Azure Firewall Manager jetzt allgemein verfügbar

Veröffentlicht am 1 Juli, 2020

Senior Program Manager

Azure Firewall Manager ist nun allgemein verfügbar und umfasst: Azure-Firewallrichtlinie, Azure Firewall in einem Virtual WAN-Hub (geschützter virtueller Hub) und Hub-VNET. Darüber hinaus führen wir in Anpassung an die Funktionen für eigenständige Azure Firewall-Konfigurationen mehrere neue Funktionen für Firewall Manager und die Firewallrichtlinie ein.

Zentrale Features in diesem Release:

  • Die Zulassungsliste für Threat Intelligence-gestütztes Filtern in der Firewallrichtlinie ist jetzt allgemein verfügbar.
  • Die Unterstützung mehrerer öffentlicher IP-Adressen für Azure Firewall in einem geschützten virtuellen Hub ist jetzt allgemein verfügbar.
  • Die Unterstützung der Tunnelerzwingung für Hub-VNETs ist jetzt allgemein verfügbar.
  • Konfiguration geschützter virtueller Hubs mit Azure Firewall für Datenverkehr in Ost-West-Richtung (privat) und eines frei wählbaren SECaaS (Security-as-a-Service)-Angebots eines externen Partners für den (internetgebundenen) Datenverkehr in Nord-Süd-Richtung.
  • Die Integration externer SECaaS-Partner in allen Regionen der öffentlichen Azure-Cloud ist jetzt allgemein verfügbar.
  • Die Zscaler-Integration ist ab dem 3. Juli 2020 allgemein verfügbar. Check Point ist ein unterstützter SECaaS-Partner und befindet sich seit dem 3. Juli 2020 in der Vorschauphase. Die iboss-Integration wird am 31. Juli 2020 allgemein verfügbar sein.
  • DNS (Domain Name System)-Proxys, benutzerdefiniertes DNS und die Filterung von FQDNs (Fully Qualified Domain Names, vollqualifizierten Domänennamen) in Netzwerkregeln unter Verwendung der Firewallrichtlinie werden unterstützt und befinden sich jetzt in der Vorschau.

 

Azure Firewall Manager-Partner Zscaler, Check Point und iboss

Die Firewallrichtlinie ist nun allgemein verfügbar

Die Firewallrichtlinie ist eine Azure-Ressource, die Sammlungen von Netzwerkadressenübersetzungsregeln (Network Address Translation, NAT), Netzwerk- und Anwendungsregeln sowie Threat Intelligence- und DNS-Einstellungen enthält. Dabei handelt es sich um eine globale Ressource, die für mehrere Azure Firewall-Instanzen in geschützten virtuellen Hubs und Hub-VNETs verwendet werden kann. Firewallrichtlinien funktionieren regions- und abonnementübergreifend.

Es ist nicht erforderlich, Firewall Manager zum Erstellen einer Firewallrichtlinie zu verwenden. Es gibt viele Möglichkeiten, eine Firewallrichtlinie zu erstellen und zu verwalten, darunter die REST-API, PowerShelloder die Befehlszeilenschnittstelle (Command-Line Interface, CLI).

Nachdem Sie eine Firewallrichtlinie erstellt haben, können Sie die Richtlinie mithilfe von Firewall Manager oder über die REST-API, PowerShell oder die CLI einer oder mehreren Firewalls zuordnen.  Einen ausführlicheren Vergleich zwischen Regeln und Richtlinien finden Sie im Dokument mit der Richtlinienübersicht.

Migrieren eigenständiger Firewallregeln zur Firewallrichtlinie

Sie können auch eine Firewallrichtlinie erstellen, indem Sie die Regeln aus einer vorhandenen Azure Firewall-Instanz migrieren. Zum Migrieren von Firewallregeln zur Firewallrichtlinie können Sie ein Skript oder Firewall Manager im Azure-Portal verwenden.

Beispiel für das Importieren von Regeln aus einer vorhandenen Azure Firewall-Instanz

Importieren von Regeln aus einer vorhandenen Azure Firewall-Instanz

Firewallrichtlinie – Preise

Wenn Sie nur eine Firewallrichtlinienressource erstellen, fallen keine Gebühren an. Eine Firewallrichtlinie wird auch nicht berechnet, wenn sie nur einer einzelnen Azure Firewall-Instanz zugeordnet ist. Sie können eine unbegrenzte Anzahl von Richtlinien erstellen.

Für Firewallrichtlinien gelten Festpreise pro Firewallrichtlinie und Region. Innerhalb einer Region ist der Preis für die Verwaltung von Firewallrichtlinien gleich, egal, ob es sich um fünf oder 50 Firewalls handelt. Im folgenden Beispiel werden vier Firewallrichtlinien verwendet, um 10 verschiedene Azure Firewall-Instanzen zu verwalten:

  • Richtlinie 1: cac2020region1policy – Sechs Firewalls in vier Regionen zugeordnet. Die Abrechnung erfolgt pro Region und nicht pro Firewall.
  • Richtlinie 2: cac2020region2policy – Drei Firewalls in drei Regionen zugeordnet. Die Abrechnung erfolgt für drei Regionen unabhängig von der Anzahl der Firewalls pro Region.
  • Richtlinie 3: cac2020region3policy – Wird nicht berechnet, da die Richtlinie nicht mehr als einer Firewall zugeordnet ist.
  • Richtlinie 4: cacbasepolicy – Eine zentrale Richtlinie, die von allen drei Richtlinien geerbt wird. Diese Richtlinie wird für fünf Regionen abgerechnet. Wie bereits erwähnt, sind die Preise günstiger als bei der Abrechnung pro Firewall.

Beispiel für die Abrechnung von Firewallrichtlinien

Beispiel für die Abrechnung von Firewallrichtlinien

Konfigurieren einer Threat Intelligence-Zulassungsliste, eines DNS-Proxys und eines benutzerdefinierten DNS

Ab diesem Update unterstützt die Firewallrichtlinie zusätzliche Konfigurationen, darunter benutzerdefinierte DNS- und DNS-Proxyeinstellungen (Vorschau) sowie eine Threat Intelligence-Zulassungsliste. Die Konfiguration privater SNAT-IP-Adressbereiche wird noch nicht unterstützt, befindet sich aber in der Planung.

Obwohl die Firewallrichtlinie in der Regel für mehrere Firewalls gleichzeitig genutzt werden kann, sind NAT-Regeln firewallspezifisch und können nicht gemeinsam genutzt werden. Sie können jedoch eine übergeordnete Richtlinie ohne NAT-Regeln erstellen, die für mehrere Firewalls gleichzeitig verwendet wird, und eine lokale abgeleitete Richtlinie für bestimmte Firewalls, um die erforderlichen NAT-Regeln hinzuzufügen. Weitere Informationen zu Firewallrichtlinien

Firewallrichtlinie unterstützt jetzt IP-Adressgruppen

Bei IP-Adressgruppen handelt es sich um eine neue Azure-Ressource der obersten Ebene, mit der Sie IP-Adressen in Azure Firewall-Regeln gruppieren und verwalten können. Die Unterstützung für IP-Adressgruppen wird in unserem aktuellen Azure Firewall-Blog ausführlicher beschrieben.

Konfigurieren von geschützten virtuellen Hubs mit Azure Firewall und einem SECaaS-Angebot eines externen Partners

Sie können jetzt virtuelle Hubs mit Azure Firewall für die Filterung von privatem Datenverkehr (virtuelles Netzwerk zu virtuellem Netzwerk/Verzweigung zu virtuellem Netzwerk) und das Angebot eines Sicherheitspartners Ihrer Wahl für die Filterung des Internetdatenverkehrs (virtuelles Netzwerk zum Internet/Verzweigung zum Internet) konfigurieren.

Ein Sicherheitspartneranbieter in Firewall Manager ermöglicht die Verwendung eines vertrauten, führenden SECaaS-Drittanbieterangebots, um den Internetzugriff für Ihre Benutzer zu schützen. Mit einigen schnellen Konfigurationsschritten können Sie einen Hub mit dem Angebot eines unterstützten Sicherheitspartners schützen und den Internetdatenverkehr von Ihren virtuellen Netzwerken (VNETs) oder Verzweigungen innerhalb einer Region weiterleiten und filtern. Dies geschieht mithilfe der automatisierten Routenverwaltung, ohne dass benutzerdefinierte Routen (User Defined Routes, UDRs) eingerichtet und verwaltet werden müssen.

Sie können einen geschützten virtuellen Hub mit dem Workflow Neuen geschützten virtuellen Hub erstellen in Firewall Manager erstellen. Der folgende Screenshot zeigt einen neuen geschützten virtuellen Hub, der mit zwei Sicherheitsanbietern konfiguriert ist.

Neuer geschützter virtueller Hub, der mit zwei Sicherheitsanbietern konfiguriert ist

Erstellen eines neuen geschützten virtuellen Hubs, der mit zwei Sicherheitsanbietern konfiguriert ist

Sicherstellen der Konnektivität

Nachdem Sie einen geschützten Hub erstellt haben, müssen Sie die Sicherheitskonfiguration des Hubs aktualisieren und explizit konfigurieren, wie Internet- und privater Datenverkehr im Hub weitergeleitet werden soll. Für privaten Datenverkehr im RFC1918-Bereich müssen keine Präfixe angegeben werden. Wenn Ihr Unternehmen öffentliche IP-Adressen in virtuellen Netzwerken und Verzweigungen verwendet, müssen Sie diese IP-Präfixe explizit hinzufügen.

Um dies zu vereinfachen, können Sie jetzt Aggregatpräfixe anstatt einzelner Subnetze angeben. Darüber hinaus müssen Sie die Konfiguration über das Partnerportal abschließen, um Internetsicherheit über einen externen Sicherheitsanbieter zu gewährleisten. Ausführlichere Informationen finden Sie auf der Seite zu Sicherheitspartneranbietern.

Beispiel für die Auswahl eines SECaaS-Angebots eines Drittanbieters für die Filterung des Internetdatenverkehrs

Auswählen eines SECaaS-Angebots eines Drittanbieters für die Filterung des Internetdatenverkehrs

Geschützter virtueller Hub – Preise

Ein geschützter virtueller Hub ist ein Azure Virtual WAN-Hub mit zugeordneten Sicherheits- und Routingrichtlinien, die durch Firewall Manager konfiguriert wurden. Die Preise für geschützte virtuelle Hubs hängen von den konfigurierten Sicherheitsanbietern ab.

Preisoptionen für geschützte virtuelle Hubs

Ausführlichere Informationen finden Sie auf der Seite mit Preisen für Firewall Manager.

Nächste Schritte

Weitere Informationen zu diesen Ankündigungen finden Sie in den folgenden Ressourcen: