Обзор Azure Well-Architected Framework — Брандмауэр Azure
В этой статье приведены рекомендации по архитектуре для Брандмауэр Azure. Руководство основано на пяти основных принципах архитектуры:
- Надежность
- Безопасность
- Оптимизация затрат
- Эффективность работы
- Оптимизация производительности
Мы предполагаем, что у вас есть знания о Брандмауэр Azure и хорошо знакомы с его функциями. Дополнительные сведения см. в Брандмауэр Azure обзоре.
Необходимые компоненты
- Понимание основных компонентов Платформы Azure Well-Architected Framework может помочь создать высококачественную, стабильную и эффективную облачную архитектуру. Просмотрите рабочую нагрузку с помощью оценки проверки хорошо спроектированной платформы.
- Используйте эталонную архитектуру, чтобы ознакомиться с рекомендациями, приведенными в этой статье. Начните с веб-приложения, защищенного сетью, с частным подключением к хранилищам данных PaaS и реализуйте безопасную гибридную сеть.
Надежность
Сведения о том, как Брандмауэр Azure надежно поддерживает рабочие нагрузки, см. в следующих статьях:
- Общие сведения о Брандмауэр Azure
- Краткое руководство. Развертывание Брандмауэр Azure с зонами доступности
- Настройка брандмауэра Azure в концентраторе виртуальной глобальной сети
Контрольный список проектирования
При выборе вариантов проектирования для Брандмауэр Azure ознакомьтесь с принципами проектирования для надежности.
- Развертывание Брандмауэр Azure в концентраторах виртуальных сетей или в составе центров Виртуальная глобальная сеть Azure.
- Используйте устойчивость Зоны доступности.
- Создайте структуру политики Брандмауэр Azure.
- Просмотрите список известных проблем.
- Мониторинг состояния работоспособности Брандмауэр Azure.
Примечание.
Существуют различия в доступности сетевых служб между традиционной моделью концентратора и периферийными центрами и Виртуальная глобальная сеть управляемых защищенных концентраторов. Например, в центре Виртуальная глобальная сеть не удается взять общедоступный IP-адрес Брандмауэр Azure из префикса общедоступного IP-адреса и не удается включить защиту от атак DDoS. Выбор одной или другой модели должен учитывать требования ко всем пяти столпам хорошо спроектированной платформы.
Рекомендации
Ознакомьтесь со следующей таблицей рекомендаций по оптимизации конфигурации Брандмауэр Azure для надежности.
| Рекомендация | Преимущества |
|---|---|
| Используйте диспетчер Брандмауэр Azure с традиционными концентраторами и периферийными устройствами или топологиями сети Azure Виртуальная глобальная сеть для развертывания экземпляров Брандмауэр Azure и управления ими. | Легко создавать центральные и транзитивные архитектуры с помощью собственных служб безопасности для управления трафиком и защиты. Дополнительные сведения о топологиях сети см. в документации по Azure Cloud Adoption Framework . |
| Создайте политики Брандмауэр Azure для управления безопасностью в глобальных сетевых средах. Назначьте политики всем экземплярам Брандмауэр Azure. | Брандмауэр Azure политики можно упорядочить в иерархической структуре, чтобы наложить центральную базовую политику. Разрешить детализированные политики для удовлетворения требований конкретных регионов. Делегировать добавочные политики брандмауэра локальным группам безопасности с помощью управления доступом на основе ролей (RBAC). Некоторые параметры зависят от каждого экземпляра, например правила DNAT и конфигурацию DNS, а также могут потребоваться несколько специализированных политик. |
| Перенос классических правил Брандмауэр Azure в политики диспетчера Брандмауэр Azure для существующих развертываний. | Для существующих развертываний перенос правил Брандмауэр Azure в политики диспетчера Брандмауэр Azure. Используйте диспетчер Брандмауэр Azure для централизованного управления брандмауэрами и политиками. Дополнительные сведения см. в статье "Миграция на Брандмауэр Azure Premium". |
| Просмотрите список известных проблем Брандмауэр Azure. | Брандмауэр Azure Группа продуктов поддерживает обновленный список известных проблем в этом расположении. В этом списке содержатся важные сведения, связанные с поведением по проектированию, исправлением в процессе строительства, ограничениями платформы, а также возможными обходными решениями или устранением рисков. |
| Убедитесь, что политика Брандмауэр Azure соответствует Брандмауэр Azure ограничениям и рекомендациям. | Существуют ограничения на структуру политики, включая количество групп правил и коллекций правил, общий размер политики, назначение источника или целевого объекта. Обязательно создайте политику и будьте ниже задокументированных пороговых значений. |
| Разверните Брандмауэр Azure в нескольких зонах доступности для соглашения об уровне обслуживания (SLA). | Брандмауэр Azure предоставляет разные соглашения об уровне обслуживания при развертывании в одной зоне доступности и при развертывании в нескольких зонах. Дополнительные сведения см. в разделе об уровне обслуживания для Брандмауэр Azure. Сведения обо всех соглашениях об уровне обслуживания Azure см . в сводке по соглашению об уровне обслуживания для служб Azure. |
| В средах с несколькими регионами разверните экземпляр Брандмауэр Azure на каждый регион. | Для традиционных архитектур концентраторов и периферийных компонентов подробно описаны в этой статье. Для защищенных виртуальных центров (Azure Виртуальная глобальная сеть) необходимо настроить намерение маршрутизации и политики для защиты обмена данными между центрами и филиалами. Для рабочих нагрузок, предназначенных для устойчивости к сбоям и отказоустойчивости, не забудьте учитывать, что экземпляры Брандмауэр Azure и Azure виртуальная сеть как региональные ресурсы. |
| Отслеживайте метрики Брандмауэр Azure и состояние Работоспособность ресурсов. | Внимательно отслеживайте ключевые метрики Брандмауэр Azure состояния работоспособности, таких как пропускная способность, состояние работоспособности брандмауэра, использование портов SNAT и метрики пробы задержки AZFW. Кроме того, Брандмауэр Azure теперь интегрируется с Azure Работоспособность ресурсов. При проверке Брандмауэр Azure Работоспособность ресурсов теперь можно просмотреть состояние работоспособности Брандмауэр Azure и устранить проблемы со службой, которые могут повлиять на ресурс Брандмауэр Azure. |
Помощник по Azure помогает обеспечить работу критически важных бизнес-приложений и их целостность. Ознакомьтесь с рекомендациями помощника по Azure.
Безопасность
Безопасность является одним из наиболее важных аспектов любой архитектуры. Брандмауэр Azure — это интеллектуальная служба безопасности брандмауэра, которая обеспечивает защиту от угроз для облачных рабочих нагрузок, работающих в Azure.
Контрольный список проектирования
При выборе вариантов проектирования для Брандмауэр Azure ознакомьтесь с принципами проектирования для обеспечения безопасности.
- Определите, требуется ли принудительное туннелирование.
- Создайте правила для политик на основе условий доступа к наименьшим привилегиям.
- Использование аналитики угроз.
- Включите Брандмауэр Azure DNS-прокси.
- Прямой сетевой трафик через Брандмауэр Azure.
- Определите, требуется ли использовать сторонние поставщики безопасности в качестве службы (SECaaS).
- Защитите общедоступные IP-адреса Брандмауэр Azure с помощью DDoS.
Рекомендации
Ознакомьтесь со следующей таблицей рекомендаций по оптимизации конфигурации Брандмауэр Azure для обеспечения безопасности.
| Рекомендация | Преимущества |
|---|---|
| Если требуется маршрутизировать весь интернет-трафик на назначенный следующий прыжок, а не перейти непосредственно в Интернет, настройте Брандмауэр Azure в режиме принудительного туннелирования (не применяется к Azure Виртуальная глобальная сеть). | Брандмауэр Azure должен быть напрямую подключен к Интернету. Если azureFirewallSubnet узнает маршрут по умолчанию к локальной сети через протокол пограничного шлюза, необходимо настроить Брандмауэр Azure в режиме принудительного туннелирования. Используя функцию принудительного туннелирования, вам потребуется другое адресное пространство /26 для подсети управления Брандмауэр Azure. Вам нужно присвоить имя AzureFirewallManagementSubnet. Если это существующий экземпляр Брандмауэр Azure, который не может быть перенастроен в режиме принудительного туннелирования, создайте UDR с маршрутом 0.0.0.0/0. Задайте значение NextHopType как Интернет. Свяжите его с AzureFirewallSubnet для поддержания подключения к Интернету. |
| Задайте для общедоступного IP-адреса значение None, чтобы развернуть полностью частный плоскость данных при настройке Брандмауэр Azure в режиме принудительного туннелирования (не применяется к Azure Виртуальная глобальная сеть). | При развертывании нового экземпляра Брандмауэр Azure, если включить режим принудительного туннелирования, можно задать общедоступный IP-адрес на None, чтобы развернуть полностью частный плоскость данных. Однако плоскость управления по-прежнему требует общедоступного IP-адреса только для целей управления. Внутренний трафик из виртуальных и локальных сетей не будет использовать этот общедоступный IP-адрес. Дополнительные сведения о принудительном туннелирование см. в разделе Брандмауэр Azure принудительное туннелирование. |
| Создайте правила для политик брандмауэра на основе условий доступа к наименьшим привилегиям. | Брандмауэр Azure политики можно упорядочить в иерархической структуре, чтобы наложить центральную базовую политику. Разрешить детализированные политики для удовлетворения требований конкретных регионов. Каждая политика может содержать различные наборы правил DNAT, сети и приложений с определенным приоритетом, действием и порядком обработки. Создайте правила на основе принципа нулевого доверия для доступа к нулю привилегированного доступа. Как обрабатываются правила в этой статье. |
| Включите аналитику угроз на Брандмауэр Azure в режиме оповещения и запрета. | Фильтрация на основе аналитики угроз может быть включена в брандмауэре с целю создания оповещений и запрета входящего или исходящего трафика известных IP-адресов и доменов IP-адреса и домены также передаются из канала Microsoft Threat Intelligence. Интеллектуальный граф безопасности обеспечивает аналитику угроз Майкрософт и используется несколькими службами, включая Microsoft Defender для облака. |
| Включите поставщики удостоверений в режиме оповещения или оповещения и запрета . | IDPS — это одна из самых мощных функций безопасности Брандмауэр Azure (Премиум) и должна быть включена. В зависимости от требований к безопасности и приложению и учитывая влияние на производительность (см. раздел "Затраты" ниже), можно выбрать режимы оповещения или оповещения и запрета . |
| Включите конфигурацию прокси-сервера Брандмауэр Azure (DNS). | Включение этой функции указывает клиентам в виртуальных сетям Брандмауэр Azure в качестве DNS-сервера. Она будет защищать внутреннюю инфраструктуру DNS, которая не будет напрямую обращаться к ней и предоставляться. Брандмауэр Azure также необходимо настроить для использования пользовательского DNS-сервера, который будет использоваться для пересылки ЗАПРОСОВ DNS. |
| Настройте определяемые пользователем маршруты (UDR), чтобы принудительно выполнять трафик через Брандмауэр Azure. | В традиционной архитектуре концентраторов и периферийных компонентов настройте определяемые пользователем параметры для принудительного трафика через Брандмауэр Azure для Spoke-to-Spoke, Spoke-to-Internetа также Spoke-to-Hybrid подключения. Вместо этого в Azure Виртуальная глобальная сеть настройте намерение маршрутизации и политики для перенаправления частного и /или интернет-трафика через экземпляр Брандмауэр Azure, интегрированный в концентратор. |
| Ограничение использования общедоступных IP-адресов напрямую, привязанных к Виртуальные машины | Чтобы предотвратить обход трафика брандмауэра, необходимо ограничить связь общедоступных IP-адресов с сетевыми интерфейсами виртуальной машины. В модели Azure Cloud Adoption Framework (CAF) определенная Политика Azure назначается группе управления CORP. |
| Если не удается применить UDR, и требуется только перенаправление веб-трафика, рассмотрите возможность использования Брандмауэр Azure в качестве явного прокси-сервера. | С явной функцией прокси-сервера, включенной по исходящему пути, можно настроить параметр прокси-сервера для отправки веб-приложения (например, веб-браузера) с Брандмауэр Azure настроенным в качестве прокси-сервера. В результате веб-трафик достигнет частного IP-адреса брандмауэра и, следовательно, исходят непосредственно из брандмауэра без использования UDR. Эта функция также упрощает использование нескольких брандмауэров без изменения существующих сетевых маршрутов. |
| Настройте поддерживаемые сторонние поставщики программного обеспечения как службы (SaaS) в диспетчере брандмауэра, если вы хотите использовать эти решения для защиты исходящих подключений. | Вы можете использовать знакомые, лучшие в породе сторонние предложения SECaaS для защиты доступа к Интернету для пользователей. Для этого сценария требуется azure Виртуальная глобальная сеть с VPN-шлюз S2S в Центре, так как он использует туннель IPSec для подключения к инфраструктуре поставщика. Поставщики SECaaS могут взимать дополнительную плату за лицензии и ограничить пропускную способность для подключений IPSec. Альтернативные решения, такие как ZScaler Cloud Connector, существуют и могут быть более подходящими. |
| Используйте фильтрацию полного доменного имени (FQDN) в правилах сети. | Полное доменное имя можно использовать на основе разрешения DNS в Брандмауэр Azure и политиках брандмауэра. Эта возможность позволяет фильтровать исходящий трафик по любому протоколу TCP/UDP (включая NTP, SSH, RDP и т. д.). Необходимо включить конфигурацию DNS-прокси Брандмауэр Azure для использования полных доменных имен в правилах сети. Сведения о том, как это работает, см. в разделе Брандмауэр Azure фильтрация полного доменного имени в правилах сети. |
| Используйте теги служб в правилах сети, чтобы включить выборочный доступ к определенным службы Майкрософт. | Тег службы представляет группу префиксов IP-адресов, чтобы упростить создание правила безопасности. С помощью тегов служб в правилах сети можно включить исходящий доступ к определенным службам в Azure, Dynamics и Office 365 без открытия широких диапазонов IP-адресов. Azure будет автоматически поддерживать сопоставление этих тегов и базовых IP-адресов, используемых каждой службой. Список тегов служб, доступных для Брандмауэр Azure, приведен здесь: Az Firewall Service Tags. |
| Используйте теги FQDN в правилах приложений, чтобы включить выборочный доступ к определенным службы Майкрософт. | Тег FQDN представляет группу полных доменных имен (FQDN), связанных с хорошо известными службы Майкрософт. Тег полного доменного имени можно использовать в правилах приложения, чтобы разрешить необходимый исходящий сетевой трафик через брандмауэр для некоторых служб Azure, Office 365, Windows 365 и Intune. |
| Используйте диспетчер Брандмауэр Azure для создания и связывания плана защиты от атак DDoS с виртуальной сетью концентратора (не применяется к Azure Виртуальная глобальная сеть). | План защиты от атак DDoS предоставляет расширенные функции устранения рисков для защиты брандмауэра от атак DDoS. Брандмауэр Azure Manager — это интегрированное средство для создания инфраструктуры брандмауэра и планов защиты от атак DDoS. Дополнительные сведения можно найти в статье Настройка плана Защиты от атак DDoS Azure с помощью Диспетчера брандмауэра Azure. |
| Используйте PKI enterprise для создания сертификатов для проверки TLS. | Если используется функция проверки TLS Брандмауэр Azure Premium, рекомендуется использовать внутренний центр сертификации Предприятия (ЦС) для рабочей среды. Самозаверяющий сертификат должен использоваться только для тестирования или poC . |
| Ознакомьтесь с руководством по настройке нулевого доверия для Брандмауэр Azure и Шлюз приложений | Если требования к безопасности требуют реализации подхода нулевого доверия для веб-приложений (проверка и шифрование), рекомендуется следовать этому руководству. В этом документе описано, как интегрировать Брандмауэр Azure и Шлюз приложений в традиционных сценариях концентратора и Виртуальная глобальная сеть. |
Помощник по Azure помогает обеспечить работу критически важных бизнес-приложений и их целостность. Ознакомьтесь с рекомендациями помощника по Azure.
Определения политик
Сетевые интерфейсы не должны иметь общедоступных IP-адресов. Эта политика запрещает сетевые интерфейсы, настроенные с помощью любого общедоступного IP-адреса. Общедоступные IP-адреса позволяют интернет-ресурсам устанавливать входящие подключения к ресурсам Azure, а ресурсам Azure — исходящие подключения к Интернету.
Весь интернет-трафик должен направляться через развернутый Брандмауэр Azure. В Центре безопасности Azure обнаружено, что некоторые подсети не защищены брандмауэром следующего поколения. Защитите подсети от возможных угроз, запретив доступ к ним с помощью Брандмауэра Azure или поддерживаемого брандмауэра следующего поколения.
Все встроенные определения политик, связанные с сетью Azure, перечислены в встроенных политиках — сеть.
Оптимизация затрат
Оптимизация затрат заключается в поиске способов уменьшения ненужных расходов и повышения эффективности работы.
Контрольный список проектирования
При выборе вариантов проектирования для Брандмауэр Azure ознакомьтесь с принципами проектирования для оптимизации затрат.
- Выберите номер SKU Брандмауэр Azure для развертывания.
- Определите, не требуются ли некоторые экземпляры постоянного выделения 24x7.
- Определите, где можно оптимизировать использование брандмауэра для рабочих нагрузок.
- Мониторинг и оптимизация использования экземпляров брандмауэра для определения экономичности.
- Проверьте и оптимизируйте количество общедоступных IP-адресов, необходимых и используемых политик.
- Просмотрите требования к ведению журнала, оцените затраты и контроль с течением времени.
Рекомендации
Ознакомьтесь со следующей таблицей рекомендаций по оптимизации Брандмауэр Azure конфигурации для оптимизации затрат.
| Рекомендация | Преимущества |
|---|---|
| Разверните соответствующий номер SKU Брандмауэр Azure. | Брандмауэр Azure можно развернуть в трех разных номерах SKU: Базовый, стандартный и премиум. Брандмауэр Azure Premium рекомендуется защитить высокочувствительные приложения (например, обработку платежей). Брандмауэр Azure Стандарт рекомендуется для клиентов, которые ищут брандмауэр уровня 3–7 и требуют автомасштабирования для обработки пиковых периодов трафика до 30 Гбит/с. Брандмауэр Azure Базовый рекомендуется для клиентов SMB с потребностями пропускной способности в 250 Мбит/с. При необходимости можно перейти на более раннюю версию или обновить в диапазоне "Стандартный" и "Премиум", как описано здесь. Дополнительные сведения см. в разделе "Выбор подходящего номера SKU Брандмауэр Azure для удовлетворения ваших потребностей". |
| Остановите Брандмауэр Azure развертывания, которые не нужно запускать для 24x7. | Возможно, у вас есть среды разработки или тестирования, которые используются только в рабочие часы. Дополнительные сведения см. в разделе Deallocate и выделение Брандмауэр Azure. |
| Совместное использование одного экземпляра Брандмауэр Azure для нескольких рабочих нагрузок и виртуальная сеть Azure. | Вы можете использовать центральный экземпляр Брандмауэр Azure в виртуальной сети концентратора или Виртуальная глобальная сеть безопасном концентраторе и совместно использовать один и тот же брандмауэр во многих периферийных виртуальных сетях, подключенных к одному концентратору из одного региона. Убедитесь, что непредвиденный трафик между регионами в рамках топологии концентратора. |
| Регулярно просматривайте трафик, обработанный Брандмауэр Azure, и ищете исходные оптимизации рабочей нагрузки | Журнал top Flows (известный в отрасли как Fat Flows), показывает основные подключения, которые способствуют максимальной пропускной способности через брандмауэр. Рекомендуется регулярно просматривать трафик, обработанный Брандмауэр Azure, и искать возможные оптимизации, чтобы уменьшить объем трафика, проходящий брандмауэр. |
| Просмотрите недоиспользуемые экземпляры Брандмауэр Azure. Определение и удаление неиспользуемых Брандмауэр Azure развертываний. | Чтобы определить неиспользуемые Брандмауэр Azure развертывания, начните с анализа метрик мониторинга и определяемых пользователем пользователей, связанных с подсетями, указывающими на частный IP-адрес брандмауэра. Объединяйте эти сведения с другими проверками, например если экземпляр Брандмауэр Azure имеет какие-либо правила (классические) для NAT, сети и приложения или даже если параметр DNS-прокси настроен на отключение, а также с внутренней документацией по вашей среде и развертываниям. С течением времени можно обнаружить развертывания, которые являются экономически эффективными. Дополнительные сведения о журналах мониторинга и метриках см. в разделе "Мониторинг Брандмауэр Azure журналов и метрик" и использования портов SNAT. |
| Используйте диспетчер Брандмауэр Azure и ее политики для снижения операционных затрат, повышения эффективности и снижения затрат на управление. | Внимательно просмотрите политики диспетчера брандмауэра, ассоциации и наследование. Счета за политики выставляются на основе связей брандмауэра. Плата за политику с нулевой или одной связью брандмауэра не взимается. Счета за политику с несколькими связями брандмауэра выставляются по фиксированной ставке. Дополнительные сведения см. в разделе о ценах на диспетчер Брандмауэр Azure. |
| Удалите неиспользуемые общедоступные IP-адреса. | Проверьте, используются ли все связанные общедоступные IP-адреса. Если они не используются, отсоедините их и удалите. Оцените использование портов SNAT перед удалением любых IP-адресов. Вы будете использовать только количество общедоступных IP-адресов, необходимых брандмауэру. Дополнительные сведения см. в разделе "Мониторинг Брандмауэр Azure журналов и метрик" и использования портов SNAT. |
| Проверьте требования к ведению журнала. | Брандмауэр Azure имеет возможность комплексно регистрировать метаданные всего трафика, который он видит, в рабочие области Log Analytics, хранилище или сторонние решения через Центры событий. Однако все решения для ведения журнала несут расходы на обработку и хранение данных. При очень больших объемах эти затраты могут быть значительными, экономически эффективный подход и альтернатива Log Analytics должна рассматриваться и оценить затраты. При необходимости следует ли регистрировать метаданные трафика для всех категорий ведения журнала и изменять параметры диагностики. |
Дополнительные предложения см . в контрольном списке проверки конструктора для оптимизации затрат.
Помощник по Azure помогает обеспечить работу критически важных бизнес-приложений и их целостность. Ознакомьтесь с рекомендациями помощника по Azure.
Эффективность работы
Мониторинг и диагностика имеют огромное значение. Вы можете быстро измерять статистику производительности и метрики для устранения и устранения проблем.
Контрольный список проектирования
При выборе дизайна для Брандмауэр Azure ознакомьтесь с принципами проектирования для повышения эффективности работы.
- Обслуживание инвентаризации и резервного копирования конфигурации и политик Брандмауэр Azure.
- Используйте журналы диагностики для мониторинга и устранения неполадок брандмауэра.
- Используйте книгу мониторинга Брандмауэр Azure.
- Регулярно просматривайте аналитические сведения о политике и аналитику.
- Интеграция Брандмауэр Azure с Microsoft Defender для облака и Microsoft Sentinel.
Рекомендации
Ознакомьтесь со следующей таблицей рекомендаций по оптимизации конфигурации Брандмауэр Azure для повышения эффективности работы.
| Рекомендация | Преимущества |
|---|---|
| Не используйте Брандмауэр Azure для управления трафиком внутри виртуальной сети. | Брандмауэр Azure следует использовать для управления трафиком между виртуальными сетями, между виртуальными сетями и локальными сетями, исходящим трафиком в Интернет и входящим трафиком, отличным от HTTP/s. Для управления трафиком внутри виртуальной сети рекомендуется использовать группы безопасности сети. |
| Сохраняйте регулярные резервные копии артефактов Политика Azure. | Если подход "Инфраструктура как код" (IaC) используется для поддержания Брандмауэр Azure и всех зависимостей, то резервное копирование и управление версиями политик Брандмауэр Azure должно быть уже установлено. В противном случае механизм компаньона на основе внешнего приложения логики можно развернуть для автоматизации и предоставления эффективного решения. |
| Включите журналы диагностики для Брандмауэр Azure. | Журналы диагностики являются ключевым компонентом для многих средств мониторинга и стратегий для Брандмауэр Azure и должны быть включены. Вы можете отслеживать Брандмауэр Azure с помощью журналов брандмауэра или книг. Журналы действий также можно использовать для операций аудита Брандмауэр Azure ресурсов. |
| Используйте формат структурированных журналов брандмауэра . | Структурированные журналы брандмауэра — это тип данных журнала, организованных в определенном новом формате. Они используют предопределенную схему для структуры данных журнала таким образом, чтобы упростить поиск, фильтрацию и анализ. Последние средства мониторинга основаны на этом типе журналов, поэтому это часто является предварительным требованием. Используйте предыдущий формат журналов диагностики, только если существует существующее средство с предварительным требованием для этого. Одновременно не включите оба формата ведения журнала. |
| Используйте встроенную книгу мониторинга Брандмауэр Azure. | интерфейс портала Брандмауэр Azure теперь включает новую книгу в разделе Пользовательский интерфейс раздела мониторинга, отдельная установка больше не требуется. С помощью книги Брандмауэр Azure вы можете извлечь ценные аналитические сведения из событий Брандмауэр Azure, углубиться в правила приложения и сети, а также проверить статистику действий брандмауэра по URL-адресам, портам и адресам. |
| Отслеживайте ключевые метрики и создавайте оповещения для индикаторов использования Брандмауэр Azure емкости. | Оповещения следует создавать для мониторинга по крайней мере пропускной способности, состояния работоспособности брандмауэра, использования портов SNAT и метрик пробы задержки AZFW. Сведения о журналах мониторинга и метриках см. в разделе "Мониторинг Брандмауэр Azure журналов и метрик". |
| Настройте интеграцию Брандмауэр Azure с Microsoft Defender для облака и Microsoft Sentinel. | Если эти средства доступны в среде, рекомендуется использовать интеграцию с решениями Microsoft Defender для облака и Microsoft Sentinel. С помощью интеграции Microsoft Defender для облака вы можете визуализировать все состояние сетевой инфраструктуры и сетевой безопасности в одном месте, включая безопасность сети Azure во всех виртуальных сетях и виртуальных центрах, распределенных по разным регионам в Azure. Интеграция с Microsoft Sentinel обеспечивает возможности обнаружения угроз и предотвращения угроз. |
| Регулярно просматривайте панель мониторинга аналитики политик для выявления потенциальных проблем. | Аналитика политик — это новая функция, которая предоставляет аналитические сведения о влиянии политик Брандмауэр Azure. Это помогает выявить потенциальные проблемы (ударяя по ограничениям политики, правилам с низким уровнем использования, избыточным правилам, правилам слишком универсальным, рекомендациям по использованию IP-групп) в политиках и предоставлять рекомендации по повышению производительности обработки правил и безопасности. |
| Ознакомьтесь с запросами KQL (язык запросов Kusto), чтобы обеспечить быстрый анализ и устранение неполадок с помощью журналов Брандмауэр Azure. | Примеры запросов предоставляются для Брандмауэр Azure. Это позволит быстро определить, что происходит внутри брандмауэра, и проверить, какое правило было активировано, или какое правило разрешает или блокирует запрос. |
Помощник по Azure помогает обеспечить работу критически важных бизнес-приложений и их целостность. Ознакомьтесь с рекомендациями помощника по Azure.
Оптимизация производительности
Эффективность производительности — это возможность масштабирования рабочей нагрузки для эффективного удовлетворения требований, заданных пользователями.
Контрольный список проектирования
При выборе вариантов проектирования для Брандмауэр Azure ознакомьтесь с принципами проектирования для повышения эффективности.
- Регулярно просматривайте и оптимизируйте правила брандмауэра.
- Просмотрите требования политики и возможности для суммирования диапазонов IP-адресов и списков URL-адресов.
- Оцените требования к порту SNAT.
- Запланируйте нагрузочные тесты для проверки производительности автомасштабирования в вашей среде.
- Если это не требуется, не включите средства диагностики и ведение журнала.
Рекомендации
Ознакомьтесь со следующей таблицей рекомендаций по оптимизации конфигурации Брандмауэр Azure для повышения эффективности производительности.
| Рекомендация | Преимущества |
|---|---|
| Используйте панель мониторинга Аналитики политик, чтобы определить потенциальные оптимизации для политик брандмауэра. | Аналитика политик — это новая функция, которая предоставляет аналитические сведения о влиянии политик Брандмауэр Azure. Это помогает выявить потенциальные проблемы (ударяя по ограничениям политики, правилам с низким уровнем использования, избыточным правилам, правилам слишком универсальным, рекомендациям по использованию IP-групп) в политиках и предоставлять рекомендации по повышению производительности обработки правил и безопасности. |
| Для политик брандмауэра с большими наборами правил поместите наиболее часто используемые правила в начале группы для оптимизации задержки. | Правила обрабатываются на основе типа правила, наследования, приоритета группы правил и приоритета коллекции правил. Группы коллекций правил с наивысшим приоритетом обрабатываются первыми. В группе коллекций правил сначала обрабатываются коллекции правил с наивысшим приоритетом. Размещение наиболее используемых правил в наборе правил оптимизирует задержку обработки. Как обрабатываются и оцениваются правила, описаны в этой статье. |
| Используйте группы IP-адресов для суммирование диапазонов IP-адресов. | Группы IP можно использовать для суммирования диапазонов IP-адресов, поэтому ограничения уникальных правил сети источника и назначения не превышаются. Для каждого правила Azure умножает порты на IP-адреса. Таким образом, если у вас есть одно правило с четырьмя диапазонами IP-адресов и пятью портами, вы будете использовать 20 сетевых правил. Группа IP-адресов рассматривается как один адрес для создания сетевых правил. |
| Рассмотрим веб-категории , чтобы разрешить или запретить исходящий доступ в массовом режиме. | Вместо явного создания и поддержания длинного списка общедоступных интернет-сайтов рекомендуется использовать Брандмауэр Azure веб-категории. Эта функция будет динамически классифицировать веб-содержимое и позволит создавать компактные правила приложений. |
| Оцените влияние на производительность поставщиков удостоверений в режиме оповещений и запретов. | Если Брандмауэр Azure требуется для работы в режиме оповещений в режиме idPS и запретить, тщательно рассмотрите влияние производительности, как описано в производительности брандмауэра. |
| Оцените потенциальную проблему нехватки портов SNAT. | Брандмауэр Azure в настоящее время поддерживает 2496 портов на общедоступный IP-адрес для каждого экземпляра масштабируемого набора виртуальных машин серверной части. По умолчанию существует два экземпляра масштабируемого набора виртуальных машин. Таким образом, существует 4992 порта на IP-адрес назначения потока, порт назначения и протокол (TCP или UDP). Брандмауэр масштабируется до 20 экземпляров. Вы можете обойти эти ограничения, указав минимум пять общедоступных IP-адресов для развертываний Брандмауэра Azure, в которых может возникнуть проблема нехватки SNAT. |
| Правильно разогревайте Брандмауэр Azure перед любым тестом производительности. | Создайте начальный трафик, который не является частью нагрузочных тестов 20 минут до теста. Используйте параметры диагностика для записи событий масштабирования и уменьшения масштаба. Для создания первоначального трафика можно использовать службу нагрузочного тестирования Azure. Позволяет экземпляру Брандмауэр Azure масштабировать его экземпляры до максимального. |
| Настройте подсеть Брандмауэр Azure (AzureFirewallSubnet) с адресным пространством /26. | Брандмауэр Azure — это выделенное развертывание в виртуальной сети. В виртуальной сети для экземпляра Брандмауэр Azure требуется выделенная подсеть. Брандмауэр Azure подготавливает большую емкость по мере масштабирования. Адресное пространство /26 для подсетей гарантирует, что брандмауэр имеет достаточно IP-адресов, доступных для масштабирования. Для Брандмауэра Azure не нужна подсеть больше /26. Имя подсети Брандмауэр Azure должно быть AzureFirewallSubnet. |
| Не включите расширенное ведение журнала, если не требуется | Брандмауэр Azure предоставляет некоторые расширенные возможности ведения журнала, которые могут быть дорогостоящими для поддержания постоянной активности. Вместо этого они должны использоваться только в целях устранения неполадок и ограничены в длительности, а затем отключаются, если больше нет необходимости. Например, основные потоки и журналы трассировки потока являются дорогостоящими, могут привести к чрезмерному использованию ЦП и хранилища в инфраструктуре Брандмауэр Azure. |
Помощник по Azure помогает обеспечить работу критически важных бизнес-приложений и их целостность. Ознакомьтесь с рекомендациями помощника по Azure.
Рекомендации Помощника по Azure
Помощник по Azure — это персонализированный облачный консультант, который помогает следовать рекомендациям по оптимизации развернутых служб Azure. Пока нет Брандмауэр Azure конкретной рекомендации помощника. Некоторые общие рекомендации можно применять для повышения надежности, безопасности, экономичности, производительности и эффективности работы.
- Создание оповещений о работоспособности служб Azure для уведомления о проблемах Azure
- Включение аналитики трафика для просмотра аналитических сведений о шаблонах трафика в ресурсах Azure
- Защита сетевых ресурсов с помощью Microsoft Defender для облака
Дополнительные ресурсы
- Документация по Брандмауэру Azure
- Что такое диспетчер Брандмауэр Azure?
- Брандмауэр Azure ограничения службы, квоты и ограничения
- Базовые показатели безопасности Azure для Брандмауэр Azure
Руководство по Центру архитектуры Azure
- Обзор архитектуры Брандмауэр Azure
- Использование Брандмауэр Azure для защиты кластера Служба Azure Kubernetes (AKS)
- Использование Брандмауэр Azure для защиты развертываний виртуального рабочего стола Azure (AVD)
- Использование Брандмауэр Azure для защиты Office 365
- Звездообразная топологии сети в Azure
- Сеть для веб-приложений с Брандмауэром Azure и Шлюзом приложений, действующая по принципу “Никому не доверяй”
- Реализация безопасной гибридной сети
- Веб-приложение, защищенное сетью, с частным подключением к хранилищам данных PaaS
Следующий шаг
Разверните экземпляр Брандмауэр Azure, чтобы узнать, как он работает: