Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure Policy ist ein Dienst in Azure, den Sie zum Erstellen, Zuweisen und Verwalten von Richtlinien verwenden können. Mit diesen Richtlinien werden unterschiedliche Regeln und Auswirkungen für Ihre Ressourcen erzwungen, damit diese stets mit Ihren Unternehmensstandards und Vereinbarungen zum Servicelevel konform bleiben. Azure Policy bewertet Ihre Ressourcen auf Nichtkonformität mit zugewiesenen Richtlinien. Sie können zum Beispiel eine Richtlinie verwenden, um nur eine bestimmte Größe virtueller Maschinen in Ihrer Umgebung zu bieten oder um ein bestimmtes Tag für Ressourcen zu erzwingen.
Sie können Azure Policy verwenden, um Azure Firewall-Konfigurationen zu steuern, indem Sie Richtlinien anwenden, die definieren, welche Konfigurationen zulässig oder unzulässig sind. Dieser Ansatz trägt dazu bei, sicherzustellen, dass die Firewalleinstellungen mit den Complianceanforderungen der Organisation und bewährten Methoden der Sicherheit konsistent sind.
Voraussetzungen
Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.
Für Azure Firewall verfügbare Richtlinien
Für Azure Firewall sind folgende Richtlinien verfügbar:
| Policy | Beschreibung |
|---|---|
| Threat Intelligence in Azure Firewall-Richtlinien aktivieren | Kennzeichnet jede Azure Firewall-Konfiguration ohne Bedrohungserkennung, die als nicht konform aktiviert ist. |
| Azure Firewall in mehreren Verfügbarkeitszonen bereitstellen | Schränkt die Azure Firewall-Bereitstellung so ein, dass nur mehrere Verfügbarkeitszonenkonfigurationen zulässig sind. |
| Azure Firewall Standard auf Premium aktualisieren | Empfiehlt das Upgrade von Azure Firewall Standard auf Premium, um erweiterte Premium-Features zu verwenden und die Netzwerksicherheit zu verbessern. |
| Azure Firewall-Richtlinienanalyse muss aktiviert werden | Stellt sicher, dass die Richtlinienanalyse in der Firewall aktiviert ist, um Firewallregeln effektiv abzustimmen und zu optimieren. |
| Azure Firewall darf nur verschlüsselten Datenverkehr zulassen | Überprüft Firewallrichtlinienregeln und Ports, um sicherzustellen, dass nur verschlüsselter Datenverkehr in die Umgebung zulässig ist. |
| Azure Firewall sollte den DNS-Proxy aktiviert haben | Stellt sicher, dass das DNS-Proxyfeature für Azure Firewall-Bereitstellungen aktiviert ist. |
| IDPS in Azure Firewall Premium-Richtlinien aktivieren | Stellt sicher, dass das IDPS-Feature in Azure Firewall-Bereitstellungen aktiviert ist, um vor Bedrohungen und Sicherheitsrisiken zu schützen. |
| TLS-Inspektion in Azure-Firewall-Richtlinien aktivieren | Erfordert, dass die TLS-Inspektion aktiviert ist, um schädliche Aktivitäten im HTTPS-Datenverkehr zu erkennen, zu warnen und zu mindern. |
| Explizite Proxykonfiguration für Firewallrichtlinien erzwingen | Sicherstellen, dass alle Azure Firewall-Richtlinien eine explizite Proxykonfiguration aktiviert haben, indem das explicitProxy.enableExplicitProxy Feld überprüft wird. Die vollständige Richtliniendefinition finden Sie unter Erzwingen der expliziten Proxykonfiguration für Firewallrichtlinien. |
| Aktivieren der PAC-Dateikonfiguration bei Verwendung eines Explicit Proxy in Azure Firewall | Überprüft Firewall-Richtlinien, um sicherzustellen, dass, wenn der explizite Proxy aktiviert ist (explicitProxy.enableExplicitProxy ist wahr), die PAC-Datei (explicitProxy.enablePacFile) ebenfalls aktiviert ist. Die vollständige Richtliniendefinition finden Sie unter Aktivieren Sie die PAC-Dateikonfiguration bei Verwendung eines expliziten Proxys in der Azure Firewall. |
| Von Azure Firewall Classic-Regeln zu Firewall-Richtlinie migrieren | Empfiehlt die Migration von klassischen Firewallregeln zu Firewallrichtlinien. |
| Für VNET mit einem bestimmten Tag muss Azure Firewall bereitgestellt sein | Überprüft alle virtuellen Netzwerke mit einem angegebenen Tag für eine Azure Firewall-Bereitstellung und kennzeichnet die Konfiguration als nicht konform, wenn keine vorhanden ist. |
Die folgenden Schritte zeigen, wie Sie eine Azure-Richtlinie erstellen können, die alle Firewallrichtlinien erzwingt, damit das Feature Threat Intelligence aktiviert ist (entweder Nur Warnung oder Warnung und Ablehnung). Legen Sie den Azure-Richtlinienbereich auf die von Ihnen erstellte Ressourcengruppe fest.
Erstellen einer Ressourcengruppe
Legen Sie diese Ressourcengruppe als Bereich für die Azure-Richtlinie fest. Erstellen Sie die Firewallrichtlinie in dieser Ressourcengruppe.
- Wählen Sie im Azure-Portal die Option "Ressource erstellen", suchen
resource groupund wählen Sie "Ressourcengruppe" aus den Ergebnissen aus. - Wählen Sie "Erstellen", wählen Sie Ihr Abonnement aus, geben Sie einen Namen für Ihre Ressourcengruppe ein, und wählen Sie eine Region aus.
- Klicken Sie auf Überprüfen und erstellen und dann auf Erstellen.
Azure-Richtlinie erstellen
Erstellen Sie nun Azure Policy in Ihrer neuen Ressourcengruppe. Diese Richtlinie stellt sicher, dass alle Firewallrichtlinien Threat Intelligence aktiviert haben.
- Im Azure-Portal nach
policysuchen und aus den Ergebnissen Richtlinie auswählen. - Erweitern Sie im linken Menü Authoring und wählen Sie Definitionen aus.
- Geben Sie im Suchfeld "
firewall" ein und wählen Sie dann "Azure Firewall Policy sollte Bedrohungsinformationen aktivieren". - Wählen Sie Richtlinie zuweisen aus.
- Wählen Sie für "Bereich" Ihr Abonnement und Ihre neue Ressourcengruppe und dann "Auswählen" aus.
- Wählen Sie Weiter aus.
- Deaktivieren Sie im Bereich "Parameter" das Kontrollkästchen "Nur Parameter anzeigen", die Eingabe oder Überprüfung benötigen, und wählen Sie dann für "Effekt" die Option "Verweigern" aus.
- Klicken Sie aufÜberprüfen + erstellen und dann auf Erstellen.
Erstellen einer Firewallrichtlinie
Erstellen Sie nun eine Firewallrichtlinie mit deaktivierter Bedrohungserkennung.
- Wählen Sie im Azure-Portal die Option Ressource erstellen, suchen Sie nach
firewall policy, und wählen Sie Firewallrichtlinie aus den Ergebnissen aus. - Wählen Sie "Erstellen" und dann Ihr Abonnement und die Zuvor erstellte Ressourcengruppe aus.
- Geben Sie im Feld "Name " einen Namen für Ihre Richtlinie ein.
- Wechseln Sie zur Registerkarte "Bedrohungserkennung ".
- Wählen Sie für Threat Intelligence-Modus die Option deaktiviert aus.
- Klicken Sie auf Überprüfen + erstellen.
Es wird ein Fehler angezeigt, der besagt, dass Ihre Ressource durch eine Richtlinie nicht zugelassen wurde, und bestätigt, dass Ihre Azure-Richtlinie keine Firewallrichtlinien zulässt, die Threat Intelligence deaktiviert haben.
Zusätzliche Azure-Richtliniendefinitionen
Weitere Azure-Richtliniendefinitionen, die speziell für die Azure-Firewall entwickelt wurden, einschließlich Richtlinien für die explizite Proxykonfiguration, finden Sie im GitHub-Repository für Azure Network Security. Dieses Repository enthält Von der Community beigetragene Richtliniendefinitionen, die Sie in Ihrer Umgebung bereitstellen können.