Dieser Beitrag wurde von Yair Tor, Principal Program Manager, Azure Networking, mitverfasst.
Im November letzten Jahres wurde die Azure Firewall Manager-Vorschauversion für die Azure Firewall-Richtlinien- und -Routenverwaltung in geschützten virtuellen Hubs eingeführt. Dazu gehört auch die Integration in wichtige Security-as-a-Service-Angebote von Drittanbietern wie Zscaler, iboss und bald auch Check Point. Diese Partner unterstützen Szenarios für „Filiale zu Internet“- und „VNET zu Internet“-Datenverkehr.
Heute erweitern wir die Vorschauversion von Azure Firewall Manager, um die automatische Bereitstellung und die zentrale Sicherheitsrichtlinienverwaltung für Azure Firewall in virtuellen Hubnetzwerken einzubeziehen.
Die Vorschauversion von Azure Firewall Manager ist ein Netzwerksicherheitsverwaltungsdienst, der eine zentrale Sicherheitsrichtlinien- und Routenverwaltung für cloudbasierte Sicherheitsperimeter bereitstellt. IT-Teams in Unternehmen können ganz einfach und zentral auf Netzwerk- und Anwendungsebene Regeln für das Filtern von Datenverkehr für mehrere Azure Firewall-Instanzen definieren, die sich über verschiedene Azure-Regionen und Abonnements in Hub-and-Spoke-Architekturen für Datenverkehrgovernance und -schutz erstreckt. Außerdem wird DevOps gefördert, sodass eine bessere Agilität mit abgeleiteten lokalen Firewallsicherheitsrichtlinien ermöglicht wird, die organisationsübergreifend implementiert werden.
Weitere Informationen finden Sie in der Azure Firewall Manager-Dokumentation.
Abbildung 1: Seite „Erste Schritte“ in Azure Firewall Manager
Virtuelle Hubnetzwerke und geschützte virtuelle Hubs
Azure Firewall Manager bietet eine Sicherheitsverwaltung für diese beiden Netzwerkarchitekturtypen:
- Geschützter virtueller Hub: Ein Azure Virtual WAN-Hub ist eine von Microsoft verwaltete Ressource, mit der Sie einfach Hub-and-Spoke-Architekturen erstellen können. Wenn einem solchen Hub Sicherheits- und Routingrichtlinien zugeordnet werden, wird dieser als geschützter virtueller Hub bezeichnet.
- Virtuelles Hubnetzwerk: Hierbei handelt es sich um ein virtuelles Azure-Standardnetzwerk, das Sie selbst erstellen und verwalten können. Wenn einem solchen Hub Sicherheitsrichtlinien zugeordnet werden, wird dieser als virtuelles Hubnetzwerk bezeichnet. Zurzeit wird nur die Azure Firewall-Richtlinie unterstützt. Sie können Peering für virtuelle Spoke-Netzwerke durchführen, die Ihre Workloadserver und -dienste enthalten. Es ist auch möglich, Firewalls in eigenständigen virtuellen Netzwerken zu verwalten, für die kein Peering in ein Spoke-Netzwerk durchgeführt wurde.
Es hängt von Ihrem Szenario ab, ob Sie ein virtuelles Hubnetzwerk oder ein geschütztes virtuelles Netzwerk verwenden sollten:
- Virtuelles Hubnetzwerk: Virtuelle Hubnetzwerke sind wahrscheinlich die richtige Wahl, wenn Ihre Netzwerkarchitektur nur auf virtuellen Netzwerken basiert, mehrere Hubs pro Region erfordert oder Hub-and-Spoke überhaupt nicht verwendet.
- Geschützte virtuelle Hubs: Geschützte virtuelle Hubs werden Ihren Anforderungen möglicherweise eher gerecht, wenn Sie Routing- und Sicherheitsrichtlinien für viele global verteilte, geschützte Hubs verwalten müssen. Geschützte virtuelle Hubs verfügen über hochskalierbare VPN-Konnektivität, SDWAN-Unterstützung und die Security-as-a-Service-Integration von Angeboten von Drittanbietern. Sie können Azure verwenden, um Ihre Internetdomäne sowohl für lokale Ressourcen als auch für Cloudressourcen zu schützen.
Die folgende Vergleichstabelle in Abbildung 2 kann Ihnen dabei helfen, eine fundierte Entscheidung zu treffen:
Virtuelles Hubnetzwerk | Geschützter virtueller Hub | |
Zugrunde liegende Ressource | Virtuelles Netzwerk | Virtual WAN-Hub |
Hub-and-Spoke | Verwenden von Peering virtueller Netzwerke | Automatisierte Verwendung der virtuellen Netzwerkverbindung für Hub |
Lokale Konnektivität |
VPN Gateway mit bis zu 10 GBit/s und 30 Site-to-Site-Verbindungen; ExpressRoute |
Höhere Skalierbarkeit für VPN Gateway mit bis zu 20 GBit/s und 1000 Site-to-Site-Verbindungen; ExpressRoute |
Automatisierte Zweigstellenkonnektivität mithilfe von SDWAN | Nicht unterstützt | Unterstützt |
Hubs pro Region | Mehrere virtuelle Netzwerke pro Region |
Einzelner virtueller Hub pro Region Mehrere Hubs mit mehreren virtuellen WANs möglich |
Azure Firewall: mehrere öffentliche IP-Adressen | Vom Kunden bereitgestellt | Automatisch generiert (für allgemeine Verfügbarkeit) |
Azure Firewall-Verfügbarkeitszonen | Unterstützt | Nicht als Vorschauversion verfügbar (erst als allgemein verfügbare Version) |
Erweiterte Internetsicherheit mit Security-as-a-Service-Angeboten von Drittanbietern |
Vom Kunden festgelegte und verwaltete VPN-Konnektivität mit Partnerdiensten Ihrer Wahl |
Automatisiert über vertrauenswürdigen Sicherheitspartnerflow und Verwaltungsoberfläche des Partners |
Zentralisierte Routenverwaltung zum Anziehen von Datenverkehr zum Hub |
Vom Kunden verwaltete UDR; Roadmap: UDR-Standardroutenautomatisierung für Spoke-Netzwerke |
Unterstützt mit BGP (Border Gateway Protocol) |
Web Application Firewall für Application Gateway | Unterstützt in virtuellen Netzwerken | Roadmap: kann in Spoke-Netzwerken verwendet werden |
Virtuelle Netzwerkgeräte | Unterstützt in virtuellen Netzwerken | Roadmap: kann in Spoke-Netzwerken verwendet werden |
Abbildung 2: virtuelles Hubnetzwerk und geschützter virtueller Hub im Vergleich
Firewallrichtlinie
Bei einer Firewallrichtlinie handelt es sich um eine Azure-Ressource, die Sammlungen von Netzwerkadressenübersetzungsregeln (NAT), Netzwerk- und Anwendungsregeln sowie Threat Intelligence-Einstellungen enthält. Dabei handelt es sich um eine globale Ressource, die für mehrere Azure Firewall-Instanzen in geschützten virtuellen Hubs und virtuellen Hubnetzwerken verwendet werden kann. Richtlinien können von Grund auf neu erstellt oder von vorhandenen Richtlinien geerbt werden. Die Vererbung ermöglicht DevOps das Erstellen von Firewallrichtlinien basierend auf der von der Organisation vorgeschriebenen Basisrichtlinie. Richtlinien funktionieren regions- und abonnementübergreifend.
Azure Firewall Manager orchestriert die Firewallrichtlinienerstellung und -zuordnung. Eine Richtlinie kann jedoch auch über die REST-API, Vorlagen, Azure PowerShell und die CLI erstellt und verwaltet werden.
Nachdem eine Richtlinie erstellt wurde, kann Sie einer Firewall in einem virtuellen WAN-Hub (auch als geschützter virtueller Hub bezeichnet) oder einer Firewall in einem virtuellen Netzwerk (auch als virtuelles Hubnetzwerk bezeichnet) zugeordnet werden.
Firewallrichtlinien werden auf der Grundlage von Firewallzuordnungen abgerechnet. Eine Richtlinie mit keiner oder einer Firewallzuordnung ist kostenlos. Für eine Richtlinie mit mehreren Firewallzuordnungen wird eine bestimmte Gebühr berechnet.
Weitere Informationen finden Sie unter Preise für Azure Firewall Manager.
In der folgenden Tabelle werden die neuen Firewallrichtlinien mit den vorhandenen Firewallregeln verglichen:
Richtlinie |
Regeln |
|
Enthält |
NAT-, Netzwerk- und Anwendungsregeln sowie Threat Intelligence-Einstellungen |
NAT-Regeln, Netzwerk- und Anwendungsregeln |
Schützt |
Virtuelle Hubs und virtuelle Netzwerke |
Nur virtuelle Netzwerke |
Portalfunktion |
Zentrale Verwaltung mithilfe von Firewall Manager |
Eigenständige Firewallfunktion |
Unterstützung mehrerer Firewalls |
Die Firewallrichtlinie ist eine separate Ressource, die für mehrere Firewalls verwendet werden kann. |
Manuelles Exportieren und Importieren von Regeln oder Verwenden von Verwaltungslösungen von Drittanbietern |
Preise |
Free |
|
Unterstützte Bereitstellungsmechanismen |
Portal, Rest-API, Vorlagen, PowerShell und CLI |
Portal, Rest-API, Vorlagen, PowerShell und CLI |
Releasestatus |
Vorschau |
Allgemeine Verfügbarkeit |
Abbildung 3: Firewallrichtlinie und Firewallregeln im Vergleich
Nächste Schritte
Weitere Informationen zu den hier behandelten Themen finden Sie in den folgenden Blogs, der Dokumentation und Videos:
Azure Firewall-Partner für zentrale Verwaltung:
- AlgoSec CloudFlow
- Barracuda Cloud Security Guardian, jetzt im Azure Marketplace allgemein verfügbar
- Tufin SecureCloud