Dieser Beitrag wurde von Suren Jamiyanaa, Program Manager, Azure Networking, mitverfasst.

Wir freuen uns über die positive Aufnahme, das Interesse an und das positive Feedback zu Azure Firewall und sind überwältigt, wie vielfältig unsere Kunden diesen Dienst einsetzen. Wir freuen uns, heute basierend auf Ihrem Feedback zu den verschiedenen Elementen einige neue Azure Firewall-Funktionen präsentieren zu können:

• Zertifizierung der Unternehmensfirewall durch ICSA Labs
• Unterstützung für Tunnelerzwingung jetzt in der Vorschauversion
• IP-Adressgruppen jetzt in der Vorschauversion
• Von Benutzern konfigurierte private SNAT-IP-Adressbereiche jetzt allgemein verfügbar
• Abgeschwächte strenge Einschränkungen für Ports sind jetzt allgemein verfügbar.

Azure Firewall ist ein cloudnatives Firewall-as-a-Service-Angebot (FWaaS), mit dem Sie Ihren gesamten Datenverkehr mithilfe eines DevOps-Ansatzes zentral verwalten und protokollieren können. Der Dienst unterstützt Filterregeln sowohl auf Anwendungs- als auch auf Netzwerkebene und ist in den Microsoft Threat Intelligence-Feed integriert, um bekannte schädliche IP-Adressen oder Domänen herauszufiltern. Azure Firewall ist dank integrierter automatischer Skalierung hochverfügbar.

Zertifizierung der Unternehmensfirewall durch ICSA Labs

ICSA Labs ist ein führender Anbieter für das Testen und Zertifizieren der Sicherheit und Integrität von IT-Produkten von Drittanbietern sowie von Geräten, die mit dem Netzwerk verbunden sind. Das Unternehmen bewertet die Konformität, Zuverlässigkeit und die Leistungsfähigkeit der Produkte von weltweit führenden Technologieanbietern.

Azure Firewall ist der erste Cloudfirewalldienst, der die Zertifizierung der Unternehmensfirewall durch ICSA Labs erreicht. Hier finden Sie Informationen zum Azure Firewall-Zertifizierungsbericht. Weitere Informationen finden Sie auf der Seite zum Firewallzertifizierungsprogramm von ICSA Labs.

Abbildung 1: Azure Firewall jetzt von ICSA Labs zertifiziert

Unterstützung für Tunnelerzwingung jetzt in der Vorschauphase

Mithilfe der Tunnelerzwingung können Sie den gesamten Internetdatenverkehr von Azure Firewall an Ihre lokale Firewall oder ein virtuelles Netzwerkgerät (Network Virtual Appliance, NVA) in der Nähe für die weitere Untersuchung umleiten. Die Tunnelerzwingung ist standardmäßig in Azure Firewall nicht zulässig, um sicherzustellen, dass alle ausgehenden Azure-Abhängigkeiten vorhanden sind.

Zur Unterstützung der Tunnelerzwingung wird der Datenverkehr der Dienstverwaltung von dem der Kunden getrennt. Ein zusätzliches dediziertes Subnetz namens „AzureFirewallManagementSubnet“ wird benötigt. Dabei muss dessen eigene zugeordnete öffentliche IP-Adresse verwendet werden. Die einzige in diesem Subnetz erlaubte Route ist eine Standardroute zum Internet, und die BGP-Routenverteilung muss deaktiviert sein.

In dieser Konfiguration kann „AzureFirewallSubnet“ jetzt Routen zu jeder lokalen Firewall oder NVA enthalten, um den Datenverkehr zu verarbeiten, bevor dieser an das Internet weitergeleitet wird. Sie können diese Routen auch über BGP in „AzureFirewallSubnet“ veröffentlichen, wenn die BGP-Routenverteilung in diesem Subnetz aktiviert ist. Weitere Informationen finden Sie in der Azure Firewall-Dokumentation zur Tunnelerzwingung.

Abbildung 2: Erstellen einer Firewall mit aktivierter Tunnelerzwingung

IP-Adressgruppen jetzt in der Vorschauversion

Bei IP-Adressgruppen handelt es sich um eine neue Azure-Ressource der obersten Ebene, mit der Sie IP-Adressen in Azure Firewall-Regeln gruppieren und verwalten können. Sie können Ihrer IP-Adressgruppe einen Namen geben und eine erstellen, indem Sie IP-Adressen eingeben oder eine Datei hochladen. IP-Adressgruppen vereinfachen die Verwaltung und helfen Ihnen dabei, die Zeit, die Sie mit dem Verwalten von IP-Adressen verbringen, zu reduzieren, indem Sie sie in einer einzelnen Firewall oder für mehrere Firewalls verwenden. Weitere Informationen finden Sie in der Azure Firewall-Dokumentation zu IP-Adressgruppen.

Abbildung 3: Azure Firewall-Anwendungsregeln nutzen IP-Adressgruppe

Von Benutzern konfigurierte private SNAT-IP-Adressbereiche

Azure Firewall bietet die automatische Quellnetzwerkadressenübersetzung (Source Network Address Translation, SNAT) für ausgehenden Datenverkehr zu öffentlichen IP-Adressen. Azure Firewall bietet keine Quellnetzwerkadressenübersetzung, wenn die Ziel-IP-Adresse ein privater IP-Adressbereich gemäß IANA RFC 1918 ist. Wenn Ihre Organisation einen öffentlichen IP-Adressbereich für private Netzwerke oder OPTS verwendet, um den Tunnel für Azure Firewall-Internetdatenverkehr über eine lokale Firewall zu erzwingen, können Sie Azure Firewall so konfigurieren, dass keine Quellnetzwerkadressübersetzung für zusätzliche benutzerdefinierte IP-Adressbereiche durchgeführt wird. Weitere Informationen finden Sie unter SNAT für private IP-Adressbereiche in Azure Firewall..

Abbildung 4: Azure Firewall mit benutzerdefinierten, privaten IP-Adressbereichen

Abgeschwächte Einschränkungen für hohe Ports sind nun allgemein verfügbar

Seit der ersten Vorschauversion hat eine Einschränkung in Azure Firewall verhindert, dass Netzwerk- und Anwendungsregeln die Quell- oder Zielports über 64.000 einschließen. Dieses Standardverhalten hat auf RPC basierende Szenarios und insbesondere die Active Directory-Synchronisierung blockiert. Mit diesem neuen Update können Kunden jeden Port im Bereich 1 bis 65535 in Netzwerk- und Anwendungsregeln verwenden.

Nächste Schritte

Weitere Informationen zu den behandelten Themen finden Sie in den folgenden Blogs, Dokumentationen und Videos.

• Azure Firewall-Dokumentation
• Azure Firewall-Blog (Juli 2019): Neuerungen in Azure Firewall
• Azure Firewall Manager-Dokumentation
• Azure Firewall Manager-Blog: Azure Firewall Manager unterstützt jetzt virtuelle Netzwerke

Azure Firewall-Partner für zentrale Verwaltung:

• AlgoSec CloudFlow
• Barracuda Cloud Security Guardian, jetzt im Azure Marketplace allgemein verfügbar
• Tufin SecureCloud