Dieser Beitrag wurde von Gopikrishna Kannan, Hauptprogrammmanager, Azure Networking, und Suren Jamiyanaa, Programmmanager, Azure Networking, gemeinsam verfasst.

Ankündigung der Vorschauversion von Azure Firewall Premium.

Azure Firewall Premium bietet Firewall-Funktionen der nächsten Generation, die für hochsensible und regulierte Umgebungen erforderlich sind.

Mit dieser Azure Firewall Premium-Version können Sie jetzt die folgenden neuen Funktionen verwenden:

TLS-Inspektion: Azure Firewall Premium beendet ausgehende und Ost-West-TLS-Verbindungen. Eingehende TLS-Überprüfungen werden in Verbindung mit Azure Application Gateway unterstützt und ermöglichen eine End-to-End-Verschlüsselung. Die Azure Firewall führt die erforderlichen Sicherheitsfunktionen mit Mehrwert aus und verschlüsselt den an das ursprüngliche Ziel gesendeten Datenverkehr erneut.

IDPS: Azure Firewall Premium bietet ein signaturbasiertes Intrusion Detection and Prevention System (IDPS), mit dem Angriffe schnell erkannt werden können, indem nach bestimmten Mustern gesucht wird, z. B. nach Byte-Sequenzen im Netzwerkverkehr oder nach bekannten böswilligen Anweisungssequenzen, die von Malware verwendet werden.

Webkategorien: Ermöglicht Administratoren das Filtern des ausgehenden Benutzerzugriffs auf das Internet anhand von Kategorien. Zum Beispiel soziale Netzwerke, Suchmaschinen, Glücksspiele usw., wodurch der Zeitaufwand für die Verwaltung einzelner FQDNs und URLs reduziert wird. Diese Funktion ist auch für Azure Firewall Standard verfügbar, der nur auf vollqualifizierten Domänennamen basiert.

URL-Filterung: Ermöglicht Administratoren das Filtern des ausgehenden Zugriffs auf bestimmte URLs, nicht nur auf vollqualifizierte Domänennamen. Diese Funktion funktioniert sowohl für Klartext als auch für verschlüsselten Datenverkehr, wenn die TLS-Überprüfung aktiviert ist.

Azure Firewall Premium verwendet die Firewall-Richtlinie, eine globale Ressource, mit der Sie Ihre Firewalls mithilfe von Azure Firewall Manager zentral verwalten können. Ab dieser Version können alle neuen Funktionen nur mit der Firewall-Richtlinie konfiguriert werden. Dies umfasst TLS-Inspektion, IDPS, URL-Filterung, Webkategorien und mehr. Firewall-Regeln (Classic) werden weiterhin unterstützt und können zum Konfigurieren vorhandener Funktionen der Standard-Firewall verwendet werden. Die Firewall-Richtlinie kann unabhängig oder mit Azure Firewall Manager verwaltet werden. Eine Firewall-Richtlinie, die einer einzelnen Firewall zugeordnet ist, ist kostenlos.

Erstellen einer neuen Premium-Firewall

Um diese neuen Premium-Funktionen nutzen zu können, muss eine neue Premium-Firewall erstellt werden. Dies kann über das Azure-Portal erfolgen (siehe Abbildung 1 unten):

Abbildung 1 – Erstellen Sie eine neue Premium-Firewall.

Sie können entscheiden, ob Sie eine neue Richtlinie für diese Firewall erstellen oder eine vorhandene Firewall-Richtlinie verwenden und an die Firewall anhängen möchten. Die Premium-Firewall ist vollständig mit Standard- und Premium-Richtlinien kompatibel. Sie müssen jedoch eine Premium-Richtlinie verwenden, wenn Sie die neuen Premium-Funktionen wie TLS Inspection, IDPS usw. verwenden möchten.

TLS-Inspektion

Transport Layer Security (TLS), früher als Secure Sockets Layer (SSL) bekannt, ist die Standardsicherheitstechnologie zum Herstellen einer verschlüsselten Verbindung zwischen einem Client und einem Server. Dieser Link stellt sicher, dass alle zwischen Client und Server übertragenen Daten privat und verschlüsselt bleiben.

Azure Firewall Premium fängt TLS-Verbindungen ab und überprüft sie über die vollständige Entschlüsselung der Netzwerkkommunikation. Es führt die erforderlichen Sicherheitsfunktionen mit Mehrwert aus und verschlüsselt den an das ursprüngliche Ziel gesendeten Datenverkehr erneut.

Die TLS-Inspektion mit Azure Firewall Premium bietet mehrere Vorteile:

1. Verbesserte Sichtbarkeit: Protokolle und Metriken sind für den gesamten entschlüsselten Datenverkehr verfügbar.

2. URL-Filterung: Eine URL ist im Gegensatz zu einem vollqualifizierten Domänennamen für die Firewall nicht zugänglich, wenn der Datenverkehr verschlüsselt ist. URLs bieten eine strengere Filterung des ausgehenden Datenverkehrs für Domänen, die für verschiedene Kunden gleich sind (z. B. OneDrive.live.com).

3. IDPS: Während einige Erkennungen für verschlüsselten Datenverkehr durchgeführt werden können, ist die TLS-Überprüfung wichtig, um das Beste aus IDPS herauszuholen.

Die TLS-Inspektionsfunktion von Azure Firewall Premium ist eine ideale Lösung für die folgenden Anwendungsfälle:

1. Ausgehende TLS-Beendigung.

2. Spoke-to-Spoke-TLS-Terminierung (Ost-West).

3. Eingehende TLS-Beendigung ist auf Application Gateway verfügbar. Die Firewall kann hinter Application Gateway bereitgestellt werden und den entschlüsselten Datenverkehr überprüfen. Wenn Application Gateway mit End-to-End-Verschlüsselung konfiguriert ist, kann die Firewall den vom Application Gateway empfangenen Datenverkehr zur weiteren Überprüfung entschlüsseln und erneut verschlüsseln, bevor er an den Zielwebserver weitergeleitet wird. Erfahren Sie mehr über die verschiedenen Anwendungsfälle für eingehende TLS-Beendigung.

Diese Anwendungsfälle ermöglichen es Kunden, a Null Vertrauen Modellierung und vollständige Netzwerksegmentierung in ihren Bereitstellungen über End-to-End-Verschlüsselung.

Um die TLS-Überprüfung in Ihrer Premium-Firewall zu aktivieren, aktivieren Sie das Optionsfeld Aktivieren, wählen Sie Ihr CA-Zertifikat in Azure Key Vault aus und konfigurieren Sie die Azure-Firewall-Richtlinie wie in Abbildung 2 dargestellt:

Abbildung 2 – TLS-Inspektion aktivieren

Azure Key Vault ist ein plattformverwalteter Geheimspeicher, mit dem Sie Geheimnisse, Schlüssel und TLS / SSL-Zertifikate schützen können. Azure Firewall Premium unterstützt die Integration mit Key Vault für Serverzertifikate, die an eine Firewallrichtlinie angehängt sind.

Sie können eine vorhandene vom Benutzer zugewiesene verwaltete Identität erstellen oder wiederverwenden, mit der die Azure-Firewall in Ihrem Namen Zertifikate aus Key Vault abruft. Weitere Informationen finden Sie unter Was sind verwaltete Identitäten für Azure-Ressourcen?

In einer typischen Bereitstellung können drei Arten von Zertifikaten verwendet werden:

  1. Stammzertifizierungsstellenzertifikat (Stammzertifikat). Eine selbstsignierte Zertifizierungsstelle, die mehrere CA-Zwischenzertifikate ausstellen kann, die wiederum mehrere Zertifikate in Form einer Baumstruktur ausstellen können. Ein Stammzertifikat ist das oberste Zertifikat des Baums.
  2. CA-Zwischenzertifikat (CA-Zertifikat). Wenn ein Server einem Client, z. B. Ihrem Webbrowser, während des SSL / TLS-Handshakes ein Zertifikat vorlegt, versucht der Client, die Signatur anhand einer Liste von “bekanntermaßen guten” Unterzeichnern zu überprüfen. Webbrowser werden normalerweise mit Listen von Zertifizierungsstellen geliefert, denen sie implizit vertrauen, um Hosts zu identifizieren. Wenn die Berechtigung nicht in der Liste enthalten ist, wie bei einigen Sites, die ihre eigenen Zertifikate signieren, benachrichtigt der Browser den Benutzer, dass das Zertifikat nicht von einer anerkannten Autorität signiert ist, und fragt den Benutzer, ob er die Kommunikation mit der nicht verifizierten Site fortsetzen möchte.
  3. Serverzertifikat (Website-Zertifikat). Ein Zertifikat, das einem bestimmten Domänennamen zugeordnet ist. Wenn eine Website über ein gültiges Zertifikat verfügt, bedeutet dies, dass eine Zertifizierungsstelle Schritte unternommen hat, um zu überprüfen, ob die Webadresse zu dieser Organisation gehört. Wenn Sie eine URL eingeben oder einem Link zu einer sicheren Website folgen, überprüft Ihr Browser das Zertifikat auf folgende Merkmale:
  • Die Website-Adresse stimmt mit der Adresse auf dem Zertifikat überein.
  • Das Zertifikat wird von einer Zertifizierungsstelle signiert, die der Browser als “vertrauenswürdige” Berechtigung erkennt.

Wie in Abbildung 3 dargestellt, kann Azure Firewall Premium ausgehenden HTTP / S-Verkehr abfangen und automatisch ein Serverzertifikat für www.website.com generieren. Dieses Zertifikat wird mit dem vom Kunden bereitgestellten Zwischenzertifizierungsstellenzertifikat generiert. Endbenutzer-Browser- und Clientanwendungen müssen dem Stammzertifizierungsstellenzertifikat oder dem Zwischenzertifizierungsstellenzertifikat Ihres Unternehmens vertrauen, damit dieses Verfahren funktioniert.

Abbildung 3 – TLS-Inspektion aktivieren

Sobald die TLS-Inspektionskonfiguration abgeschlossen ist, können Sie neue Anwendungsregeln definieren, nach denen die TLS-Inspektion stattfinden soll (siehe Abbildung 4 unten).

Abbildung 4 – Aktivieren der TLS-Überprüfung in Anwendungsregeln

IDPS

Mit einem IDPS-System (Network Intrusion Detection and Prevention System) können Sie Netzwerkaktivitäten auf böswillige Aktivitäten überwachen, Informationen zu dieser Aktivität protokollieren, melden und optional versuchen, sie zu blockieren.

Azure Firewall Premium bietet signaturbasiertes IDPS, mit dem Angriffe schnell erkannt werden können, indem nach bestimmten Mustern gesucht wird, z. B. nach Byte-Sequenzen im Netzwerkverkehr oder nach bekannten böswilligen Anweisungssequenzen, die von Malware verwendet werden. Diese Funktion funktioniert für alle Ports und Protokolle. Wenn Sie mit ausgehendem HTTPS-Verkehr arbeiten, wird dieser am besten bei aktivierter TLS-Terminierung verwendet. Erwägen Sie für eingehenden HTTPS-Verkehr, ihn in Verbindung mit zu verwenden Azure WAF.

Um IDPS in Ihrer Premium-Firewall einzurichten, aktivieren Sie es, indem Sie den gewünschten Modus auswählen (siehe Abbildung 5 unten). Sie können den IDPS-Modus pro Signatur-ID weiter anpassen, um verrauschte Signaturen zu deaktivieren oder sie nur in Warnmeldungen zu verschieben. Sie können auch eine Bypass-Liste konfigurieren, um die Erkennung für bestimmte Netzwerksegmente zu überspringen, wenn dies von Ihrer Organisation benötigt wird.

Abbildung 5 – IDPS-Modus konfigurieren

Webkategorien

Mit Webkategorien in der Azure-Firewallrichtlinie können Administratoren den Benutzerzugriff auf das Internet basierend auf Kategorien zulassen oder verweigern. Zum Beispiel soziale Netzwerke, Suchmaschinen, Glücksspiele usw., wodurch der Zeitaufwand für die Verwaltung einzelner FQDNs und URLs reduziert wird.

Sie können Webkategorien als Zieltyp für Anwendungsregeln sowohl in den Azure Firewall Standard- als auch in den Azure Firewall Premium-SKUs verwenden. Der Hauptunterschied besteht darin, dass die Premium-SKU besser auf die Kategorisierung des Datenverkehrs basierend auf der vollständigen URL über TLS-Inspektion abgestimmt ist, während die Standard-SKU den Datenverkehr basierend auf dem vollqualifizierten Domänennamen kategorisiert. Administratoren können Webkategorien verwenden, um die Internetverkehrsnutzung eines Unternehmens zu protokollieren und anzuzeigen. Diese Funktion ist auch nützlich für die Arbeit von zu Hause aus und für das clientseitige Surfen im Internet, z. B. Windows Virtual Desktop oder RDP (Remote Desktop Protocol).

Abbildung 6 unten zeigt Anwendungsregeln für Azure Firewall-Richtlinien, bei denen Webkategorien als Zieltyp verwendet werden.

Abbildung 6 – Erlauben Sie ausgehenden Zugriff basierend auf Webkategorien.

URL-Filterung

Mit der URL-Filterung können Administratoren den ausgehenden Zugriff auf bestimmte URLs filtern, nicht nur auf vollqualifizierte Domänennamen. Diese Funktion funktioniert sowohl für Klartext als auch für verschlüsselten Datenverkehr, wenn die TLS-Beendigung aktiviert ist.

Diese Funktionalität kann auch in Verbindung mit Webkategorien verwendet werden, um eine bestimmte Kategorie zu erweitern, indem bei Bedarf explizit weitere URLs hinzugefügt werden, oder um den Zugriff auf URLs im Intranet Ihres Unternehmens zuzulassen / zu verweigern.

Wenn eine URL als Zieltyp verwendet wird, können Sie das Sternchen als Platzhalter auf der linken und rechten Seite der URL verwenden, jedoch nicht in der Mitte, wie in den folgenden Beispielen gezeigt:

1. URL = *. Contoso.com stimmt mit beiden überein www.contoso.com und any.contoso.com

2. URL = www.contoso.com / test / * stimmt überein www.contoso.com/test/anything

Abbildung 7 – Konfigurieren der URL-Filterung in Anwendungsregeln

Aktualisierungen der Firewall-Richtlinien

Diese Version enthält eine neue Firewall-Richtlinienebene für die Firewall Premium-Konfiguration sowie eine integrierte Funktion auf der Azure Firewall-Ressourcenseite.

Die Firewall-Richtlinie besteht aus zwei Ebenen: Standard und Premium. Standardmäßig sind alle vor dieser Version erstellten Richtlinien Standard. Standard-Tier-Richtlinien können mit Azure Firewall Standard verknüpft und von Premium-Tier-Richtlinien übernommen werden. Die Vererbung erleichtert die gemeinsame Nutzung von Konfigurationen zwischen Azure Firewall Standard- und Azure Firewall Premium-Bereitstellungen.

Sie können jetzt eine Firewall-Richtlinie erstellen und zuordnen, wenn Sie die Azure-Firewall im Portal erstellen. Firewall Classic-Regeln werden weiterhin unterstützt und können zum Konfigurieren von Funktionen verwendet werden, die vor dieser Version veröffentlicht wurden. Es wird jedoch empfohlen, auf die Firewall-Richtlinie zu migrieren, um die neuen Vorschaufunktionen nutzen zu können. Azure-Firewalls, die nach klassischen Regeln konfiguriert wurden, können mit dem einfach auf die Firewall-Richtlinie migriert werden Zur Firewall-Richtlinie migrieren Option auf der Azure Firewall-Ressourcenseite. Die Migration auf eine Firewall-Richtlinie verursacht keine Ausfallzeiten. Es wird jedoch empfohlen, die Migration während der Wartungsstunden durchzuführen. Die Standardschicht der Firewall-Richtlinie ist allgemein verfügbar und bietet eine vollständige SLA. In Verbindung mit einer einzelnen Bereitstellung ist die Firewall-Richtlinie kostenlos.

Neben der Unterstützung der Premium-Konfiguration bietet die Firewall-Richtlinie mehrere Vorteile, darunter die zentralisierte Verwaltung mit Firewall Manager, die Wiederverwendung der Konfiguration durch Vererbung und die Zuordnung von Richtlinien zu mehr als einer Azure-Firewall, die benutzerdefinierte RBAC für die CI / CD-Pipeline-Integration und vieles mehr. Weitere Informationen finden Sie in der Firewall-Richtlinie Dokumentationsseite.

Abbildung 8 – Migrieren Sie klassische Regeln zu Firewall-Richtlinien.

Nächste Schritte

Weitere Informationen zu allem, was wir in diesem Blogbeitrag behandelt haben, finden Sie im Folgenden:

.



Source link

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.