Azure Firewall, Networking, Security
Neue Azure Firewall-Funktionen im zweiten Quartal 2020
Posted on
3 min read
Wir freuen uns, mehrere neue Azure Firewall-Funktionen anzukündigen, die es Ihrem Unternehmen ermöglichen, die Sicherheit zu verbessern, mehr Anpassungen vorzunehmen und Regeln auf einfachere Weise zu verwalten. Die neuen Funktionen basieren auf Vorschlägen, die in Feedbackbeiträgen am häufigsten genannt wurden:
- Unterstützung von benutzerdefiniertem DNS jetzt in der Vorschau
- DNS-Proxyunterstützung jetzt in der Vorschau
- FQDN-Filterung in Netzwerkregeln jetzt in der Vorschau
- IP-Adressgruppen jetzt allgemein verfügbar
- AKS-FQDN-Tag jetzt allgemein verfügbar
- Azure Firewall jetzt HIPAA-konform
Darüber hinaus haben wir Anfang Juni 2020 angekündigt, dass die Tunnelerzwingung und die SQL-FQDN-Filterung in Azure Firewall jetzt allgemein verfügbar sind.
Azure Firewall ist ein cloudnatives Firewall-as-a-Service-Angebot (FWaaS), mit dem Sie Ihren gesamten Datenverkehr mithilfe eines DevOps-Ansatzes zentral verwalten und protokollieren können. Der Dienst unterstützt Filterregeln sowohl auf Anwendungs- als auch auf Netzwerkebene und ist in den Microsoft Threat Intelligence-Feed integriert, um bekannte schädliche IP-Adressen und Domänen herauszufiltern. Azure Firewall ist dank integrierter automatischer Skalierung hochverfügbar.
Unterstützung von benutzerdefiniertem DNS jetzt in der Vorschau
Seit der Einführung im September 2018 wurde Azure Firewall für die Verwendung von Azure DNS hartcodiert, um sicherzustellen, dass der Dienst ausgehende Abhängigkeiten zuverlässig auflösen kann. Die Unterstützung von benutzerdefiniertem DNS ermöglicht eine getrennte Auflösung von Kunden- und Dienstnamen. Auf diese Weise können Sie Azure Firewall für die Verwendung Ihres eigenen DNS-Servers konfigurieren und sicherstellen, dass die ausgehenden Abhängigkeiten der Firewall weiterhin mit Azure DNS aufgelöst werden. Sie können einen einzelnen DNS-Server oder mehrere Server in den DNS-Einstellungen von Azure Firewall und in den DNS-Einstellungen der Firewallrichtlinie konfigurieren.
Azure Firewall ist auch in der Lage, Namen mithilfe von privatem Azure DNS aufzulösen, solange die private DNS-Zone mit dem virtuellen Firewallnetzwerk verknüpft ist.
DNS-Proxy jetzt in der Vorschau
Wenn der DNS-Proxy aktiviert ist, werden ausgehende DNS-Abfragen von Azure Firewall verarbeitet, wodurch eine neue DNS-Auflösungsabfrage bei Ihrem benutzerdefinierten DNS-Server oder Azure DNS initiiert wird. Dies ist für eine zuverlässige FQDN-Filterung in den Netzwerkregeln unerlässlich. Sie können den DNS-Proxy in den DNS-Einstellungen von Azure Firewall und in den DNS-Einstellungen der Firewallrichtlinie konfigurieren.
Für die DNS-Proxykonfiguration sind drei Schritte erforderlich:
- Aktivieren Sie den DNS-Proxy in den DNS-Einstellungen von Azure Firewall.
- Konfigurieren Sie optional Ihren benutzerdefinierten DNS-Server, oder verwenden Sie den angegebenen Standardwert.
- Zuletzt müssen Sie die private IP-Adresse von Azure Firewall in den DNS-Servereinstellungen Ihres virtuellen Netzwerks als benutzerdefinierten DNS-Server konfigurieren. Dadurch wird sichergestellt, dass der DNS-Datenverkehr an Azure Firewall geleitet wird.
Abbildung 1. Benutzerdefinierte DNS- und DNS-Proxyeinstellungen in Azure Firewall
FQDN-Filterung in Netzwerkregeln jetzt in der Vorschau
Sie können jetzt vollqualifizierte Domänennamen (Fully Qualified Domain Names, FQDNs) in den Netzwerkregeln basierend auf der DNS-Auflösung in Azure Firewall und in der Firewallrichtlinie verwenden. Die in Ihren Regelsammlungen angegebenen FQDNs werden basierend auf den DNS-Einstellungen Ihrer Firewall in IP-Adressen übersetzt. Diese Funktion ermöglicht es Ihnen, ausgehenden Datenverkehr mithilfe von FQDNs mit einem beliebigen TCP/UDP-Protokoll (einschließlich NTP, SSH, RDP usw.) zu filtern. Da diese Funktion auf der DNS-Auflösung basiert, wird dringend empfohlen, den DNS-Proxy zu aktivieren, um sicherzustellen, dass die Namensauflösung bei geschützten virtuellen Computern und bei der Firewall konsistent sind.
Die FQDN-Filterung in Anwendungsregeln für HTTP/S und MSSQL basiert auf einem transparenten Proxy auf Anwendungsebene. Die Funktion selbst kann zwischen zwei FQDNs unterscheiden, die in dieselbe IP-Adresse aufgelöst werden. Da dies bei der FQDN-Filterung in Netzwerkregeln nicht der Fall ist, wird empfohlen, möglichst immer Anwendungsregeln zu verwenden.
Abbildung 2: FQDN-Filterung in Netzwerkregeln
IP-Adressgruppen jetzt allgemein verfügbar
Bei IP-Adressgruppen handelt es sich um eine neue Azure-Ressource der obersten Ebene, mit der Sie IP-Adressen in Azure Firewall-Regeln gruppieren und verwalten können. Sie können Ihrer IP-Adressgruppe einen Namen geben und eine erstellen, indem Sie IP-Adressen eingeben oder eine Datei hochladen. IP-Adressgruppen vereinfachen die Verwaltung und helfen Ihnen dabei, die Zeit, die Sie mit dem Verwalten von IP-Adressen verbringen, zu reduzieren, indem Sie sie in einer einzelnen Firewall oder für mehrere Firewalls verwenden. IP-Adressgruppen sind nun allgemein verfügbar und werden in einer eigenständigen Azure Firewall-Konfiguration oder als Teil der Azure-Firewallrichtlinie unterstützt. Weitere Informationen finden Sie in der Azure Firewall-Dokumentation zu IP-Adressgruppen.
Abbildung 3: Erstellen einer neuen IP-Adressgruppe
AKS-FQDN-Tag jetzt allgemein verfügbar
Ein Azure Kubernetes Service (AKS)-FQDN-Tag kann jetzt in Azure Firewall-Anwendungsregeln verwendet werden, um die Firewallkonfiguration für den AKS-Schutz zu vereinfachen. Azure Kubernetes Service (AKS) bietet einen Managed Kubernetes-Cluster in Azure, der die Komplexität und den operativen Mehraufwand für die Kubernetes-Verwaltung verringert, indem ein Großteil der Verantwortung an Azure übertragen wird.
Zu Verwaltungs- und Betriebszwecken müssen Knoten in einem AKS-Cluster auf bestimmte Ports und FQDNs zugreifen. Weitere Anleitungen dazu, wie Sie Azure Kubernetes-Cluster mithilfe von Azure Firewall schützen, finden Sie unter Verwenden von Azure Firewall zum Schutz von Azure Kubernetes Service (AKS)-Bereitstellungen.
Abbildung 4. Konfigurieren einer Anwendungsregel mit dem AKS-FQDN-Tag
Nächste Schritte
Weitere Informationen zu allen hier behandelten Themen finden Sie in diesen zusätzlichen Ressourcen:
- Azure Firewall-Dokumentation
- Azure Firewall-Tunnelerzwingung und SQL-FQDN-Filterung sind jetzt allgemein verfügbar
- Azure Firewall: IP-Adressgruppen
- Azure Firewall: Benutzerdefinierter DNS, DNS-Proxy (Vorschau)
- Azure Firewall-FQDN-Filterung in Netzwerkregeln (Vorschau)
- Verwenden von Azure Firewall zum Schutz von Azure Kubernetes Service (AKS)-Bereitstellungen