Neue Funktionen in Azure Firewall

Veröffentlicht am 4 März, 2019

Principal Program Manager, Azure Networking

Wir freuen uns, heute die Veröffentlichung zweier neuer Funktionen in Azure Firewall ankündigen zu können.

  • Filtern basierend auf Threat Intelligence
  • Filtern von Diensttags

Azure Firewall ist eine cloudnatives Firewall-as-a-Service-Angebot, mit dem Kunden ihren gesamten Datenverkehr zentral mithilfe eines DevOps-Ansatzes verwalten können. Der Dienst unterstützt Filterregeln sowohl auf Anwendungsebene (z.B. *.github.com) als auch auf Netzwerkebene. Er ist hochverfügbar und wird mit steigendem Datenverkehr automatisch skaliert.

Filtern basierend auf Threat Intelligence (Vorschauversion)

Microsoft verfügt über umfassende Daten zu Threat Intelligence und Quelldaten von Drittanbietern. Unser großes Team aus Datenanalysten und Experten für Internetsicherheit ist fortwährend mit Data Mining beschäftigt, um eine zuverlässige Liste mit bekannten schädlichen IP-Adressen und Domänen zu erstellen. Sie können Azure Firewall jetzt so konfigurieren, dass es Sie bei Datenverkehr an und von einer bekannten schädlichen IP-Adresse oder Domäne in nahezu Echtzeit warnt und diesen verweigert. Die IP-Adressen und Domänen stammen aus dem Microsoft Threat Intelligence-Feed. Microsoft Threat Intelligence bezieht seine Daten von Microsoft Intelligent Security Graph und gewährleistet die Sicherheit in zahlreichen Microsoft-Produkten und -Diensten, z.B. im Azure Security Center und Azure Sentinel.

Threat Intelligence-basiertes Filtern ist im Warnungsmodus standardmäßig für alle Azure Firewall-Bereitstellungen aktiviert und erfasst alle übereinstimmenden Indikatoren. Kunden können das Verhalten beim Warnen und Verweigern anpassen.

Flussdiagramm: Azure Firewall-Konzeptarchitektur

Abbildung 1: Azure Firewall-Konzeptarchitektur

Verwalten der Firewall

Das Protokollieren der Analyse von Daten zu Bedrohungen und handlungsrelevanten Erkenntnissen ist essenziell für das Planen, Erstellen und Betreiben von Anwendung und Infrastruktur.

Azure Firewall kann vollständig mit Azure Monitor integriert werden. Protokolle können an Azure Monitor, Azure Storage und Event Hubs gesendet werden.  Mit Azure Monitor-Protokollen können Sie aufschlussreiche Dashboards und Visualisierungen erstellen. Neben benutzerdefinierten Datenabfragen entsteht durch diese praktische Integration eine zentrale Stelle für alle Aufgaben im Zusammenhang mit der Protokollierung. Dabei können Sie genau anpassen, wie Sie Daten verarbeiten möchten. Kunden können Daten von Azure Monitor an SIEM-Systeme senden, z.B. an Splunk, ArcSight und ähnliche Drittanbieterangebote.

Eine kompromittierte VM wurde von Azure Firewall mithilfe von Threat Intelligence erkannt, und ausgehende Verbindungen wurden blockiert

Abbildung 2: Eine kompromittierte VM wurde von Azure Firewall mithilfe von Threat Intelligence erkannt, und ausgehende Verbindungen wurden blockiert

Portscanversuche wurden von Azure Firewall mithilfe von Threat Intelligence erkannt, und eingehende Verbindungen wurden blockiert

Abbildung 3: Portscanversuche wurden von Azure Firewall mithilfe von Threat Intelligence erkannt, und eingehende Verbindungen wurden blockiert

Filtern von Diensttags

Neben dem Threat Intelligence-basierten Filtern fügen wir auch die Unterstützung für Diensttags hinzu. Dies ist ein häufig vorgeschlagenes Feature. Ein Diensttag steht für eine Gruppe von IP-Adresspräfixen für bestimmte Microsoft-Dienste wie z.B. Azure SQL-Datenbank, Azure Key Vault und Azure Service Bus. Dadurch wird das Erstellen von Netzwerkregeln erleichtert. Microsoft unterstützt Diensttags für zahlreiche Azure-Dienste. Dabei können Sie auch die Adresspräfixe verwalten, die die Diensttags umfassen, und die Diensttags automatisch aktualisieren, wenn sich die Adressen ändern. Azure Firewall-Diensttags können im Zielfeld für Netzwerkregeln verwendet werden. Im Laufe der Zeit werden wir Unterstützung für weitere Diensttags hinzufügen.

Zentrale Verwaltung

Die öffentlichen REST-APIs von Azure Firewall können von Drittanbietertools zur Sicherheitsrichtlinienverwaltung verwendet werden, um zentralisierte Verwaltungsfunktionen für Azure Firewall, Netzwerksicherheitsgruppen und virtuelle Netzwerkgeräte bereitzustellen. Im September 2018 haben wir die private Vorschau für einen neuen Dienst von Barracuda, für CloudFlow von AlgoSec und für eine Lösung von Tufin angekündigt. Wir freuen uns, dass CloudFlow von AlgoSec jetzt in der öffentlichen Betaversion verfügbar ist. Auf der AlgoSec-Website können Sie mehr erfahren und am Betaprogramm teilnehmen.

Logos der Drittanbieter für Sicherheitsverwaltung

Wir möchten uns für das nützliche Feedback bedanken, das wir seit der allgemeinen Verfügbarkeit von Azure Firewall im September 2018 erhalten haben. Wir freuen uns über die positive Aufnahme, das Interesse an und das positive Feedback zu Azure Firewall und sind überwältigt, wie vielfältig unsere Kunden diesen Dienst einsetzen. Reichen Sie gerne weiter Feedback ein. Wir werden weiter daran arbeiten, den Dienst so zu optimieren, dass er genau Ihren Bedürfnissen entspricht.

Weitere Informationen