługi Azure Firewall i stanu kondycji zasobu. Usługa Azure Firewall integruje się z usługą Azure Resource Health. Sprawdź kondycję usługi Resource Health, aby wyświetlić stan kondycji usługi Azure Firewall i rozwiązać problemy z usługą, które mogą mieć wpływ na zasób usługi Azure Firewall.
Wdrażanie usługi Azure Firewall w sieciach wirtualnych koncentratora lub w ramach koncentratorów usługi Virtual WAN.
Uwaga
Dostępność usług sieciowych różni się między tradycyjnym modelem piasty i szprych a modelem koncentratorów zarządzanych przez usługę Virtual WAN. Na przykład w koncentratorze usługi Virtual WAN publiczny adres IP usługi Azure Firewall nie może pochodzić z prefiksu publicznego adresu IP i nie może mieć włączonej usługi Azure DDoS Protection. Po wybraniu modelu należy wziąć pod uwagę wymagania we wszystkich pięciu filarach dobrze zaprojektowanej struktury.
Zalecenia
| Zalecenie | Korzyści |
|---|---|
| Wdrażanie usługi Azure Firewall w wielu strefach dostępności. | Wdróż usługę Azure Firewall w wielu strefach dostępności, aby zachować określony poziom odporności. Jeśli jedna strefa wystąpi awaria, inna strefa nadal obsługuje ruch. |
| Monitorowanie metryk usługi Azure Firewall w obszarze roboczym usługi Log Analytics. Uważnie monitoruj metryki wskazujące stan kondycji usługi Azure Firewall, takie jak przepływność, stan kondycji zapory, wykorzystanie portów SNAT i metryki sondy opóźnienia AZFW. Monitorowanie kondycji usługi Azure Firewall przy użyciu usługi Azure Service Health. |
Monitoruj metryki zasobów i kondycję usługi, aby można było wykryć, kiedy stan usługi ulega pogorszeniu i podejmij aktywne środki, aby zapobiec awariom. |
Zabezpieczenia
Celem filaru Zabezpieczenia jest zapewnienie poufności, integralności i gwarancji dostępności dla obciążenia.
Zasady projektowania zabezpieczeń zapewniają strategię projektowania wysokiego poziomu w celu osiągnięcia tych celów, stosując podejścia do projektu technicznego usługi Azure Firewall.
Lista kontrolna projektu
Rozpocznij strategię projektowania na podstawie listy kontrolnej przeglądu projektu pod kątem zabezpieczeń. Identyfikowanie luk w zabezpieczeniach i mechanizmów kontroli w celu poprawy stanu zabezpieczeń. Rozszerz strategię w celu uwzględnienia większej liczby podejść zgodnie z potrzebami.
Wysyłanie całego ruchu internetowego z obciążenia przez zaporę lub wirtualne urządzenie sieciowe (WUS) w celu wykrywania i blokowania zagrożeń. Skonfiguruj trasy zdefiniowane przez użytkownika w celu wymuszenia ruchu przez usługę Azure Firewall. W przypadku ruchu internetowego rozważ użycie usługi Azure Firewall jako jawnego serwera proxy.
Skonfiguruj obsługiwanych dostawców zabezpieczeń oprogramowania partnerskiego jako usługi (SaaS) w programie Firewall Manager, jeśli chcesz używać tych dostawców do ochrony połączeń wychodzących.
Ogranicz użycie publicznych adresów IP, które są bezpośrednio powiązane z maszynami wirtualnymi, aby ruch nie mógł pominąć zapory. Model azure Cloud Adoption Framework przypisuje określone zasady platformy Azure do grupy zarządzania CORP.
Postępuj zgodnie z przewodnikiem konfiguracji zero trust dla usług Azure Firewall i Application Gateway, jeśli wymagania dotyczące zabezpieczeń wymagają zaimplementowania podejścia Zero Trust dla aplikacji internetowych, takich jak dodawanie inspekcji i szyfrowania. Postępuj zgodnie z tym przewodnikiem , aby zintegrować usługę Azure Firewall i usługę Application Gateway zarówno w przypadku tradycyjnych scenariuszy piasty i szprych, jak i usługi Virtual WAN.
Aby uzyskać więcej informacji, zobacz Stosowanie zapór na brzegu sieci.
Ustanów obwody sieci w ramach strategii segmentacji obciążenia w celu kontrolowania promienia wybuchu, zaciemniania zasobów obciążeń i blokowania nieoczekiwanego, zabronionego i niebezpiecznego dostępu. Tworzenie reguł dla zasad usługi Azure Firewall na podstawie kryteriów dostępu z najmniejszymi uprawnieniami.
Ustaw publiczny adres IP na Wartość Brak , aby wdrożyć w pełni prywatną płaszczyznę danych podczas konfigurowania usługi Azure Firewall w trybie wymuszonego tunelowania. To podejście nie ma zastosowania do usługi Virtual WAN.
Użyj w pełni kwalifikowanych nazw domen (FQDN) i tagów usług podczas definiowania reguł sieci w celu uproszczenia zarządzania.
Użyj mechanizmów wykrywania, aby pilnie monitorować zagrożenia i oznaki nadużyć. Korzystaj z mechanizmów i miar wykrywania udostępnianych przez platformę. Włącz system wykrywania i zapobiegania włamaniom (IDPS). Skojarz plan usługi Azure DDoS Protection z siecią wirtualną centrum.
Aby uzyskać więcej informacji, zobacz Wykrywanie nadużyć.
Zalecenia
| Zalecenie | Korzyści |
|---|---|
| Skonfiguruj usługę Azure Firewall w trybie wymuszonego tunelowania, jeśli musisz kierować cały ruch powiązany z Internetem do wyznaczonego następnego przeskoku zamiast bezpośrednio do Internetu. To zalecenie nie dotyczy usługi Virtual WAN. Usługa Azure Firewall musi mieć bezpośrednie połączenie z Internetem. Jeśli twoja sieć AzureFirewallSubnet pozna domyślną trasę do sieci lokalnej za pośrednictwem protokołu Border Gateway Protocol, musisz skonfigurować usługę Azure Firewall w trybie wymuszonego tunelowania. Możesz użyć funkcji wymuszonego tunelowania, aby dodać kolejną przestrzeń adresową /26 dla podsieci zarządzania usługą Azure Firewall. Nadaj podsieci nazwę AzureFirewallManagementSubnet. Jeśli masz istniejące wystąpienie usługi Azure Firewall, którego nie można ponownie skonfigurować w trybie wymuszonego tunelowania, utwórz trasę zdefiniowaną przez użytkownika z trasą 0.0.0.0.0/0. Ustaw wartość NextHopType jako Internet. Aby zachować łączność z Internetem, skojarz trasę zdefiniowaną przez użytkownika z podsiecią AzureFirewallSubnet. Ustaw publiczny adres IP na Wartość Brak , aby wdrożyć w pełni prywatną płaszczyznę danych podczas konfigurowania usługi Azure Firewall w trybie wymuszonego tunelowania. Jednak płaszczyzna zarządzania nadal wymaga publicznego adresu IP tylko do celów zarządzania. Ruch wewnętrzny z sieci wirtualnych i lokalnych nie używa tego publicznego adresu IP. |
Użyj wymuszonego tunelowania, aby nie uwidocznić zasobów platformy Azure bezpośrednio w Internecie. Takie podejście zmniejsza obszar ataków i minimalizuje ryzyko zagrożeń zewnętrznych. Aby skuteczniej wymusić zasady firmowe i wymagania dotyczące zgodności, należy kierować cały ruch związany z Internetem przez zaporę lokalną lub urządzenie WUS. |
| Utwórz reguły dla zasad zapory w strukturze hierarchicznej, aby nakładać centralne zasady podstawowe. Aby uzyskać więcej informacji, zobacz Używanie zasad usługi Azure Firewall do przetwarzania reguł. Tworzenie reguł w oparciu o zasadę zero zaufania dostępu z najniższymi uprawnieniami |
Organizuj reguły w strukturze hierarchicznej, aby szczegółowe zasady spełniały wymagania określonych regionów. Każda zasada może zawierać różne zestawy docelowych reguł translacji adresów sieciowych (DNAT), sieci i aplikacji, które mają określone priorytety, akcje i zamówienia przetwarzania. |
| Skonfiguruj obsługiwanych dostawców partnerów zabezpieczeń w programie Firewall Manager, aby chronić połączenia wychodzące. Ten scenariusz wymaga wirtualnej sieci WAN z bramą sieci VPN S2S w centrum, ponieważ używa tunelu IPsec do łączenia się z infrastrukturą dostawcy. Dostawcy usług zabezpieczeń zarządzanych mogą pobierać dodatkowe opłaty licencyjne i ograniczać przepływność połączeń IPsec. Możesz również użyć alternatywnych rozwiązań, takich jak łącznik chmury Zscaler. |
Włącz dostawców partnerów zabezpieczeń w usłudze Azure Firewall, aby skorzystać z najlepszych ofert zabezpieczeń w chmurze, które zapewniają zaawansowaną ochronę ruchu internetowego. Ci dostawcy oferują wyspecjalizowane, oparte na użytkownikach funkcje filtrowania i kompleksowego wykrywania zagrożeń, które zwiększają ogólny poziom zabezpieczeń. |
| Włącz konfigurację serwera proxy DNS usługi Azure Firewall. Skonfiguruj również usługę Azure Firewall do używania niestandardowego systemu DNS do przekazywania zapytań DNS. |
Włącz tę funkcję, aby wskazać klientów w sieciach wirtualnych w usłudze Azure Firewall jako serwer DNS. Ta funkcja chroni wewnętrzną infrastrukturę DNS, która nie jest bezpośrednio dostępna i uwidoczniona. |
| Skonfiguruj trasy zdefiniowane przez użytkownika, aby wymusić ruch przez usługę Azure Firewall w tradycyjnej architekturze piasty i szprych na szprychy, szprychy do Internetu i łączności między szprychami. W usłudze Virtual WAN skonfiguruj intencję routingu i zasady, aby przekierowywać ruch prywatny lub ruch internetowy za pośrednictwem wystąpienia usługi Azure Firewall zintegrowanego z koncentratorem. Jeśli nie możesz zastosować trasy zdefiniowanej przez użytkownika i potrzebujesz tylko przekierowania ruchu internetowego, użyj usługi Azure Firewall jako jawnego serwera proxy w ścieżce ruchu wychodzącego. Ustawienie serwera proxy można skonfigurować w aplikacji wysyłającej, takiej jak przeglądarka internetowa, podczas konfigurowania usługi Azure Firewall jako serwera proxy. |
Wysyłanie ruchu przez zaporę w celu sprawdzenia ruchu i ułatwienia identyfikowania i blokowania złośliwego ruchu. Użyj usługi Azure Firewall jako jawnego serwera proxy dla ruchu wychodzącego, aby ruch internetowy docierał do prywatnego adresu IP zapory i w związku z tym wychodzący bezpośrednio z zapory bez używania trasy zdefiniowanej przez użytkownika. Ta funkcja ułatwia również korzystanie z wielu zapór bez modyfikowania istniejących tras sieciowych. |
| Użyj filtrowania nazw FQDN w regułach sieci. Należy włączyć konfigurację serwera proxy DNS usługi Azure Firewall, aby używać nazw FQDN w regułach sieci. | Użyj nazw FQDN w regułach sieciowych usługi Azure Firewall, aby administratorzy mogli zarządzać nazwami domen zamiast wielu adresów IP, co upraszcza zarządzanie. Ta dynamiczna rozdzielczość gwarantuje, że reguły zapory są automatycznie aktualizowane po zmianie adresów IP domeny. |
| Użyj tagów usługi Azure Firewall zamiast określonych adresów IP, aby zapewnić selektywny dostęp do określonych usług na platformie Azure, w usługach Microsoft Dynamics 365 i Microsoft 365. | Używaj tagów usług w regułach sieciowych, aby można było definiować mechanizmy kontroli dostępu na podstawie nazw usług, a nie określonych adresów IP, co upraszcza zarządzanie zabezpieczeniami. Firma Microsoft zarządza tymi tagami i aktualizuje je automatycznie po zmianie adresów IP. Ta metoda gwarantuje, że reguły zapory pozostaną dokładne i skuteczne bez ręcznej interwencji. |
| Użyj tagów FQDN w regułach aplikacji, aby zapewnić selektywny dostęp do określonych usługi firmy Microsoft. Możesz użyć tagu FQDN w regułach aplikacji, aby zezwolić na wymagany ruch sieciowy wychodzący przez zaporę dla określonych usług platformy Azure, takich jak Microsoft 365, Windows 365 i Microsoft Intune. |
Użyj tagów FQDN w regułach aplikacji usługi Azure Firewall, aby reprezentować grupę nazw FQDN skojarzonych z dobrze znanymi usługi firmy Microsoft. Ta metoda upraszcza zarządzanie regułami zabezpieczeń sieci. |
| Włącz analizę zagrożeń w usłudze Azure Firewall w trybie alertu i odmowy . | Użyj analizy zagrożeń, aby zapewnić ochronę w czasie rzeczywistym przed pojawiającymi się zagrożeniami, co zmniejsza ryzyko cyberataków. Ta funkcja używa kanału informacyjnego analizy zagrożeń firmy Microsoft do automatycznego zgłaszania alertów i blokowania ruchu ze znanych złośliwych adresów IP, domen i adresów URL. |
| Włącz dostawcę tożsamości w trybie alertu lub alertu i odmowy. Rozważ wpływ tej funkcji na wydajność. | Włączanie filtrowania idPS w usłudze Azure Firewall zapewnia monitorowanie i analizowanie ruchu sieciowego w czasie rzeczywistym w celu wykrywania i zapobiegania złośliwym działaniom. Ta funkcja używa wykrywania opartego na sygnaturach, aby szybko identyfikować znane zagrożenia i blokować je, zanim spowodują szkody. Aby uzyskać więcej informacji, zobacz Wykrywanie nadużyć. |
| Użyj wewnętrznego urzędu certyfikacji przedsiębiorstwa do generowania certyfikatów podczas korzystania z inspekcji protokołu TLS z usługą Azure Firewall Premium. Używaj certyfikatów z podpisem własnym tylko do celów testowania i weryfikacji koncepcji. | Włącz inspekcję protokołu TLS, aby usługa Azure Firewall Premium przerywała i sprawdza połączenia TLS w celu wykrywania, zgłaszania alertów i ograniczania złośliwych działań w protokole HTTPS. |
| Użyj menedżera zapory, aby utworzyć i skojarzyć plan usługi Azure DDoS Protection z siecią wirtualną koncentratora. To podejście nie ma zastosowania do usługi Virtual WAN. | Skonfiguruj plan usługi Azure DDoS Protection, aby można było centralnie zarządzać ochroną przed atakami DDoS wraz z zasadami zapory. Takie podejście usprawnia zarządzanie zabezpieczeniami sieci i upraszcza wdrażanie i monitorowanie procesów. |
Optymalizacja kosztów
Optymalizacja kosztów koncentruje się na wykrywaniu wzorców wydatków, określaniu priorytetów inwestycji w krytycznych obszarach i optymalizacji w innych , aby spełnić budżet organizacji przy jednoczesnym spełnieniu wymagań biznesowych.
Zasady projektowania optymalizacji kosztów zapewniają ogólną strategię projektowania umożliwiającą osiągnięcie tych celów i osiągnięcie kompromisów w razie potrzeby w projekcie technicznym związanym z usługą Azure Firewall i jego środowiskiem.
Lista kontrolna projektu
Rozpocznij strategię projektowania na podstawie listy kontrolnej przeglądu projektu dotyczącej optymalizacji kosztów dla inwestycji. Dostosuj projekt tak, aby obciążenie było dostosowane do budżetu przydzielonego dla obciążenia. Projekt powinien korzystać z odpowiednich możliwości platformy Azure, monitorować inwestycje i znajdować możliwości optymalizacji w czasie.
Wybierz jednostkę SKU usługi Azure Firewall do wdrożenia. Wybierz jedną z trzech jednostek SKU usługi Azure Firewall: Podstawowa, Standardowa i Premium. Użyj usługi Azure Firewall Premium, aby zabezpieczyć wysoce poufne aplikacje, takie jak przetwarzanie płatności. Użyj usługi Azure Firewall w warstwie Standardowa, jeśli obciążenie wymaga zapory warstwy 3 do warstwy 7 i wymaga skalowania automatycznego w celu obsługi szczytowych okresów ruchu do 30 Gb/s. Użyj usługi Azure Firewall w warstwie Podstawowa, jeśli używasz protokołu SMB i potrzebujesz do 250 Mb/s przepływności. Możesz obniżyć lub podwyższyć poziom między jednostkami SKU w warstwie Standardowa i Premium. Aby uzyskać więcej informacji, zobacz Wybieranie odpowiedniej jednostki SKU usługi Azure Firewall.
Usuń nieużywane wdrożenia zapory i zoptymalizuj niedoużywane wdrożenia. Zatrzymaj wdrożenia usługi Azure Firewall, które nie muszą być stale uruchamiane. Identyfikowanie i usuwanie nieużywanych wdrożeń usługi Azure Firewall. Aby zmniejszyć koszty operacyjne, monitorować i optymalizować użycie wystąpień zapory, konfigurację zasad usługi Azure Firewall Manager oraz liczbę używanych publicznych adresów IP i zasad.
Współużytkuj to samo wystąpienie usługi Azure Firewall. Możesz użyć centralnego wystąpienia usługi Azure Firewall w sieci wirtualnej koncentratora lub bezpiecznego centrum usługi Virtual WAN i współużytkować to samo wystąpienie usługi Azure Firewall w sieciach wirtualnych szprych, które łączą się z tym samym koncentratorem z tego samego regionu. Upewnij się, że nie masz nieoczekiwanego ruchu między regionami w topologii piasty i szprych.
Optymalizowanie ruchu przez zaporę. Regularnie przeglądaj ruch, który przetwarza usługa Azure Firewall. Znajdź możliwości zmniejszenia ilości ruchu przechodzącego przez zaporę.
Zmniejsz ilość przechowywanych danych dziennika. Usługa Azure Firewall może używać usługi Azure Event Hubs do kompleksowego rejestrowania metadanych ruchu i wysyłania ich do obszarów roboczych usługi Log Analytics, usługi Azure Storage lub rozwiązań innych niż Microsoft. Wszystkie rozwiązania rejestrowania generują koszty przetwarzania danych i udostępniania magazynu. Duże ilości danych mogą wiązać się ze znacznymi kosztami. Rozważ ekonomiczne podejście i alternatywę dla usługi Log Analytics i szacuj koszt. Zastanów się, czy należy rejestrować metadane ruchu dla wszystkich kategorii rejestrowania.
Zalecenia
| Zalecenie | Korzyści |
|---|---|
| Zatrzymaj wdrożenia usługi Azure Firewall, które nie muszą być stale uruchamiane. Mogą istnieć środowiska programistyczne lub testowe, których używasz tylko w godzinach pracy. Aby uzyskać więcej informacji, zobacz Cofanie przydziału i przydzielanie usługi Azure Firewall. | Zamknij te wdrożenia poza godzinami szczytu lub w przypadku bezczynności, aby zmniejszyć niepotrzebne wydatki, ale zachować bezpieczeństwo i wydajność w krytycznych czasach. |
| Regularnie przeglądaj ruch, który przetwarza usługa Azure Firewall, i znajdź pochodzące z niej optymalizacje obciążeń. Górny dziennik przepływów, znany również jako dziennik przepływów tłuszczu, pokazuje najważniejsze połączenia, które przyczyniają się do najwyższej przepływności przez zaporę. | Zoptymalizuj obciążenia, które generują największy ruch przez zaporę, aby zmniejszyć ilość ruchu, co zmniejsza obciążenie zapory i minimalizuje koszty przetwarzania danych i przepustowości. |
| Identyfikowanie i usuwanie nieużywanych wdrożeń usługi Azure Firewall. Analizowanie metryk monitorowania i tras zdefiniowanych przez użytkownika skojarzonych z podsieciami wskazującymi prywatny adres IP zapory. Należy również rozważyć inne weryfikacje i wewnętrzną dokumentację dotyczącą środowiska i wdrożeń. Na przykład przeanalizuj wszystkie klasyczne reguły translatora adresów sieciowych, sieci i aplikacji dla usługi Azure Firewall. Zastanów się nad ustawieniami. Na przykład można skonfigurować ustawienie serwera proxy DNS na wartość Wyłączone. Aby uzyskać więcej informacji, zobacz Monitorowanie usługi Azure Firewall. |
Użyj tego podejścia, aby wykrywać ekonomiczne wdrożenia w czasie i wyeliminować nieużywane zasoby, co zapobiega niepotrzebnym kosztom. |
| Dokładnie przejrzyj zasady, skojarzenia i dziedziczenie menedżera zapory, aby zoptymalizować koszt. Zasady są rozliczane na podstawie skojarzeń zapory. Zasady z zerowym lub jednym skojarzeniem zapory są bezpłatne. Zasady z wieloma skojarzeniami zapory są rozliczane według stałej stawki. Aby uzyskać więcej informacji, zobacz Cennik menedżera zapory. |
Należy prawidłowo używać menedżera zapory i jego zasad, aby zmniejszyć koszty operacyjne, zwiększyć wydajność i zmniejszyć obciążenie związane z zarządzaniem. |
| Przejrzyj wszystkie publiczne adresy IP w konfiguracji, usuń skojarzenie i usuń te, których nie używasz. Przed usunięciem jakichkolwiek adresów IP należy ocenić użycie portów translacji adresów sieciowych (SNAT). Aby uzyskać więcej informacji, zobacz Monitorowanie dzienników i metryk usługi Azure Firewall oraz użycia portów SNAT. |
Usuń nieużywane adresy IP, aby zmniejszyć koszty. |
Sprawność operacyjna
Doskonałość operacyjna koncentruje się przede wszystkim na procedurach dotyczących praktyk programistycznych, możliwości obserwacji i zarządzania wydaniami.
Zasady projektowania doskonałości operacyjnej stanowią strategię projektowania wysokiego poziomu w celu osiągnięcia tych celów dla wymagań operacyjnych obciążenia.
Lista kontrolna projektu
Rozpocznij strategię projektowania na podstawie listy kontrolnej przeglądu projektu dla doskonałości operacyjnej w celu zdefiniowania procesów do obserwowania, testowania i wdrażania związanego z usługą Azure Firewall.
Użyj menedżera zapory z tradycyjnymi topologiami piasty i szprych lub topologiami sieci usługi Virtual WAN, aby wdrożyć wystąpienia usługi Azure Firewall i zarządzać nimi. Użyj natywnych usług zabezpieczeń do zapewniania ładu i ochrony ruchu w celu tworzenia architektur piasty i szprych i przechodnich. Aby uzyskać więcej informacji, zobacz Topologia sieci i łączność.
Migrowanie reguł klasycznych usługi Azure Firewall do zasad usługi Firewall Manager dla istniejących wdrożeń. Użyj menedżera zapory, aby centralnie zarządzać zaporami i zasadami. Aby uzyskać więcej informacji, zobacz Migrowanie do usługi Azure Firewall — wersja Premium.
Zachowaj regularne kopie zapasowe artefaktów usługi Azure Policy. Jeśli używasz podejścia infrastruktury jako kodu do obsługi usługi Azure Firewall i wszystkich zależności, należy utworzyć kopię zapasową i przechowywanie wersji zasad usługi Azure Firewall. Jeśli tego nie zrobisz, możesz wdrożyć mechanizm towarzyszący oparty na zewnętrznej aplikacji logiki w celu zapewnienia efektywnego zautomatyzowanego rozwiązania.
Monitorowanie dzienników i metryk usługi Azure Firewall. Skorzystaj z dzienników diagnostycznych na potrzeby monitorowania zapory oraz rozwiązywania problemów i dzienników aktywności na potrzeby operacji inspekcji.
Analizowanie danych monitorowania w celu oceny ogólnej kondycji systemu. Użyj wbudowanego skoroszytu monitorowania usługi Azure Firewall, zapoznaj się z zapytaniami język zapytań Kusto (KQL) i użyj pulpitu nawigacyjnego analizy zasad, aby zidentyfikować potencjalne problemy.
Zdefiniuj alerty dla kluczowych zdarzeń , aby operatorzy mogli szybko reagować na nie.
Korzystaj z mechanizmów wykrywania udostępnianych przez platformę na platformie Azure w celu wykrywania nadużyć. W miarę możliwości zintegruj usługę Azure Firewall z usługą Microsoft Defender dla Chmury i usługą Microsoft Sentinel. Integracja z Defender dla Chmury umożliwia wizualizowanie stanu infrastruktury sieciowej i zabezpieczeń sieci w jednym miejscu, w tym zabezpieczeń sieci platformy Azure we wszystkich sieciach wirtualnych i koncentratorach wirtualnych w różnych regionach platformy Azure. Integracja z usługą Microsoft Sentinel w celu zapewnienia możliwości wykrywania zagrożeń i zapobiegania zagrożeniom.
Zalecenia
| Zalecenie | Korzyści |
|---|---|
| Włącz dzienniki diagnostyczne dla usługi Azure Firewall. Użyj dzienników zapory lub skoroszytów, aby monitorować usługę Azure Firewall. Ponadto dzienniki aktywności umożliwiają inspekcję operacji wykonywanych względem zasobów usługi Azure Firewall. Użyj formatu dzienników zapory ustrukturyzowanej. Użyj tylko poprzedniego formatu dzienników diagnostycznych, jeśli masz istniejące narzędzie, które go wymaga. Nie włączaj jednocześnie obu formatów rejestrowania. |
Włącz dzienniki diagnostyczne, aby zoptymalizować narzędzia monitorowania i strategie dla usługi Azure Firewall. Użyj dzienników zapory ustrukturyzowanej do struktury danych dziennika, aby ułatwić wyszukiwanie, filtrowanie i analizowanie. Najnowsze narzędzia do monitorowania są oparte na tym typie dziennika, dlatego często jest to wymaganie wstępne. |
| Użyj wbudowanego skoroszytu usługi Azure Firewall. | Użyj skoroszytu usługi Azure Firewall, aby wyodrębnić cenne informacje ze zdarzeń usługi Azure Firewall, przeanalizować reguły aplikacji i sieci oraz zbadać statystyki dotyczące działań zapory między adresami URL, portami i adresami. |
| Monitorowanie dzienników i metryk usługi Azure Firewall oraz tworzenie alertów dotyczących pojemności usługi Azure Firewall. Tworzenie alertów w celu monitorowania metryk przepływności, stanu kondycji zapory, wykorzystania portów SNAT i sondy opóźnienia AZFW. | Skonfiguruj alerty dotyczące kluczowych zdarzeń, aby powiadamiać operatorów przed wystąpieniami potencjalnych problemów, zapobiegać zakłóceniom i inicjować szybkie korekty pojemności. |
| Regularnie przegląda pulpit nawigacyjny analizy zasad, aby zidentyfikować potencjalne problemy. | Analiza zasad umożliwia analizowanie wpływu zasad usługi Azure Firewall. Zidentyfikuj potencjalne problemy w zasadach, takie jak spełnianie limitów zasad, niewłaściwe reguły i nieprawidłowe użycie grup adresów IP. Uzyskaj zalecenia, aby zwiększyć poziom zabezpieczeń i wydajność przetwarzania reguł. |
| Zapoznaj się z zapytaniami KQL, aby szybko analizować i rozwiązywać problemy za pomocą dzienników usługi Azure Firewall. Usługa Azure Firewall udostępnia przykładowe zapytania. | Użyj zapytań KQL, aby szybko zidentyfikować zdarzenia wewnątrz zapory i sprawdzić, która reguła jest wyzwalana lub która reguła zezwala na żądanie lub blokuje je. |
Efektywność wydajności
Wydajność polega na utrzymywaniu środowiska użytkownika nawet wtedy, gdy występuje wzrost obciążenia dzięki zarządzaniu pojemnością. Strategia obejmuje skalowanie zasobów, identyfikowanie i optymalizowanie potencjalnych wąskich gardeł oraz optymalizowanie pod kątem szczytowej wydajności.
Zasady projektowania wydajności zapewniają ogólną strategię projektowania w celu osiągnięcia tych celów pojemności w stosunku do oczekiwanego użycia.
Lista kontrolna projektu
Rozpocznij strategię projektowania na podstawie listy kontrolnej przeglądu projektu pod kątem wydajności. Zdefiniuj punkt odniesienia oparty na kluczowych wskaźnikach wydajności usługi Azure Firewall.
Zoptymalizuj konfigurację usługi Azure Firewall zgodnie z zaleceniami dobrze zaprojektowanej struktury, aby zoptymalizować kod i infrastrukturę i zapewnić szczytową operację. Aby utrzymać wydajną i bezpieczną sieć, należy regularnie przeglądać i optymalizować reguły zapory. Ta praktyka pomaga zapewnić, że konfiguracje zapory pozostaną skuteczne i aktualne wraz z najnowszymi zagrożeniami bezpieczeństwa.
Ocenianie wymagań dotyczących zasad i znajdowanie możliwości podsumowywania zakresów adresów IP i list adresów URL. Użyj kategorii internetowych, aby zbiorczo zezwolić na dostęp wychodzący lub go zablokować, aby usprawnić zarządzanie i zwiększyć bezpieczeństwo. Oceń wpływ idPS na wydajność w trybie alertu i odmowy , ponieważ ta konfiguracja może mieć wpływ na opóźnienie sieci i przepływność. Skonfiguruj publiczne adresy IP w celu obsługi wymagań dotyczących portów SNAT. Postępuj zgodnie z tymi rozwiązaniami, aby utworzyć niezawodną i skalowalną infrastrukturę zabezpieczeń sieci.
Nie używaj usługi Azure Firewall do sterowania ruchem wewnątrz sieci wirtualnej. Użyj usługi Azure Firewall, aby kontrolować następujące typy ruchu:
- Ruch między sieciami wirtualnymi
- Ruch między sieciami wirtualnymi i sieciami lokalnymi
- Ruch wychodzący do Internetu
- Przychodzący ruch inny niż HTTP lub inny niż HTTPS
W przypadku kontroli ruchu wewnątrz sieci wirtualnej należy użyć sieciowych grup zabezpieczeń.
Rozgrzej usługę Azure Firewall prawidłowo przed testami wydajności. Utwórz początkowy ruch, który nie jest częścią testów obciążeniowych 20 minut przed testami. Użyj ustawień diagnostycznych, aby przechwycić zdarzenia skalowania w górę i w dół. Za pomocą usługi Azure Load Testing możesz wygenerować początkowy ruch, aby skalować usługę Azure Firewall w górę do maksymalnej liczby wystąpień.
Skonfiguruj podsieć usługi Azure Firewall z przestrzenią adresową /26. Potrzebujesz dedykowanej podsieci dla usługi Azure Firewall. Usługa Azure Firewall aprowizuje większą pojemność podczas skalowania. Przestrzeń adresowa /26 gwarantuje, że zapora ma wystarczającą liczbę adresów IP dostępnych do obsługi skalowania. Usługa Azure Firewall nie wymaga podsieci większej niż /26. Nazwij podsieć usługi Azure Firewall AzureFirewallSubnet.
Nie włączaj rejestrowania zaawansowanego, jeśli go nie potrzebujesz. Usługa Azure Firewall udostępnia zaawansowane funkcje rejestrowania, które mogą spowodować znaczne koszty utrzymania aktywności. Zamiast tego można używać tych funkcji tylko do celów rozwiązywania problemów i tylko przez ograniczony czas. Wyłącz możliwości, gdy ich nie potrzebujesz. Na przykład najważniejsze przepływy i dzienniki śledzenia przepływów są kosztowne i mogą powodować nadmierne użycie procesora CPU i magazynu w infrastrukturze usługi Azure Firewall.
Zalecenia
| Zalecenie | Korzyści |
|---|---|
| Użyj pulpitu nawigacyjnego analizy zasad, aby zidentyfikować sposoby optymalizacji zasad usługi Azure Firewall. | Użyj analizy zasad, aby zidentyfikować potencjalne problemy w zasadach, takie jak spełnianie limitów zasad, nieprawidłowe reguły i nieprawidłowe użycie grup adresów IP. Uzyskaj zalecenia, aby zwiększyć poziom zabezpieczeń i wydajność przetwarzania reguł. |
| Umieść często używane reguły na wczesnym etapie grupy, aby zoptymalizować opóźnienie dla zasad usługi Azure Firewall, które mają duże zestawy reguł. Aby uzyskać więcej informacji, zobacz Używanie zasad usługi Azure Firewall do przetwarzania reguł. |
Umieść często używane reguły o wysokim poziomie w zestawie reguł, aby zoptymalizować opóźnienie przetwarzania. Usługa Azure Firewall przetwarza reguły na podstawie typu reguły, dziedziczenia, priorytetu grupy kolekcji reguł i priorytetu kolekcji reguł. Usługa Azure Firewall najpierw przetwarza grupy kolekcji reguł o wysokim priorytcie. Wewnątrz grupy kolekcji reguł usługa Azure Firewall przetwarza kolekcje reguł, które mają najwyższy priorytet. |
| Użyj grup adresów IP, aby podsumować zakresy adresów IP i uniknąć przekroczenia limitu unikatowych reguł sieci źródłowych lub unikatowych docelowych. Usługa Azure Firewall traktuje grupę adresów IP jako pojedynczy adres podczas tworzenia reguł sieci. | Takie podejście skutecznie zwiększa liczbę adresów IP, które można pokryć bez przekraczania limitu. Dla każdej reguły platforma Azure mnoży porty według adresów IP. Jeśli więc jedna reguła ma cztery zakresy adresów IP i pięć portów, należy użyć 20 reguł sieciowych. |
| Użyj kategorii internetowych usługi Azure Firewall, aby zbiorczo zezwolić na dostęp wychodzący lub go zablokować, zamiast jawnie tworzyć i utrzymywać długą listę publicznych witryn internetowych. | Ta funkcja dynamicznie kategoryzuje zawartość internetową i umożliwia tworzenie kompaktowych reguł aplikacji, co zmniejsza obciążenie operacyjne. |
| Oceń wpływ idPS na wydajność w trybie alertu i odmowy. Aby uzyskać więcej informacji, zobacz Wydajność usługi Azure Firewall. | Włącz usługę IDPS w trybie alertu i odmowy, aby wykryć i zapobiec złośliwemu działaniu sieci. Ta funkcja może wprowadzić karę za wydajność. Zrozumienie wpływu obciążenia na odpowiednie planowanie. |
| Skonfiguruj wdrożenia usługi Azure Firewall z co najmniej pięcioma publicznymi adresami IP dla wdrożeń podatnych na wyczerpanie portów SNAT. | Usługa Azure Firewall obsługuje 2496 portów dla każdego publicznego adresu IP używanego przez każde wystąpienie usługi Azure Virtual Machine Scale Sets zaplecza. Ta konfiguracja zwiększa liczbę dostępnych portów SNAT o pięć razy. Domyślnie usługa Azure Firewall wdraża dwa wystąpienia usługi Virtual Machine Scale Sets, które obsługują 4992 porty dla każdego docelowego adresu IP przepływu, portu docelowego i protokołu TCP lub UDP. Zapora jest skalowana w górę do maksymalnie 20 wystąpień. |
Zasady platformy Azure
Platforma Azure udostępnia obszerny zestaw wbudowanych zasad związanych z usługą Azure Firewall i jej zależnościami. Niektóre z powyższych zaleceń można przeprowadzić inspekcję za pomocą usługi Azure Policy. Możesz na przykład sprawdzić, czy:
Interfejsy sieciowe nie powinny mieć publicznych adresów IP. Te zasady odrzucają interfejsy sieciowe skonfigurowane przy użyciu publicznego adresu IP. Publiczne adresy IP umożliwiają zasobom internetowym komunikację przychodzącą do zasobów platformy Azure, a zasoby platformy Azure mogą komunikować się wychodząco z Internetem.
Cały ruch internetowy powinien być kierowany za pośrednictwem wdrożonego wystąpienia usługi Azure Firewall. Usługa Azure Security Center identyfikuje, że niektóre podsieci nie są chronione za pomocą zapory nowej generacji. Chroń podsieci przed potencjalnymi zagrożeniami. Użyj usługi Azure Firewall lub obsługiwanej zapory nowej generacji, aby ograniczyć dostęp do podsieci.
Aby uzyskać kompleksowy nadzór, zapoznaj się z wbudowanymi definicjami usługi Azure Policy dla usługi Azure Firewall i innymi zasadami, które mogą mieć wpływ na bezpieczeństwo sieci.
Zalecenia usługi Azure Advisor
Azure Advisor to spersonalizowany konsultant w zakresie chmury ułatwiający stosowanie najlepszych rozwiązań w celu zoptymalizowania wdrożeń platformy Azure. Poniżej przedstawiono kilka zaleceń, które mogą pomóc zwiększyć niezawodność, bezpieczeństwo, efektywność kosztową, wydajność i doskonałość operacyjną usługi Azure Firewall.
Następne kroki
Zapoznaj się z następującymi zasobami, które przedstawiają zalecenia przedstawione w tym artykule.
Skorzystaj z następujących architektur referencyjnych jako przykładów sposobu stosowania wskazówek tego artykułu do obciążenia:
Skorzystaj z następujących zasobów, aby poprawić wiedzę dotyczącą implementacji:
Zobacz inne zasoby: