Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure Firewall ist ein verwalteter, cloudbasierter Netzwerksicherheitsdienst, der Ihre Azure Virtual Network-Ressourcen schützt. Als vollständig zustandsbehaftete Firewall als Dienst mit integrierter Hochverfügbarkeit und uneingeschränkter Cloudskalierbarkeit ist es wichtig, Azure Firewall ordnungsgemäß zu konfigurieren und abzusichern, um den Schutz für Ihre Cloudinfrastruktur und -anwendungen zu maximieren.
Dieser Artikel enthält Anleitungen zur optimalen Sicherung Ihrer Azure Firewall-Bereitstellung.
Netzwerksicherheit
Die Netzwerksicherheit für Azure Firewall konzentriert sich auf die ordnungsgemäße Bereitstellung in Ihrer virtuellen Netzwerkinfrastruktur und stellt sichere Datenverkehrsüberprüfungsfunktionen sicher. Azure Firewall dient als zentraler Punkt für die Durchsetzung der Netzwerksicherheit, wodurch die richtige Konfiguration für den Schutz Ihres gesamten Netzwerkperimeters unerlässlich ist.
Bereitstellen von Azure Firewall in einem dedizierten Subnetz: Stellen Sie immer Azure Firewall in ihrem eigenen dedizierten Subnetz namens "AzureFirewallSubnet" in Ihrem virtuellen Netzwerk bereit. Dieses Subnetz erfordert eine Mindestgröße von /26 und sollte nicht über angewendete Netzwerksicherheitsgruppen verfügen, da Azure Firewall über einen integrierten Plattformschutz verfügt. Weitere Informationen finden Sie im Lernprogramm: Sichern Ihres virtuellen Hubnetzwerks mit Azure Firewall Manager.
Aktivieren Sie die auf Bedrohungsintelligenz basierende Filterung: Konfigurieren Sie die auf Bedrohungserkennung basierende Filterung, um den Datenverkehr von bekannten bösartigen IP-Adressen, FQDNs und URLs zu benachrichtigen und zu verweigern. Dieses Feature verarbeitet die Regeln vor jeglichen NAT-, Netzwerk- oder Anwendungsregeln und bietet Schutz basierend auf dem Bedrohungsinformations-Feed von Microsoft. Beginnen Sie im Warnmodus und schreiten Sie nach dem Testen zum Warn- und Ablehnungsmodus fort. Weitere Informationen finden Sie unter Threat Intelligence-gestütztes Filtern für Azure Firewall.
Implementieren Sie IDPS für die erweiterte Bedrohungserkennung: Verwenden Sie das Intrusion Detection and Prevention System (IDPS) von Azure Firewall Premium, um Netzwerkaktivitäten auf böswillige Muster und Signaturen zu überwachen. IDPS bietet signaturbasierte Erkennung mit über 67.000 Regeln über 50 Kategorien hinweg und kann im Warnungs- oder Verweigerungsmodus ausgeführt werden. Weitere Informationen finden Sie unter Azure Firewall Premium-Features.
Konfigurieren sie die DNS-Proxyfunktionalität: Aktivieren Sie das DNS-Proxyfeature der Azure Firewall, um eine konsistente Namensauflösung zwischen Clients und der Firewall sicherzustellen. Dadurch werden Probleme verhindert, bei denen Clients und Firewall FQDNs auf verschiedene IP-Adressen beheben, was zu Verbindungsfehlern führen kann. Weitere Informationen finden Sie unter Azure Firewall DNS Proxy Details.
Verwenden Sie erzwungenes Tunneling für Hybridumgebungen: Konfigurieren Sie erzwungenes Tunneln, wenn Sie internetgebundenen Datenverkehr über lokale Sicherheitsgeräte weiterleiten müssen. Aktivieren Sie die Verwaltungs-NIC, um diese Konfiguration zu unterstützen und gleichzeitig die Firewallverwaltungskonnektivität aufrechtzuerhalten. Weitere Informationen finden Sie unter Azure Firewall-Tunnelerzwingung.
Aktivieren Sie die TLS-Inspektion für verschlüsselten Datenverkehr: Konfigurieren Sie Azure Firewall Premium, um TLS-Datenverkehr zu prüfen, indem Sie TLS-Inspektionsfeatures aktivieren. Dadurch werden dedizierte TLS-Verbindungen erstellt, um verschlüsselten Datenverkehr bei gleichzeitiger Aufrechterhaltung der Sicherheit zu untersuchen. Sie müssen Zertifikate über Azure Key Vault für diese Funktionalität bereitstellen. Weitere Informationen finden Sie unter Azure Firewall Premium-Features.
Implementieren Sie die Filterung von Webkategorien: Verwenden Sie Webkategorien, um den Zugriff auf bestimmte Websitekategorien wie Glücksspiele, soziale Medien oder erwachsene Inhalte zuzulassen oder zu verweigern. Azure Firewall Premium bietet genauere Kontrolle, indem die vollständige URL anstelle des Domänennamens untersucht wird. Weitere Informationen finden Sie in den Azure Firewall-Webkategorien.
Konfigurieren Sie mehrere öffentliche IP-Adressen: Fügen Sie mehrere öffentliche IP-Adressen hinzu, um die SNAT-Portausschöpfung zu verhindern, die 2.496 SNAT-Ports pro zusätzlicher öffentlicher IP bereitstellt. Erwägen Sie die Verwendung des Azure NAT-Gateways für erweiterte SNAT-Funktionen in Szenarien mit hohem Datenverkehr. Weitere Informationen finden Sie unter Bewährte Methoden für die Leistung der Azure Firewall.
Datenschutz
Der Datenschutz in Azure Firewall konzentriert sich auf die Sicherung von Datenverkehr während der Übertragung und ordnungsgemäße Verwaltung von Zertifikaten. Da Azure Firewall Netzwerkdatenverkehr verarbeitet, ist die Gewährleistung einer ordnungsgemäßen Verschlüsselung und Zertifikatverwaltung für die Aufrechterhaltung der Datensicherheit von entscheidender Bedeutung.
Verwenden Sie die plattformverwaltete Verschlüsselung für ruhende Daten: Die Azure Firewall verschlüsselt alle ruhenden Kundeninhalte automatisch mit von Microsoft verwalteten Plattformschlüsseln. Dazu gehören abgeleitete Zertifikate, die aus Kundenzertifikaten im Key Vault generiert werden, und sicherstellen, dass Ihre Konfigurationsdaten ohne zusätzliche Konfiguration geschützt bleiben.
Implementieren der TLS-Inspektion mit ordnungsgemäßer Zertifikatverwaltung: Konfigurieren Sie bei Verwendung von TLS-Inspektionsfeatures die Azure Firewall so, dass Zertifikate verwendet werden, die in Azure Key Vault gespeichert sind. Die Firewall generiert abgeleitete Zertifikate von Ihrem Kundenzertifikat, wobei die Sicherheitskette beibehalten wird, während die Datenverkehrsüberprüfungsfunktionen aktiviert werden. Weitere Informationen finden Sie unter Azure Firewall Premium-Zertifikate.
Erzwingen von Protokollen für sichere Übertragungen: Konfigurieren Sie Ihre Firewallrichtlinien, um HTTPS für Webanwendungen und Dienste zu erzwingen, um sicherzustellen, dass TLS v1.2 oder höher verwendet wird. Deaktivieren Sie ältere Protokolle wie SSL 3.0 und TLS v1.0, um starke Verschlüsselungsstandards aufrechtzuerhalten.
Verwenden Sie die URL-Filterung zur granularen Kontrolle: Aktivieren Sie die URL-Filterung, um FQDN-Filterfunktionen zu erweitern, um ganze URLs anstelle von Domänennamen zu berücksichtigen. Dies ermöglicht eine genauere Kontrolle über den Webdatenverkehr und verringert das Risiko, über legitime Domänen auf bösartige Inhalte zuzugreifen. Weitere Informationen finden Sie unter Azure Firewall Premium-Features.
Privilegierter Zugriff
Die Sicherheit des privilegierten Zugriffs für Azure Firewall konzentriert sich auf die Steuerung des administrativen Zugriffs und die Implementierung der richtigen Governance für Firewallverwaltungsvorgänge.
Verwenden von Azure Policy für Governance und Compliance: Implementieren Sie Azure Policy-Definitionen, um Sicherheitsanforderungen wie das Aktivieren von Bedrohungserkennung, die Bereitstellung über Verfügbarkeitszonen hinweg und die Sicherstellung, dass nur verschlüsselter Datenverkehr zulässig ist, zu erzwingen. Verwenden Sie integrierte Richtlinien wie "Azure-Firewall-Richtlinie sollte Bedrohungsinformationen aktivieren", um die Konformität aufrechtzuerhalten. Weitere Informationen finden Sie unter Verwenden von Azure-Richtlinien, um Ihre Azure Firewall-Bereitstellungen zu schützen.
Implementieren Sie den geringsten Berechtigungszugriff mit RBAC: Wenden Sie die rollenbasierte Zugriffssteuerung an, um einzuschränken, wer Firewallkonfigurationen und -richtlinien ändern kann. Verwenden Sie bestimmte Azure Firewall-Rollen und benutzerdefinierte Rollen, um sicherzustellen, dass Benutzer nur über die mindestberechtigungen verfügen, die für ihre Zuständigkeiten erforderlich sind.
Aktivieren Sie Richtlinienanalysen für die Regeloptimierung: Verwenden Sie Azure Firewall Policy Analytics, um nicht verwendete Regeln zu identifizieren, die Regelleistung zu optimieren und saubere Sicherheitsrichtlinien zu verwalten. Dadurch wird die Angriffsfläche reduziert und die Leistung der Firewall verbessert. Weitere Informationen finden Sie unter Verwenden von Azure-Richtlinien, um Ihre Azure Firewall-Bereitstellungen zu schützen.
Protokollierung und Bedrohungserkennung
Umfassende Protokollierung und Überwachung sind für die Azure Firewall-Sicherheit unerlässlich, wodurch Bedrohungserkennung, Sicherheitsuntersuchung und Complianceberichte ermöglicht werden. Die richtige Protokollkonfiguration bietet Einblicke in Netzwerkdatenverkehrsmuster und Sicherheitsereignisse.
Aktivieren Sie die Diagnoseprotokollierung von Azure Firewall: Konfigurieren Sie Diagnoseeinstellungen, um Azure Firewall-Protokolle und -Metriken zu erfassen, und senden Sie sie an Ihre bevorzugte Datensenke, z. B. einen Log Analytics-Arbeitsbereich, ein Speicherkonto oder einen Event Hub. Dies enthält detaillierte Informationen zu zulässigen und verweigerten Datenverkehr, Bedrohungserkennungstreffern und Firewallleistung. Weitere Informationen finden Sie unter Überwachen von Azure Firewall-Protokollen und Metriken.
Integration in Microsoft Sentinel für die erweiterte Bedrohungserkennung: Verbinden Sie Azure Firewall-Protokolle mit Microsoft Sentinel, um erweiterte Sicherheitsanalysen, Korrelation mit anderen Sicherheitsereignissen und automatisierte Antwortfunktionen zu ermöglichen. Verwenden Sie den Azure Firewall-Connector, um Schadsoftware zu erkennen und Bedrohungsmuster zu analysieren. Weitere Informationen finden Sie unter Erkennen von Schadsoftware mit Azure Firewall und Microsoft Sentinel.
Überwachen von Warnungen zur Bedrohungserkennung: Konfigurieren Sie die Überwachung für Bedrohungserkennungswarnungen, um Datenverkehr aus bekannten schädlichen Quellen schnell zu identifizieren und darauf zu reagieren. Richten Sie automatisierte Antworten für Übereinstimmungen mit hoher Priorität für Threat Intelligence ein, um Angreifer zu blockieren, bevor sie Persistenz herstellen können.
Konfigurieren der Leistungsüberwachung und Warnung: Verwenden Sie Azure Monitor, um Firewallleistungsmetriken zu verfolgen, einschließlich Durchsatz, Latenz, SNAT-Portauslastung und Regeltrefferanzahl. Richten Sie Warnungen für kritische Schwellenwerte ein, um eine optimale Firewallleistung sicherzustellen und Dienstunterbrechungen zu verhindern. Weitere Informationen finden Sie unter Bewährte Methoden für die Leistung der Azure Firewall.
Implementieren Sie die Anpassung der IDPS-Signaturregel: Passen Sie IDPS-Signaturregeln an, indem Sie ihren Modus von Warnung zu Warnung und Ablehnung für Bedrohungen mit hoher Priorität ändern oder Signaturen deaktivieren, die falsch positive Ergebnisse generieren. Verwenden Sie intelligente Suchfunktionen, um bestimmte Signaturen nach CVE-ID oder anderen Attributen zu finden.
Konfigurieren von Protokollaufbewahrungsrichtlinien: Legen Sie geeignete Aufbewahrungsrichtlinien für Protokolle basierend auf Ihren Complianceanforderungen und Untersuchungsanforderungen fest. Stellen Sie sicher, dass Protokolle lange genug aufbewahrt werden, um Sicherheitsuntersuchungen zu unterstützen und behördliche Verpflichtungen zu erfüllen.
Vermögensverwaltung
Die Bestandsverwaltung für Azure Firewall umfasst die Verwendung der Azure-Richtlinie für die Konfigurationsüberwachung und -durchsetzung, um einen konsistenten Sicherheitsstatus für Ihre Firewallbereitstellungen sicherzustellen.
Implementieren Sie Azure-Richtlinie für die Erzwingung der Konfiguration: Verwenden Sie Azure-Richtlinie, um Azure Firewall-Konfigurationen in Ihrer Gesamten Umgebung zu überwachen und zu erzwingen. Stellen Sie Richtlinien bereit, die die Aktivierung der Bedrohungserkennung, die Bereitstellung der Verfügbarkeitszone und die Premium-SKU-Nutzung für erweiterte Sicherheitsfeatures erfordern. Weitere Informationen finden Sie unter Verwenden von Azure-Richtlinien, um Ihre Azure Firewall-Bereitstellungen zu schützen.
Verwenden Sie die Microsoft Defender für Cloud-Integration: Aktivieren Sie die Microsoft Defender for Cloud-Überwachung für Ihre Azure Firewall-Ressourcen, um Sicherheitsempfehlungen und Compliancebewertungen zu erhalten. Dies bietet eine zentrale Sicherheitsverwaltung und hilft bei der Identifizierung von Konfigurationsabweichungen oder Sicherheitslücken.
Upgrade auf Azure Firewall Premium: Erwägen Sie das Upgrade von Standard auf Premium-SKU, um auf erweiterte Sicherheitsfeatures zuzugreifen, einschließlich IDPS, TLS-Inspektion, URL-Filterung und Webkategorien. Premium bietet einen verbesserten Bedrohungsschutz, der für stark regulierte Umgebungen geeignet ist. Weitere Informationen finden Sie unter Auswählen der richtigen Azure Firewall-SKU, um Ihre Anforderungen zu erfüllen.
Optimieren sie die Regelkonfiguration für die Leistung: Organisieren Sie Firewallregeln mithilfe von Regelsammlungsgruppen und Regelsammlungen, und priorisieren Sie sie basierend auf der Häufigkeit der Verwendung. Verwenden Sie IP-Gruppen, um die Anzahl einzelner IP-Regeln zu verringern und sicherzustellen, dass Sie die Azure-Firewall-Grenzwerte beibehalten. Weitere Informationen finden Sie unter Bewährte Methoden für die Leistung der Azure Firewall.
Konfigurieren von richtlinienbasierten Bereitstellungsstandards: Einrichten und Erzwingen von Bereitstellungsstandards durch die Auswirkungen "Verweigern" und "Bereitstellen, wenn nicht vorhanden" von Azure Policy. Dadurch wird sichergestellt, dass alle neuen Azure Firewall-Bereitstellungen die Sicherheitsanforderungen Ihrer Organisation automatisch erfüllen.
Überwachen Sie die Einhaltung von Sicherheitsgrundwerten: Überprüfen Sie regelmäßig Ihre Azure Firewall-Konfigurationen anhand des Microsoft Cloud Security-Benchmarks mithilfe des Compliance-Dashboards von Microsoft Defender für Cloud. Dies trägt dazu bei, einen konsistenten Sicherheitsstatus aufrechtzuerhalten und Bereiche zur Verbesserung zu identifizieren.