Azure Well-Architected Framework-perspektiv på Azure Firewall
Azure Firewall är en molnbaserad och intelligent säkerhetstjänst för nätverksbrandvägg som ger bästa möjliga skydd mot hot för dina molnarbetsbelastningar som körs i Azure. Det är en helt tillståndskänslig, hanterad brandväggstjänst som har inbyggd hög tillgänglighet och obegränsad skalbarhet i molnet. Azure Firewall tillhandahåller trafikkontroll i både öst-väst och nord-syd.
Den här artikeln förutsätter att du som arkitekt har granskat säkerhetsalternativen för virtuella nätverk och valt Azure Firewall som nätverkssäkerhetstjänst för din arbetsbelastning. Vägledningen i den här artikeln innehåller arkitektoniska rekommendationer som är mappade till principerna för grundpelarna i Azure Well-Architected Framework.
Viktigt!
Så här använder du den här guiden
Varje avsnitt har en checklista för design som presenterar arkitekturområden som är viktiga tillsammans med designstrategier som är lokaliserade till teknikomfånget.
Dessutom ingår rekommendationer om de teknikfunktioner som kan hjälpa till att materialisera dessa strategier. Rekommendationerna representerar inte en fullständig lista över alla konfigurationer som är tillgängliga för Azure Firewall och dess beroenden. I stället listar de de viktigaste rekommendationerna som mappats till designperspektiven. Använd rekommendationerna för att skapa ditt konceptbevis eller optimera dina befintliga miljöer.
Grundläggande arkitektur som visar de viktigaste rekommendationerna: Nätverkstopologi för hub-spoke i Azure.
Teknikomfång
Den här granskningen fokuserar på de relaterade besluten för följande Azure-resurser:
- Azure Firewall
- Azure Firewall Manager
Tillförlitlighet
Syftet med grundpelare för tillförlitlighet är att tillhandahålla fortsatt funktionalitet genom att skapa tillräckligt med motståndskraft och möjlighet att återhämta sig snabbt från fel.
Designprinciperna för tillförlitlighet ger en övergripande designstrategi som tillämpas för enskilda komponenter, systemflöden och systemet som helhet.
Checklista för design
Starta din designstrategi baserat på checklistan för designgranskning för tillförlitlighet. Fastställ dess relevans för dina affärskrav samtidigt som du tänker på de principer och vilken typ av arkitektur du använder. Utöka strategin till att omfatta fler metoder efter behov.
Granska listan över kända problem med Azure Firewall. Azure Firewall-produkter har en uppdaterad lista över kända problem. Den här listan innehåller viktig information om avsiktligt beteende, korrigeringar under konstruktion, plattformsbegränsningar och möjliga lösningar eller åtgärdsstrategier.
Se till att din Azure Firewall-princip följer Begränsningar och rekommendationer för Azure Firewall. Principstrukturen har gränser, inklusive antalet regler och regelinsamlingsgrupper, total principstorlek, källmål och målmål. Kom ihåg att skriva din princip och hålla dig under de dokumenterade tröskelvärdena.
Distribuera Azure Firewall över flera tillgänglighetszoner för ett högre serviceavtal (SLA). Azure Firewall tillhandahåller olika serviceavtal beroende på om du distribuerar tjänsten i en enda tillgänglighetszon eller flera zoner. Mer information finns i Serviceavtal för onlinetjänster.
Distribuera en Azure Firewall-instans i varje region i miljöer med flera regioner. För traditionella hub-and-spoke-arkitekturer, se Överväganden för flera regioner. För skyddade Azure Virtual WAN-hubbar konfigurerar du routningssyfte och principer för att skydda kommunikation mellan hubbar och förgrening till gren. För felbeständiga och feltoleranta arbetsbelastningar bör du överväga instanser av Azure Firewall och Azure Virtual Network som regionala resurser.
Övervaka Azure Firewall-mått och resursens hälsotillstånd. Azure Firewall integreras med Azure Resource Health. Använd resource health-kontrollen för att visa hälsostatusen för Azure Firewall och åtgärda tjänstproblem som kan påverka din Azure Firewall-resurs.
Distribuera Azure Firewall i virtuella hubbnätverk eller som en del av Virtual WAN-hubbar.
Kommentar
Tillgängligheten för nätverkstjänster skiljer sig mellan den traditionella hub-and-spoke-modellen och den Virtual WAN-hanterade modellen för skyddade hubbar. I en virtuell WAN-hubb kan den offentliga IP-adressen för Azure Firewall till exempel inte komma från ett offentligt IP-prefix och kan inte ha Azure DDoS Protection aktiverat. När du väljer din modell bör du överväga dina krav i alla fem grundpelarna i det välarkitekterade ramverket.
Rekommendationer
| Rekommendation | Förmån |
|---|---|
| Distribuera Azure Firewall i flera tillgänglighetszoner. | Distribuera Azure Firewall i flera tillgänglighetszoner för att upprätthålla en viss återhämtningsnivå. Om en zon upplever ett avbrott fortsätter en annan zon att hantera trafik. |
| Övervaka Azure Firewall-mått på en Log Analytics-arbetsyta. Övervaka mått som anger hälsotillståndet för Azure Firewall, till exempel dataflöde, hälsotillstånd för brandväggen, SNAT-portanvändning och AZFW-svarstidsavsökningsmått. Använd Azure Service Health för att övervaka Azure Firewall-hälsotillståndet. |
Övervaka resursmått och tjänsthälsa så att du kan identifiera när ett tjänsttillstånd försämras och vidta proaktiva åtgärder för att förhindra fel. |
Säkerhet
Syftet med säkerhetspelare är att tillhandahålla garantier för konfidentialitet, integritet och tillgänglighet för arbetsbelastningen.
Principerna för säkerhetsdesign ger en övergripande designstrategi för att uppnå dessa mål genom att tillämpa metoder för den tekniska utformningen av Azure Firewall.
Checklista för design
Starta din designstrategi baserat på checklistan för designgranskning för Säkerhet. Identifiera säkerhetsrisker och kontroller för att förbättra säkerhetsstatusen. Utöka strategin till att omfatta fler metoder efter behov.
Skicka all Internettrafik från din arbetsbelastning via en brandvägg eller en virtuell nätverksinstallation (NVA) för att identifiera och blockera hot. Konfigurera användardefinierade vägar (UDR) för att tvinga trafik via Azure Firewall. Överväg att använda Azure Firewall som en explicit proxy för webbtrafik.
Konfigurera partnerprogramvara som stöds som en tjänst (SaaS) säkerhetsleverantörer i Firewall Manager om du vill använda dessa leverantörer för att skydda utgående anslutningar.
Begränsa användningen av offentliga IP-adresser som är direkt kopplade till virtuella datorer så att trafiken inte kan kringgå brandväggen. Azure Cloud Adoption Framework-modellen tilldelar en specifik Azure-princip till CORP-hanteringsgruppen.
Följ konfigurationsguiden för Nolltillit för Azure Firewall och Application Gateway om dina säkerhetsbehov kräver att du implementerar en Nolltillit metod för webbprogram, till exempel att lägga till inspektion och kryptering. Följ den här guiden för att integrera Azure Firewall och Application Gateway för både traditionella hub-and-spoke- och Virtual WAN-scenarier.
Mer information finns i Tillämpa brandväggar vid gränsen.
Upprätta nätverksperimeter som en del av din strategi för segmentering av arbetsbelastningar för att kontrollera explosionsradien, dölja arbetsbelastningsresurser och blockera oväntad, förbjuden och osäker åtkomst. Skapa regler för Azure Firewall-principer baserat på kriterier för åtkomst med minst behörighet.
Ange den offentliga IP-adressen till Ingen för att distribuera ett helt privat dataplan när du konfigurerar Azure Firewall i läget för tvingad tunneltrafik. Den här metoden gäller inte för Virtual WAN.
Använd fullständigt kvalificerade domännamn (FQDN) och tjänsttaggar när du definierar nätverksregler för att förenkla hanteringen.
Använd identifieringsmekanismer för att noggrant övervaka hot och tecken på missbruk. Dra nytta av mekanismer och åtgärder för plattformsbaserad identifiering. Aktivera intrångsidentifierings- och skyddssystemet (IDPS). Associera en Azure DDoS Protection-plan med ditt virtuella hubbnätverk.
Mer information finns i Identifiera missbruk.
Rekommendationer
| Rekommendation | Förmån |
|---|---|
| Konfigurera Azure Firewall i läget för tvingad tunneltrafik om du behöver dirigera all internetbunden trafik till ett angivet nästa hopp i stället för direkt till Internet. Den här rekommendationen gäller inte för Virtual WAN. Azure Firewall måste ha direkt Internetanslutning. Om ditt AzureFirewallSubnet lär sig en standardväg till ditt lokala nätverk via Border Gateway Protocol måste du konfigurera Azure Firewall i läget för tvingad tunneltrafik. Du kan använda funktionen för tvingad tunneltrafik för att lägga till ytterligare ett /26-adressutrymme för Azure Firewall Management-undernätet. Ge undernätet namnet AzureFirewallManagementSubnet. Om du har en befintlig Azure Firewall-instans som du inte kan konfigurera om i läget för tvingad tunneltrafik skapar du en UDR med en 0.0.0.0/0-väg. Ange Värdet NextHopType som Internet. För att upprätthålla internetanslutningen associerar du UDR med AzureFirewallSubnet. Ange den offentliga IP-adressen till Ingen för att distribuera ett helt privat dataplan när du konfigurerar Azure Firewall i läget för tvingad tunneltrafik. Men hanteringsplanet kräver fortfarande en offentlig IP-adress endast i hanteringssyfte. Den interna trafiken från virtuella och lokala nätverk använder inte den offentliga IP-adressen. |
Använd tvingad tunneltrafik så att du inte exponerar dina Azure-resurser direkt på Internet. Den här metoden minskar attackytan och minimerar risken för externa hot. Om du vill tillämpa företagets principer och efterlevnadskrav på ett effektivare sätt dirigerar du all internetbunden trafik via en lokal brandvägg eller en NVA. |
| Skapa regler för brandväggsprinciper i en hierarkisk struktur för att lägga över en central basprincip. Mer information finns i Använda Azure Firewall-principer för att bearbeta regler. Skapa dina regler baserat på principen för åtkomst med minst behörighet Nolltillit |
Organisera regler i en hierarkisk struktur så att detaljerade principer kan uppfylla kraven för specifika regioner. Varje princip kan innehålla olika uppsättningar av DNAT (Destination Network Address Translation), nätverk och programregler som har specifika prioriteringar, åtgärder och bearbetningsbeställningar. |
| Konfigurera säkerhetspartnerprovidrar som stöds i Firewall Manager för att skydda utgående anslutningar. Det här scenariot kräver Virtual WAN med en S2S VPN-gateway i hubben eftersom den använder en IPsec-tunnel för att ansluta till leverantörens infrastruktur. Leverantörer av hanterade säkerhetstjänster kan ta ut extra licensavgifter och begränsa dataflödet för IPsec-anslutningar. Du kan också använda alternativa lösningar, till exempel Zscaler Cloud Connector. |
Gör det möjligt för leverantörer av säkerhetspartner i Azure Firewall att dra nytta av förstklassiga molnsäkerhetserbjudanden som ger avancerat skydd för din Internettrafik. Dessa leverantörer erbjuder specialiserad, användarmedveten filtrering och omfattande funktioner för hotidentifiering som förbättrar din övergripande säkerhetsstatus. |
| Aktivera DNS-proxykonfiguration för Azure Firewall. Konfigurera även Azure Firewall för att använda anpassad DNS för vidarebefordran av DNS-frågor. |
Aktivera den här funktionen för att peka klienter i de virtuella nätverken till Azure Firewall som en DNS-server. Den här funktionen skyddar den interna DNS-infrastrukturen som inte har direkt åtkomst till och exponeras. |
| Konfigurera UDR:er för att tvinga trafik via Azure Firewall i en traditionell hub-and-spoke-arkitektur för eker-till-eker-, eker-till-internet- och eker-till-hybrid-anslutning . I Virtual WAN konfigurerar du routnings avsikt och principer för att omdirigera privat trafik eller Internettrafik via Azure Firewall-instansen som är integrerad i hubben. Om du inte kan använda en UDR och du bara behöver omdirigering av webbtrafik använder du Azure Firewall som en explicit proxy på den utgående sökvägen. Du kan konfigurera en proxyinställning för det sändande programmet, till exempel en webbläsare, när du konfigurerar Azure Firewall som en proxy. |
Skicka trafik via brandväggen för att inspektera trafik och hjälpa till att identifiera och blockera skadlig trafik. Använd Azure Firewall som en explicit proxy för utgående trafik så att webbtrafiken når brandväggens privata IP-adress och därför går ut direkt från brandväggen utan att använda en UDR. Den här funktionen underlättar också användningen av flera brandväggar utan att ändra befintliga nätverksvägar. |
| Använd FQDN-filtrering i nätverksregler. Du måste aktivera DNS-proxykonfigurationen för Azure Firewall för att kunna använda FQDN i dina nätverksregler. | Använd FQDN i Azure Firewall-nätverksregler så att administratörer kan hantera domännamn i stället för flera IP-adresser, vilket förenklar hanteringen. Den här dynamiska lösningen säkerställer att brandväggsreglerna uppdateras automatiskt när domän-IP-adresser ändras. |
| Använd Azure Firewall-tjänsttaggar i stället för specifika IP-adresser för att ge selektiv åtkomst till specifika tjänster i Azure, Microsoft Dynamics 365 och Microsoft 365. | Använd tjänsttaggar i nätverksregler så att du kan definiera åtkomstkontroller baserat på tjänstnamn i stället för specifika IP-adresser, vilket förenklar säkerhetshanteringen. Microsoft hanterar och uppdaterar dessa taggar automatiskt när IP-adresser ändras. Den här metoden säkerställer att brandväggsreglerna förblir korrekta och effektiva utan manuella åtgärder. |
| Använd FQDN-taggar i programregler för att ge selektiv åtkomst till specifika Microsoft-tjänster. Du kan använda en FQDN-tagg i programregler för att tillåta nödvändig utgående nätverkstrafik via brandväggen för specifika Azure-tjänster, till exempel Microsoft 365, Windows 365 och Microsoft Intune. |
Använd FQDN-taggar i Azure Firewall-programregler för att representera en grupp FQDN:er som är associerade med välkända Microsoft-tjänster. Den här metoden förenklar hanteringen av nätverkssäkerhetsregler. |
| Aktivera hotinformation i Azure Firewall i aviserings- och neka-läge . | Använd hotinformation för att ge realtidsskydd mot nya hot, vilket minskar risken för cyberattacker. Den här funktionen använder Microsofts flöde för hotinformation för att automatiskt avisera och blockera trafik från kända skadliga IP-adresser, domäner och URL:er. |
| Aktivera IDPS i aviserings- eller aviseringsläge och neka. Överväg prestandapåverkan för den här funktionen. | Aktivera IDPS-filtrering i Azure Firewall ger realtidsövervakning och analys av nätverkstrafik för att identifiera och förhindra skadliga aktiviteter. Den här funktionen använder signaturbaserad identifiering för att snabbt identifiera kända hot och blockera dem innan de orsakar skada. Mer information finns i Identifiera missbruk. |
| Använd en intern certifikatutfärdare (CA) för att generera certifikat när du använder TLS-inspektion med Azure Firewall Premium. Använd endast självsignerade certifikat för testning och konceptbevis (PoC). | Aktivera TLS-inspektion så att Azure Firewall Premium avslutar och inspekterar TLS-anslutningar för att identifiera, varna och minimera skadlig aktivitet i HTTPS. |
| Använd Firewall Manager för att skapa och associera en Azure DDoS Protection-plan med ditt virtuella hubbnätverk. Den här metoden gäller inte för Virtual WAN. | Konfigurera en Azure DDoS Protection-plan så att du kan hantera DDoS-skydd centralt tillsammans med dina brandväggsprinciper. Den här metoden effektiviserar hur du hanterar nätverkssäkerheten och förenklar hur du distribuerar och övervakar processer. |
Kostnadsoptimering
Kostnadsoptimering fokuserar på att identifiera utgiftsmönster, prioritera investeringar inom kritiska områden och optimera i andra för att uppfylla organisationens budget samtidigt som affärskraven uppfylls.
Designprinciperna för kostnadsoptimering ger en övergripande designstrategi för att uppnå dessa mål och göra kompromisser vid behov i den tekniska designen som rör Azure Firewall och dess miljö.
Checklista för design
Starta din designstrategi baserat på checklistan för designgranskning för kostnadsoptimering för investeringar. Finjustera designen så att arbetsbelastningen är i linje med den budget som allokeras för arbetsbelastningen. Din design bör använda rätt Azure-funktioner, övervaka investeringar och hitta möjligheter att optimera över tid.
Välj en Azure Firewall-SKU som ska distribueras. Välj mellan tre SKU:er för Azure Firewall: Basic, Standard och Premium. Använd Azure Firewall Premium för att skydda mycket känsliga program, till exempel betalningsbearbetning. Använd Azure Firewall Standard om din arbetsbelastning behöver en Layer 3 till Layer 7-brandvägg och behöver automatisk skalning för att hantera trafiktoppar på upp till 30 Gbit/s. Använd Azure Firewall Basic om du använder SMB och kräver upp till 250 Mbit/s dataflöde. Du kan nedgradera eller uppgradera mellan Standard- och Premium-SKU:er. Mer information finns i Välj rätt Azure Firewall SKU.
Ta bort oanvända brandväggsdistributioner och optimera underutnyttjade distributioner. Stoppa Azure Firewall-distributioner som inte behöver köras kontinuerligt. Identifiera och ta bort oanvända Azure Firewall-distributioner. För att minska driftskostnaderna övervakar och optimerar du användningen av brandväggsinstanser, konfiguration av Azure Firewall Manager-principer och antalet offentliga IP-adresser och principer som du använder.
Dela samma instans av Azure Firewall. Du kan använda en central instans av Azure Firewall i hubbens virtuella nätverk eller virtual WAN-säker hubb och dela samma Azure Firewall-instans över virtuella ekernätverk som ansluter till samma hubb från samma region. Se till att du inte har oväntad trafik mellan regioner i en topologi med nav och eker.
Optimera trafiken genom brandväggen. Granska regelbundet trafik som Azure Firewall bearbetar. Hitta möjligheter att minska mängden trafik som passerar brandväggen.
Minska mängden loggdata som du lagrar. Azure Firewall kan använda Azure Event Hubs för att logga trafikens metadata och skicka dem till Log Analytics-arbetsytor, Azure Storage eller andra lösningar än Microsoft. Alla loggningslösningar medför kostnader för att bearbeta data och tillhandahålla lagring. Stora mängder data kan medföra betydande kostnader. Överväg en kostnadseffektiv metod och alternativ till Log Analytics och beräkna kostnaden. Fundera på om du behöver logga trafikmetadata för alla loggningskategorier.
Rekommendationer
| Rekommendation | Förmån |
|---|---|
| Stoppa Azure Firewall-distributioner som inte behöver köras kontinuerligt. Du kan ha utvecklings- eller testmiljöer som du bara använder under kontorstid. Mer information finns i Frigöra och allokera Azure Firewall. | Stäng av dessa distributioner under låg belastning eller vid inaktivitet för att minska onödiga utgifter men upprätthålla säkerhet och prestanda under kritiska tider. |
| Granska regelbundet trafik som Azure Firewall bearbetar och hitta ursprungliga arbetsbelastningsoptimeringar. Loggen för de översta flödena, även kallad fettflödesloggen, visar de vanligaste anslutningarna som bidrar till det högsta dataflödet genom brandväggen. | Optimera arbetsbelastningar som genererar mest trafik via brandväggen för att minska mängden trafik, vilket minskar belastningen på brandväggen och minimerar kostnaderna för databearbetning och bandbredd. |
| Identifiera och ta bort oanvända Azure Firewall-distributioner. Analysera övervakningsmått och UDR:er som är associerade med undernät som pekar på brandväggens privata IP-adress. Överväg även andra valideringar och intern dokumentation om din miljö och distributioner. Du kan till exempel analysera klassiska NAT-, nätverks- och programregler för Azure Firewall. Och tänk på dina inställningar. Du kan till exempel konfigurera DNS-proxyinställningen till Inaktiverad. Mer information finns i Övervaka Azure Firewall. |
Använd den här metoden för att identifiera kostnadseffektiva distributioner över tid och eliminera oanvända resurser, vilket förhindrar onödiga kostnader. |
| Granska brandväggshanterarens principer, associationer och arv noggrant för att optimera kostnaden. Principer faktureras baserat på brandväggsassociationer. En princip med noll eller en brandväggsassociation är kostnadsfri. En princip med flera brandväggsassociationer debiteras med fast hastighet. Mer information finns i Prissättning för Firewall Manager. |
Använd Firewall Manager och dess principer korrekt för att minska driftskostnaderna, öka effektiviteten och minska hanteringskostnaderna. |
| Granska alla offentliga IP-adresser i konfigurationen och koppla bort och ta bort de som du inte använder. Utvärdera portanvändningen för källnätverksadressöversättning (SNAT) innan du tar bort ip-adresser. Mer information finns i Övervaka Azure Firewall-loggar och mått och SNAT-portanvändning. |
Ta bort oanvända IP-adresser för att minska kostnaderna. |
Driftseffektivitet
Operational Excellence fokuserar främst på procedurer för utvecklingsmetoder, observerbarhet och versionshantering.
Designprinciperna för operational excellence tillhandahåller en övergripande designstrategi för att uppnå dessa mål för arbetsbelastningens driftskrav.
Checklista för design
Starta din designstrategi baserat på checklistan för designgranskning för operational excellence för att definiera processer för observerbarhet, testning och distribution som är relaterade till Azure Firewall.
Använd Firewall Manager med traditionella topologier för nav och ekrar eller virtual WAN-nätverkstopologier för att distribuera och hantera instanser av Azure Firewall. Använd interna säkerhetstjänster för trafikstyrning och skydd för att skapa hubb- och ekerarkitekturer och transitiva arkitekturer. Mer information finns i Nätverkstopologi och anslutning.
Migrera klassiska Azure Firewall-regler till Firewall Manager-principer för befintliga distributioner. Använd Firewall Manager för att centralt hantera dina brandväggar och principer. Mer information finns i Migrera till Azure Firewall Premium.
Underhåll regelbundna säkerhetskopior av Azure Policy-artefakter. Om du använder en infrastruktur-som-kod-metod för att underhålla Azure Firewall och alla beroenden bör du ha säkerhetskopiering och versionshantering av Azure Firewall-principer på plats. Om du inte gör det kan du distribuera en kompletterande mekanism som baseras på en extern logikapp för att tillhandahålla en effektiv automatiserad lösning.
Övervaka Azure Firewall-loggar och mått. Dra nytta av diagnostikloggar för brandväggsövervakning och felsökning och aktivitetsloggar för granskningsåtgärder.
Analysera övervakningsdata för att utvärdera systemets övergripande hälsa. Använd den inbyggda Azure Firewall-övervakningsarbetsboken, bekanta dig med KQL-frågor (Kusto-frågespråk) och använd instrumentpanelen för principanalys för att identifiera potentiella problem.
Definiera aviseringar för viktiga händelser så att operatörer snabbt kan svara på dem.
Dra nytta av plattformsbaserade identifieringsmekanismer i Azure för att upptäcka missbruk. Integrera Azure Firewall med Microsoft Defender för molnet och Microsoft Sentinel om möjligt. Integrera med Defender för molnet så att du kan visualisera statusen för nätverksinfrastruktur och nätverkssäkerhet på ett ställe, inklusive Azure-nätverkssäkerhet i alla virtuella nätverk och virtuella hubbar i olika regioner i Azure. Integrera med Microsoft Sentinel för att tillhandahålla funktioner för hotidentifiering och skydd.
Rekommendationer
| Rekommendation | Förmån |
|---|---|
| Aktivera diagnostikloggar för Azure Firewall. Använd brandväggsloggar eller arbetsböcker för att övervaka Azure Firewall. Du kan också använda aktivitetsloggar till att granska åtgärder som utförs på Azure Firewall-resurser. Använd formatet för strukturerade brandväggsloggar . Använd endast det tidigare diagnostikloggformatet om du har ett befintligt verktyg som kräver det. Aktivera inte båda loggningsformaten samtidigt. |
Aktivera diagnostikloggar för att optimera dina övervakningsverktyg och strategier för Azure Firewall. Använd strukturerade brandväggsloggar för att strukturera loggdata så att det är enkelt att söka, filtrera och analysera. De senaste övervakningsverktygen baseras på den här typen av logg, så det är ofta en förutsättning. |
| Använd den inbyggda Azure Firewall-arbetsboken. | Använd Azure Firewall-arbetsboken för att extrahera värdefulla insikter från Azure Firewall-händelser, analysera dina program- och nätverksregler och granska statistik om brandväggsaktiviteter mellan URL:er, portar och adresser. |
| Övervaka Loggar och mått för Azure Firewall och skapa aviseringar för Azure Firewall-kapacitet. Skapa aviseringar för att övervaka dataflöde, brandväggens hälsotillstånd, SNAT-portanvändning och avsökningsmått för AZFW-svarstid. | Konfigurera aviseringar för viktiga händelser för att meddela operatörer innan potentiella problem uppstår, hjälpa till att förhindra störningar och initiera snabba kapacitetsjusteringar. |
| Granska regelbundet instrumentpanelen för principanalys för att identifiera potentiella problem. | Använd principanalys för att analysera effekten av dina Azure Firewall-principer. Identifiera potentiella problem i dina principer, till exempel uppfylla principgränser, felaktiga regler och felaktig användning av IP-grupper. Få rekommendationer för att förbättra din säkerhetsstatus och prestanda för regelbearbetning. |
| Förstå KQL-frågor så att du kan använda Azure Firewall-loggar för att snabbt analysera och felsöka problem. Azure Firewall innehåller exempelfrågor. | Använd KQL-frågor för att snabbt identifiera händelser i brandväggen och kontrollera vilken regel som utlöses eller vilken regel som tillåter eller blockerar en begäran. |
Prestandaeffektivitet
Prestandaeffektivitet handlar om att upprätthålla användarupplevelsen även när belastningen ökar genom att hantera kapaciteten. Strategin omfattar skalning av resurser, identifiering och optimering av potentiella flaskhalsar och optimering för högsta prestanda.
Designprinciperna för prestandaeffektivitet ger en designstrategi på hög nivå för att uppnå dessa kapacitetsmål mot den förväntade användningen.
Checklista för design
Starta din designstrategi baserat på checklistan för designgranskning för prestandaeffektivitet. Definiera en baslinje som baseras på viktiga prestandaindikatorer för Azure Firewall.
Optimera din Azure Firewall-konfiguration i enlighet med rekommendationerna för välarkitekterat ramverk för att optimera kod och infrastruktur och säkerställa högsta drift. För att upprätthålla ett effektivt och säkert nätverk kan du regelbundet granska och optimera brandväggsregler. Den här metoden hjälper till att säkerställa att brandväggskonfigurationerna förblir effektiva och uppdaterade med de senaste säkerhetshoten.
Utvärdera principkrav och hitta möjligheter att sammanfatta IP-intervall och URL-listor. Använd webbkategorier för att tillåta eller neka utgående åtkomst i grupp för att effektivisera hanteringen och förbättra säkerheten. Utvärdera prestandapåverkan för IDPS i aviserings- och neka-läge eftersom den här konfigurationen kan påverka nätverksfördröjning och dataflöde. Konfigurera offentliga IP-adresser för att stödja dina SNAT-portkrav. Följ dessa metoder för att skapa en robust och skalbar nätverkssäkerhetsinfrastruktur.
Använd inte Azure Firewall för trafikkontroll inom virtuella nätverk. Använd Azure Firewall för att styra följande typer av trafik:
- Trafik över virtuella nätverk
- Trafik mellan virtuella nätverk och lokala nätverk
- Utgående trafik till Internet
- Inkommande icke-HTTP- eller icke-HTTPS-trafik
För trafikkontroll inom virtuella nätverk använder du nätverkssäkerhetsgrupper.
Värm upp Azure Firewall korrekt före prestandatester. Skapa inledande trafik som inte ingår i dina belastningstester 20 minuter före testerna. Använd diagnostikinställningar för att samla in uppskalnings- och nedskalningshändelser. Du kan använda Azure Load Testing-tjänsten för att generera den inledande trafiken så att du kan skala upp Azure Firewall till det maximala antalet instanser.
Konfigurera ett Azure Firewall-undernät med ett /26-adressutrymme. Du behöver ett dedikerat undernät för Azure Firewall. Azure Firewall etablerar mer kapacitet när den skalar. Ett /26-adressutrymme säkerställer att brandväggen har tillräckligt med IP-adresser för att hantera skalningen. Azure Firewall kräver inte ett undernät som är större än /26. Namnge Azure Firewall-undernätet AzureFirewallSubnet.
Aktivera inte avancerad loggning om du inte behöver den. Azure Firewall tillhandahåller vissa avancerade loggningsfunktioner som kan medföra betydande kostnader för att hålla aktiv. I stället kan du endast använda de här funktionerna för felsökningsändamål och under en begränsad tid. Inaktivera funktioner när du inte behöver dem. Till exempel är toppflöden och flödesspårningsloggar dyra och kan orsaka överdriven processor- och lagringsanvändning i Azure Firewall-infrastrukturen.
Rekommendationer
| Rekommendation | Förmån |
|---|---|
| Använd instrumentpanelen för principanalys för att identifiera sätt att optimera Azure Firewall-principer. | Använd principanalys för att identifiera potentiella problem i dina principer, till exempel uppfylla principgränser, felaktiga regler och felaktig användning av IP-grupper. Få rekommendationer för att förbättra din säkerhetsstatus och prestanda för regelbearbetning. |
| Placera vanliga regler tidigt i en grupp för att optimera svarstiden för Azure Firewall-principer som har stora regeluppsättningar. Mer information finns i Använda Azure Firewall-principer för att bearbeta regler. |
Placera regler som används ofta högt i en regeluppsättning för att optimera bearbetningsfördröjningen. Azure Firewall bearbetar regler baserat på regeltyp, arv, gruppprioritet för regelsamling och prioritet för regelsamling. Azure Firewall bearbetar regelsamlingsgrupper med hög prioritet först. I en regelsamlingsgrupp bearbetar Azure Firewall regelsamlingar som har högst prioritet först. |
| Använd IP-grupper för att sammanfatta IP-adressintervall och undvika att överskrida gränsen för unika käll- eller unika målnätverksregler. Azure Firewall behandlar IP-gruppen som en enda adress när du skapar nätverksregler. | Den här metoden ökar effektivt antalet IP-adresser som du kan täcka utan att överskrida gränsen. För varje regel multiplicerar Azure portar med IP-adresser. Så om en regel har fyra IP-adressintervall och fem portar använder du 20 nätverksregler. |
| Använd Azure Firewall-webbkategorier för att tillåta eller neka utgående åtkomst i bulk, i stället för att uttryckligen skapa och underhålla en lång lista över offentliga webbplatser. | Den här funktionen kategoriserar webbinnehåll dynamiskt och tillåter skapandet av kompakta programregler, vilket minskar driftskostnaderna. |
| Utvärdera prestandapåverkan för IDPS i aviserings- och neka-läge . Mer information finns i Prestanda för Azure Firewall. | Aktivera IDPS i aviserings- och neka-läge för att identifiera och förhindra skadlig nätverksaktivitet. Den här funktionen kan medföra ett prestandastraff. Förstå effekten på din arbetsbelastning så att du kan planera i enlighet med detta. |
| Konfigurera Azure Firewall-distributioner med minst fem offentliga IP-adresser för distributioner som är känsliga för SNAT-portöverbelastning. | Azure Firewall stöder 2 496 portar för varje offentlig IP-adress som varje instans av Azure Virtual Machine Scale Sets använder. Den här konfigurationen ökar de tillgängliga SNAT-portarna med fem gånger. Som standard distribuerar Azure Firewall två vm-skalningsuppsättningar som stöder 4 992 portar för varje flödesmåls-IP, målport och TCP- eller UDP-protokoll. Brandväggen skalar upp till högst 20 instanser. |
Azure-principer
Azure tillhandahåller en omfattande uppsättning inbyggda principer som rör Azure Firewall och dess beroenden. Några av föregående rekommendationer kan granskas via Azure Policy. Du kan till exempel kontrollera om:
Nätverksgränssnitt bör inte ha offentliga IP-adresser. Den här principen nekar nätverksgränssnitt som har konfigurerats med en offentlig IP-adress. Offentliga IP-adresser gör det möjligt för Internetresurser att kommunicera inkommande till Azure-resurser, och Azure-resurser kan kommunicera utgående till Internet.
All Internettrafik ska dirigeras via din distribuerade Azure Firewall-instans. Azure Security Center identifierar att vissa av dina undernät inte skyddas med en nästa generations brandvägg. Skydda dina undernät mot potentiella hot. Använd Azure Firewall eller en nästa generations brandvägg som stöds för att begränsa åtkomsten till dina undernät.
Omfattande styrning finns i de inbyggda Definitionerna för Azure Policy för Azure Firewall och andra principer som kan påverka nätverkets säkerhet.
Azure Advisor-rekommendationer
Azure Advisor är en anpassad molnkonsult som hjälper dig att följa bästa praxis för att optimera dina Azure-distributioner. Här följer några rekommendationer som kan hjälpa dig att förbättra tillförlitligheten, säkerheten, kostnadseffektiviteten, prestandan och driftskvaliteten i Azure Firewall.
Nästa steg
Se följande resurser som visar rekommendationerna i den här artikeln.
Använd följande referensarkitekturer som exempel på hur du tillämpar den här artikelns vägledning på en arbetsbelastning:
Använd följande resurser för att förbättra din implementeringsexpertis:
Se andra resurser: