Neue Azure Firewall-Funktionen im zweiten Quartal 2020

Veröffentlicht am 30 Juni, 2020

Program Manager

Wir freuen uns, mehrere neue Azure Firewall-Funktionen anzukündigen, die es Ihrem Unternehmen ermöglichen, die Sicherheit zu verbessern, mehr Anpassungen vorzunehmen und Regeln auf einfachere Weise zu verwalten. Die neuen Funktionen basieren auf Vorschlägen, die in Feedbackbeiträgen am häufigsten genannt wurden:

  • Unterstützung von benutzerdefiniertem DNS jetzt in der Vorschau
  • DNS-Proxyunterstützung jetzt in der Vorschau
  • FQDN-Filterung in Netzwerkregeln jetzt in der Vorschau
  • IP-Adressgruppen jetzt allgemein verfügbar
  • AKS-FQDN-Tag jetzt allgemein verfügbar
  • Azure Firewall jetzt HIPAA-konform 

Darüber hinaus haben wir Anfang Juni 2020 angekündigt, dass die Tunnelerzwingung und die SQL-FQDN-Filterung in Azure Firewall jetzt allgemein verfügbar sind.

Azure Firewall ist ein cloudnatives Firewall-as-a-Service-Angebot (FWaaS), mit dem Sie Ihren gesamten Datenverkehr mithilfe eines DevOps-Ansatzes zentral verwalten und protokollieren können. Der Dienst unterstützt Filterregeln sowohl auf Anwendungs- als auch auf Netzwerkebene und ist in den Microsoft Threat Intelligence-Feed integriert, um bekannte schädliche IP-Adressen und Domänen herauszufiltern. Azure Firewall ist dank integrierter automatischer Skalierung hochverfügbar.

Unterstützung von benutzerdefiniertem DNS jetzt in der Vorschau

Seit der Einführung im September 2018 wurde Azure Firewall für die Verwendung von Azure DNS hartcodiert, um sicherzustellen, dass der Dienst ausgehende Abhängigkeiten zuverlässig auflösen kann. Die Unterstützung von benutzerdefiniertem DNS ermöglicht eine getrennte Auflösung von Kunden- und Dienstnamen. Auf diese Weise können Sie Azure Firewall für die Verwendung Ihres eigenen DNS-Servers konfigurieren und sicherstellen, dass die ausgehenden Abhängigkeiten der Firewall weiterhin mit Azure DNS aufgelöst werden. Sie können einen einzelnen DNS-Server oder mehrere Server in den DNS-Einstellungen von Azure Firewall und in den DNS-Einstellungen der Firewallrichtlinie konfigurieren.

Azure Firewall ist auch in der Lage, Namen mithilfe von privatem Azure DNS aufzulösen, solange die private DNS-Zone mit dem virtuellen Firewallnetzwerk verknüpft ist.

DNS-Proxy jetzt in der Vorschau

Wenn der DNS-Proxy aktiviert ist, werden ausgehende DNS-Abfragen von Azure Firewall verarbeitet, wodurch eine neue DNS-Auflösungsabfrage bei Ihrem benutzerdefinierten DNS-Server oder Azure DNS initiiert wird. Dies ist für eine zuverlässige FQDN-Filterung in den Netzwerkregeln unerlässlich. Sie können den DNS-Proxy in den DNS-Einstellungen von Azure Firewall und in den DNS-Einstellungen der Firewallrichtlinie konfigurieren. 

Für die DNS-Proxykonfiguration sind drei Schritte erforderlich:

  1. Aktivieren Sie den DNS-Proxy in den DNS-Einstellungen von Azure Firewall.
  2. Konfigurieren Sie optional Ihren benutzerdefinierten DNS-Server, oder verwenden Sie den angegebenen Standardwert.
  3. Zuletzt müssen Sie die private IP-Adresse von Azure Firewall in den DNS-Servereinstellungen Ihres virtuellen Netzwerks als benutzerdefinierten DNS-Server konfigurieren. Dadurch wird sichergestellt, dass der DNS-Datenverkehr an Azure Firewall geleitet wird.

  Firewall1
Abbildung 1. Benutzerdefinierte DNS- und DNS-Proxyeinstellungen in Azure Firewall

FQDN-Filterung in Netzwerkregeln jetzt in der Vorschau

Sie können jetzt vollqualifizierte Domänennamen (Fully Qualified Domain Names, FQDNs) in den Netzwerkregeln basierend auf der DNS-Auflösung in Azure Firewall und in der Firewallrichtlinie verwenden. Die in Ihren Regelsammlungen angegebenen FQDNs werden basierend auf den DNS-Einstellungen Ihrer Firewall in IP-Adressen übersetzt. Diese Funktion ermöglicht es Ihnen, ausgehenden Datenverkehr mithilfe von FQDNs mit einem beliebigen TCP/UDP-Protokoll (einschließlich NTP, SSH, RDP usw.) zu filtern. Da diese Funktion auf der DNS-Auflösung basiert, wird dringend empfohlen, den DNS-Proxy zu aktivieren, um sicherzustellen, dass die Namensauflösung bei geschützten virtuellen Computern und bei der Firewall konsistent sind.

Die FQDN-Filterung in Anwendungsregeln für HTTP/S und MSSQL basiert auf einem transparenten Proxy auf Anwendungsebene. Die Funktion selbst kann zwischen zwei FQDNs unterscheiden, die in dieselbe IP-Adresse aufgelöst werden. Da dies bei der FQDN-Filterung in Netzwerkregeln nicht der Fall ist, wird empfohlen, möglichst immer Anwendungsregeln zu verwenden.

 firewall2
Abbildung 2: FQDN-Filterung in Netzwerkregeln

IP-Adressgruppen jetzt allgemein verfügbar

Bei IP-Adressgruppen handelt es sich um eine neue Azure-Ressource der obersten Ebene, mit der Sie IP-Adressen in Azure Firewall-Regeln gruppieren und verwalten können. Sie können Ihrer IP-Adressgruppe einen Namen geben und eine erstellen, indem Sie IP-Adressen eingeben oder eine Datei hochladen. IP-Adressgruppen vereinfachen die Verwaltung und helfen Ihnen dabei, die Zeit, die Sie mit dem Verwalten von IP-Adressen verbringen, zu reduzieren, indem Sie sie in einer einzelnen Firewall oder für mehrere Firewalls verwenden. IP-Adressgruppen sind nun allgemein verfügbar und werden in einer eigenständigen Azure Firewall-Konfiguration oder als Teil der Azure-Firewallrichtlinie unterstützt. Weitere Informationen finden Sie in der Azure Firewall-Dokumentation zu IP-Adressgruppen.

firewall4

Abbildung 3: Erstellen einer neuen IP-Adressgruppe

AKS-FQDN-Tag jetzt allgemein verfügbar

Ein Azure Kubernetes Service (AKS)-FQDN-Tag kann jetzt in Azure Firewall-Anwendungsregeln verwendet werden, um die Firewallkonfiguration für den AKS-Schutz zu vereinfachen. Azure Kubernetes Service (AKS) bietet einen Managed Kubernetes-Cluster in Azure, der die Komplexität und den operativen Mehraufwand für die Kubernetes-Verwaltung verringert, indem ein Großteil der Verantwortung an Azure übertragen wird.

Zu Verwaltungs- und Betriebszwecken müssen Knoten in einem AKS-Cluster auf bestimmte Ports und FQDNs zugreifen. Weitere Anleitungen dazu, wie Sie Azure Kubernetes-Cluster mithilfe von Azure Firewall schützen, finden Sie unter Verwenden von Azure Firewall zum Schutz von Azure Kubernetes Service (AKS)-Bereitstellungen

firewall44
  Abbildung 4. Konfigurieren einer Anwendungsregel mit dem AKS-FQDN-Tag

Nächste Schritte

Weitere Informationen zu allen hier behandelten Themen finden Sie in diesen zusätzlichen Ressourcen: