Jetzt allgemein verfügbar: Neue erweiterte DNS-Features in Azure Firewall

Veröffentlicht am 9 November, 2020

Program Manager, Azure Networking

Dieser Beitrag wurde von Adam Stuart, Technical Specialist, Azure Networking mitverfasst.

Das benutzerdefinierte DNS, der DNS-Proxy und die FQDN-Filterung in Netzwerkregeln (für Nicht-HTTP/S- und Nicht-MSSQL-Protokolle) sind jetzt in Azure Firewall allgemein verfügbar. In diesem Blogbeitrag wird auch ein Beispiel für einen Anwendungsfall zur Verwendung des DNS-Proxys mit Private Link vorgestellt. 

Azure Firewall ist ein cloudnatives Firewall-as-a-Service-Angebot (FWaaS), mit dem Sie Ihren gesamten Datenverkehr mithilfe eines DevOps-Ansatzes zentral verwalten und protokollieren können. Der Dienst unterstützt Filter auf Anwendungs-, NAT- und Netzwerkebene und ist mit dem Microsoft Threat Intelligence-Feed integriert, um bekannte schädliche IP-Adressen und Domänen herauszufiltern. Azure Firewall ist dank integrierter automatischer Skalierung hochverfügbar.

Jetzt allgemein verfügbar: Unterstützung des benutzerdefinierten DNS

Seit der Einführung im September 2018 wurde Azure Firewall für die Verwendung von Azure DNS hartcodiert, um sicherzustellen, dass der Dienst ausgehende Abhängigkeiten zuverlässig auflösen kann. Mit dem benutzerdefinierten DNS können Sie Azure Firewall für die Verwendung Ihres eigenen DNS-Servers konfigurieren und gleichzeitig sicherstellen, dass die ausgehenden Abhängigkeiten der Firewall weiterhin mit Azure DNS aufgelöst werden. Sie können einen einzelnen DNS-Server oder mehrere Server in den DNS-Einstellungen von Azure Firewall und in den DNS-Einstellungen der Firewallrichtlinie konfigurieren.

Azure Firewall kann Namen auch mithilfe der privaten Azure DNS-Instanz auflösen. Das virtuelle Netzwerk, in dem sich die Azure-Firewall befindet, muss mit der privaten Azure-Zone verknüpft sein.

Jetzt allgemein verfügbar: DNS-Proxy

Wenn der DNS-Proxy aktiviert ist, kann Azure Firewall DNS-Abfragen von einem virtuellen Netzwerk verarbeiten und an Ihren gewünschten DNS-Server weiterleiten. Diese Funktionalität ist wichtig und für die zuverlässige FQDN-Filterung in Netzwerkregeln erforderlich. Sie können den DNS-Proxy in Azure Firewall und in den Einstellungen der Firewallrichtlinien aktivieren. Weitere Informationen über DNS-Proxyprotokolle finden Sie in der Dokumentation zu Azure Firewall-Protokollen und -Metriken.

Für die DNS-Proxykonfiguration sind drei Schritte erforderlich:

  1. Aktivieren Sie den DNS-Proxy in den DNS-Einstellungen von Azure Firewall.
  2. Konfigurieren Sie optional Ihren benutzerdefinierten DNS-Server, oder verwenden Sie den angegebenen Standardwert.
  3. Zuletzt müssen Sie die private IP-Adresse von Azure Firewall in den DNS-Servereinstellungen Ihres virtuellen Netzwerks als benutzerdefinierten DNS-Server konfigurieren. Dadurch wird sichergestellt, dass der DNS-Datenverkehr an Azure Firewall geleitet wird.

Der DNS-Proxy lauscht auf Anforderungen an TCP-Port 53 und leitet diese an Azure DNS oder den angegebenen benutzerdefinierten DNS weiter.

Einstellungen für das benutzerdefinierte DNS und den DNS-Proxy in Azure Firewall

Abbildung 1. Benutzerdefinierte DNS- und DNS-Proxyeinstellungen in Azure Firewall

Jetzt allgemein verfügbar: FQDN-Filterung in Netzwerkregeln

Sie können jetzt vollqualifizierte Domänennamen (Fully Qualified Domain Names, FQDNs) in den Netzwerkregeln basierend auf der DNS-Auflösung in Azure Firewall und in der Firewallrichtlinie verwenden. Die in Ihren Regelsammlungen angegebenen FQDNs werden basierend auf den DNS-Einstellungen Ihrer Firewall in IP-Adressen übersetzt. Diese Funktion ermöglicht es Ihnen, ausgehenden Datenverkehr mithilfe von FQDNs mit einem beliebigen TCP/UDP-Protokoll (einschließlich NTP, SSH, RDP usw.) zu filtern. Da diese Funktion auf der DNS-Auflösung basiert, wird dringend empfohlen, den DNS-Proxy zu aktivieren, um sicherzustellen, dass die Namensauflösung für Ihre geschützten virtuellen Computer und die Firewall konsistent ist.

Worin unterscheidet sich die FQDN-Filterung in Anwendungsregeln und in Netzwerkregeln?

Die FQDN-Filterung in Anwendungsregeln für HTTP/S und MSSQL basiert auf einem transparenten Proxy auf Anwendungsebene. Die Funktion selbst kann zwischen zwei FQDNs unterscheiden, die in dieselbe IP-Adresse aufgelöst werden. Da dies bei der FQDN-Filterung in Netzwerkregeln nicht der Fall ist, wird empfohlen, möglichst immer Anwendungsregeln zu verwenden.

FQDN-Filterung in Netzwerkregeln

Abbildung 2: FQDN-Filterung in Netzwerkregeln

Verwenden von Azure Firewall als DNS-Proxy für den lokalen Zugriff auf private Endpunkte

Azure Private Link bietet die Möglichkeit, mithilfe von privaten Endpunkten eine Verbindung mit Microsoft PaaS-Diensten, einschließlich Speicherkonten, App-Diensten und mehr über eine private Verbindung herzustellen. Ein privater Endpunkt ist eine Netzwerkschnittstelle, die eine private und sichere Verbindung mit einem von Azure Private Link betriebenen PaaS-Dienst herstellt. Private Endpunkte verwenden eine private IP-Adresse Ihres virtuellen Netzwerks, wodurch der Dienst effizient in Ihr privates Netzwerk in der Cloud eingebunden wird. Dieser Ansatz bietet zusätzliche Sicherheitsvorteile, da die Verfügbarkeit und Zugänglichkeit öffentlicher IP-Adressen des PaaS-Diensts entfernt wird.

Einer der großen Vorteile von Azure Private Link ist die Möglichkeit, Microsoft-PaaS-Dienste über Hybridverbindungen mit privaten Adressen zu nutzen (z. B. Privates Azure ExpressRoute-Peering oder Site-to-Site-VPN). Allerdings umfasst dieser Vorteil die Herausforderung, dass DNS-Anforderungen von der lokalen Instanz an die private Azure DNS-Instanz weitergeleitet werden müssen, damit Sie von der automatisierten Lebenszyklusverwaltung von DNS-Datensätzen profitieren können, die Ihren privaten Endpunkten zugeordnet sind.

Jeder Azure-PaaS-Dienst, der Private Link nutzt, erhält einen FQDN, der einer privaten Azure-DNS-Zone zugeordnet ist und in dieser gespeichert wird. An private Azure-DNS-Zonen gesendete Anforderungen werden an die Plattformadresse 168.63.129.16 übermittelt, die nur innerhalb von Azure erreichbar ist. Wenn die DNS-Anforderung von einer lokalen Instanz (außerhalb von Azure) stammt, gilt daher die Voraussetzung, dass die DNS-Anforderung mithilfe eines Diensts in einem virtuellen Netzwerk über einen Proxy erfolgen muss.

Mit dieser Ankündigung der allgemeinen Verfügbarkeit ist der Azure Firewall-DNS-Proxy eine Option zum Erfüllen dieser DNS-Weiterleitungsanforderung, die mit einem Hub-and-Spoke-Modell angewendet werden kann. Hierzu konfigurieren Sie Ihren lokalen DNS-Server, um Anforderungen anhand von Bedingungen für den erforderlichen Zonennamen an Azure Firewall weiterzuleiten. Stellen Sie sicher, dass Ihre private DNS-Zone mit dem virtuellen Netzwerk verbunden ist, in dem sich die Azure-Firewall befindet. Konfigurieren Sie Azure Firewall für die Verwendung der Azure DNS-Standardinstanz für Suchen, und aktivieren Sie den DNS-Proxy in den DNS-Einstellungen von Azure Firewall. Weitere Informationen über den DNS-Proxy finden Sie in der Dokumentation zu DNS-Einstellungen.

Nächste Schritte

Weitere Informationen zu allen in diesem Blogbeitrag behandelten Themen finden Sie in den folgenden Artikeln:

Registrieren Sie sich jetzt für das digitale Azure-Netzwerksicherheitsevent, um mehr über Azure Firewall und die Anwendung eines Zero Trust-Ansatzes zu erfahren, um Ihr Netzwerk zu schützen und Cybersicherheitsangriffen vorzubeugen.