Azure Firewall Manager unterstützt jetzt virtuelle Netzwerke

Veröffentlicht am 18 Februar, 2020

Senior Program Manager

Dieser Beitrag wurde von Yair Tor, Principal Program Manager, Azure Networking, mitverfasst.

Im November letzten Jahres wurde die Azure Firewall Manager-Vorschauversion für die Azure Firewall-Richtlinien- und -Routenverwaltung in geschützten virtuellen Hubs eingeführt. Dazu gehört auch die Integration in wichtige Security-as-a-Service-Angebote von Drittanbietern wie Zscaler, iboss und bald auch Check Point. Diese Partner unterstützen Szenarios für „Filiale zu Internet“- und „VNET zu Internet“-Datenverkehr.

Heute erweitern wir die Vorschauversion von Azure Firewall Manager, um die automatische Bereitstellung und die zentrale Sicherheitsrichtlinienverwaltung für Azure Firewall in virtuellen Hubnetzwerken einzubeziehen.

Die Vorschauversion von Azure Firewall Manager ist ein Netzwerksicherheitsverwaltungsdienst, der eine zentrale Sicherheitsrichtlinien- und Routenverwaltung für cloudbasierte Sicherheitsperimeter bereitstellt. IT-Teams in Unternehmen können ganz einfach und zentral auf Netzwerk- und Anwendungsebene Regeln für das Filtern von Datenverkehr für mehrere Azure Firewall-Instanzen definieren, die sich über verschiedene Azure-Regionen und Abonnements in Hub-and-Spoke-Architekturen für Datenverkehrgovernance und -schutz erstreckt. Außerdem wird DevOps gefördert, sodass eine bessere Agilität mit abgeleiteten lokalen Firewallsicherheitsrichtlinien ermöglicht wird, die organisationsübergreifend implementiert werden.

Weitere Informationen finden Sie in der Azure Firewall Manager-Dokumentation.

Seite „Erste Schritte“ in Azure Firewall Manager

Abbildung 1: Seite „Erste Schritte“ in Azure Firewall Manager

 

Virtuelle Hubnetzwerke und geschützte virtuelle Hubs

Azure Firewall Manager bietet eine Sicherheitsverwaltung für diese beiden Netzwerkarchitekturtypen:

  •  Geschützter virtueller Hub: Ein Azure Virtual WAN-Hub ist eine von Microsoft verwaltete Ressource, mit der Sie einfach Hub-and-Spoke-Architekturen erstellen können. Wenn einem solchen Hub Sicherheits- und Routingrichtlinien zugeordnet werden, wird dieser als geschützter virtueller Hub bezeichnet.
  •  Virtuelles Hubnetzwerk: Hierbei handelt es sich um ein virtuelles Azure-Standardnetzwerk, das Sie selbst erstellen und verwalten können. Wenn einem solchen Hub Sicherheitsrichtlinien zugeordnet werden, wird dieser als virtuelles Hubnetzwerk bezeichnet. Zurzeit wird nur die Azure Firewall-Richtlinie unterstützt. Sie können Peering für virtuelle Spoke-Netzwerke durchführen, die Ihre Workloadserver und -dienste enthalten. Es ist auch möglich, Firewalls in eigenständigen virtuellen Netzwerken zu verwalten, für die kein Peering in ein Spoke-Netzwerk durchgeführt wurde.

Es hängt von Ihrem Szenario ab, ob Sie ein virtuelles Hubnetzwerk oder ein geschütztes virtuelles Netzwerk verwenden sollten:

  •  Virtuelles Hubnetzwerk: Virtuelle Hubnetzwerke sind wahrscheinlich die richtige Wahl, wenn Ihre Netzwerkarchitektur nur auf virtuellen Netzwerken basiert, mehrere Hubs pro Region erfordert oder Hub-and-Spoke überhaupt nicht verwendet.
  •  Geschützte virtuelle Hubs: Geschützte virtuelle Hubs werden Ihren Anforderungen möglicherweise eher gerecht, wenn Sie Routing- und Sicherheitsrichtlinien für viele global verteilte, geschützte Hubs verwalten müssen. Geschützte virtuelle Hubs verfügen über hochskalierbare VPN-Konnektivität, SDWAN-Unterstützung und die Security-as-a-Service-Integration von Angeboten von Drittanbietern. Sie können Azure verwenden, um Ihre Internetdomäne sowohl für lokale Ressourcen als auch für Cloudressourcen zu schützen.

Die folgende Vergleichstabelle in Abbildung 2 kann Ihnen dabei helfen, eine fundierte Entscheidung zu treffen:

 

  Virtuelles Hubnetzwerk Geschützter virtueller Hub
Zugrunde liegende Ressource Virtuelles Netzwerk Virtual WAN-Hub
Hub-and-Spoke Verwenden von Peering virtueller Netzwerke Automatisierte Verwendung der virtuellen Netzwerkverbindung für Hub
Lokale Konnektivität

VPN Gateway mit bis zu 10 GBit/s und 30 Site-to-Site-Verbindungen; ExpressRoute

Höhere Skalierbarkeit für VPN Gateway mit bis zu 20 GBit/s und 1000 Site-to-Site-Verbindungen; ExpressRoute

Automatisierte Zweigstellenkonnektivität mithilfe von SDWAN Nicht unterstützt Unterstützt
Hubs pro Region Mehrere virtuelle Netzwerke pro Region

Einzelner virtueller Hub pro Region Mehrere Hubs mit mehreren virtuellen WANs möglich

Azure Firewall: mehrere öffentliche IP-Adressen Vom Kunden bereitgestellt Automatisch generiert (für allgemeine Verfügbarkeit)
Azure Firewall-Verfügbarkeitszonen Unterstützt Nicht als Vorschauversion verfügbar (erst als allgemein verfügbare Version) 

Erweiterte Internetsicherheit mit Security-as-a-Service-Angeboten von Drittanbietern

Vom Kunden festgelegte und verwaltete VPN-Konnektivität mit Partnerdiensten Ihrer Wahl

Automatisiert über vertrauenswürdigen Sicherheitspartnerflow und Verwaltungsoberfläche des Partners

Zentralisierte Routenverwaltung zum Anziehen von Datenverkehr zum Hub

Vom Kunden verwaltete UDR; Roadmap: UDR-Standardroutenautomatisierung für Spoke-Netzwerke

Unterstützt mit BGP (Border Gateway Protocol)
Web Application Firewall für Application Gateway Unterstützt in virtuellen Netzwerken Roadmap: kann in Spoke-Netzwerken verwendet werden
Virtuelle Netzwerkgeräte Unterstützt in virtuellen Netzwerken Roadmap: kann in Spoke-Netzwerken verwendet werden

Abbildung 2: virtuelles Hubnetzwerk und geschützter virtueller Hub im Vergleich

Firewallrichtlinie

Bei einer Firewallrichtlinie handelt es sich um eine Azure-Ressource, die Sammlungen von Netzwerkadressenübersetzungsregeln (NAT), Netzwerk- und Anwendungsregeln sowie Threat Intelligence-Einstellungen enthält. Dabei handelt es sich um eine globale Ressource, die für mehrere Azure Firewall-Instanzen in geschützten virtuellen Hubs und virtuellen Hubnetzwerken verwendet werden kann. Richtlinien können von Grund auf neu erstellt oder von vorhandenen Richtlinien geerbt werden. Die Vererbung ermöglicht DevOps das Erstellen von Firewallrichtlinien basierend auf der von der Organisation vorgeschriebenen Basisrichtlinie. Richtlinien funktionieren regions- und abonnementübergreifend.

Azure Firewall Manager orchestriert die Firewallrichtlinienerstellung und -zuordnung. Eine Richtlinie kann jedoch auch über die REST-API, Vorlagen, Azure PowerShell und die CLI erstellt und verwaltet werden.

Nachdem eine Richtlinie erstellt wurde, kann Sie einer Firewall in einem virtuellen WAN-Hub (auch als geschützter virtueller Hub bezeichnet) oder einer Firewall in einem virtuellen Netzwerk (auch als virtuelles Hubnetzwerk bezeichnet) zugeordnet werden.

Firewallrichtlinien werden auf der Grundlage von Firewallzuordnungen abgerechnet. Eine Richtlinie mit keiner oder einer Firewallzuordnung ist kostenlos. Für eine Richtlinie mit mehreren Firewallzuordnungen wird eine bestimmte Gebühr berechnet.

Weitere Informationen finden Sie unter Preise für Azure Firewall Manager.

In der folgenden Tabelle werden die neuen Firewallrichtlinien mit den vorhandenen Firewallregeln verglichen:

 

Richtlinie

Regeln

Enthält

NAT-, Netzwerk- und Anwendungsregeln sowie Threat Intelligence-Einstellungen

NAT-Regeln, Netzwerk- und Anwendungsregeln

Schützt

Virtuelle Hubs und virtuelle Netzwerke

Nur virtuelle Netzwerke

Portalfunktion

Zentrale Verwaltung mithilfe von Firewall Manager

Eigenständige Firewallfunktion

Unterstützung mehrerer Firewalls

Die Firewallrichtlinie ist eine separate Ressource, die für mehrere Firewalls verwendet werden kann.

Manuelles Exportieren und Importieren von Regeln oder Verwenden von Verwaltungslösungen von Drittanbietern

Preise

Abrechnung basierend auf Firewallzuordnung: Preise

Free

Unterstützte Bereitstellungsmechanismen

Portal, Rest-API, Vorlagen, PowerShell und CLI

Portal, Rest-API, Vorlagen, PowerShell und CLI

Releasestatus

Vorschau

Allgemeine Verfügbarkeit

Abbildung 3: Firewallrichtlinie und Firewallregeln im Vergleich

Nächste Schritte

Weitere Informationen zu den hier behandelten Themen finden Sie in den folgenden Blogs, der Dokumentation und Videos:

Azure Firewall-Partner für zentrale Verwaltung: