Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure Firewall bietet eine zentrale Durchsetzung der Netzwerksicherheitsrichtlinien und Protokollierung in Ihren virtuellen Netzwerken. Die folgenden Empfehlungen helfen Ihnen zu überprüfen, ob wichtige Schutzfeatures aktiv und ordnungsgemäß konfiguriert sind.
Eine Zusammenfassung aller Empfehlungen für die Zero Trust-Sicherheit in Azure-Netzwerken finden Sie in den Empfehlungen zur Zero Trust-Sicherheit von Azure-Netzwerken.
Empfehlungen
Ausgehender Datenverkehr von VNet-integrierten Workloads wird über die Azure Firewall weitergeleitet.
Azure Firewall ist ein cloudeigener Netzwerksicherheitsdienst, der zentrale Inspektion, Protokollierung und Erzwingung für ausgehenden Datenverkehr bereitstellt. In einer sicheren Netzwerkarchitektur sollten ausgehender Datenverkehr von VNet-integrierten Workloads wie VMs, AKS-Clustern, App Service und Funktionen explizit über die Azure-Firewall weitergeleitet werden, bevor externe Dienste erreicht werden. Dieses Routing stellt sicher, dass die ausgehende Sicherheitsüberprüfung – einschließlich Bedrohungsintelligenz-Filterung, Einbruchserkennung und -verhinderung, TLS-Inspektion und Ausgangsrichtliniendurchsetzung – auf alle ausgehenden Datenflüsse angewendet wird. Ohne dieses Routing umgeht der ausgehende Datenverkehr die Firewall vollständig, wodurch die Umgebung Datenexfiltration und Befehls- und Steuerungskommunikation ausgesetzt ist. Diese Überprüfung stellt sicher, dass effektive Netzwerk-Routen den ausgehenden Datenverkehr für berechtigte Workloads in allen Abonnements an die private IP-Adresse der Firewall leiten.
Bei Workloads mit hohem Datenverkehr, die die SNAT-Portausschöpfung gefährden, sollten Sie das Azure NAT-Gateway zusammen mit der Azure Firewall bereitstellen. DAS NAT-Gateway bietet bis zu 64.512 SNAT-Ports pro öffentliche IP-Adresse im Vergleich zu den 2.496 SNAT-Ports pro öffentliche IP pro Instanz von Azure Firewall. Wenn sie dem AzureFirewallSubnet zugeordnet sind, verarbeitet NAT-Gateway ausgehende Übersetzungen, während die Azure Firewall den Datenverkehr weiterhin überprüft – ohne doppelte NAT.
Wartungsaktion
- Konfigurieren des Azure Firewall-Routings
- Verwalten von Routentabellen und Routen
- Steuern des ausgehenden Datenverkehrs des App-Diensts mit azure Firewall
- Sicherheitsregeln für Azure Firewall
Die Bedrohungserkennung ist im Verweigerungsmodus auf Azure Firewall aktiviert.
Azure Firewall verwendet Threat Intelligence-basierte Filter, die Warnmeldungen auslösen und Datenverkehr von und zu bekannten bösartigen IP-Adressen, vollqualifizierten Domänennamen (FQDNs) und URLs, die aus dem Microsoft Threat Intelligence-Feed stammen, blockieren. Wenn diese Option aktiviert ist, wertet Azure Firewall Den Datenverkehr gegen Bedrohungserkennungsregeln aus, bevor Netzwerkadressenübersetzung (Network Address Translation, NAT), Netzwerk- oder Anwendungsregeln angewendet werden. Diese Überprüfung überprüft, ob Threat Intelligence im Modus "Warnung und Verweigern" in der Azure-Firewallrichtlinie aktiviert ist. Ohne diese Funktion aktiviert, bleibt die Umgebung bekannten böswilligen IPs, Domänen und URLs ausgesetzt, wodurch das Risiko einer Kompromittierung oder Datenexfiltration entsteht.
Hinweis
Der Modus "Warnung und Ablehnung" erfordert Azure Firewall Standard oder Premium. Azure Firewall Basic unterstützt nur den Warnungsmodus. Einen vollständigen Funktionsvergleich finden Sie unter Auswählen der richtigen Azure Firewall-SKU.
Wartungsaktion
IDPS-Inspektion ist im Verweigerungsmodus auf Azure Firewall aktiviert.
Azure Firewall Premium bietet signaturbasiertes Intrusion Detection and Prevention System (IDPS) zum Erkennen von Angriffen, indem bestimmte Muster wie Bytesequenzen im Netzwerkdatenverkehr oder bekannte schädliche Anweisungssequenzen identifiziert werden, die von Schadsoftware verwendet werden. IDPS-Signaturen gelten sowohl für den Datenverkehr auf Anwendungs- als auch auf Netzwerkebene in den Schichten 3-7, werden umfassend verwaltet und kontinuierlich aktualisiert. Sie können auf eingehenden, Spoke-to-Spoke- und ausgehenden Datenverkehr angewendet werden, einschließlich des Datenverkehrs zu und von lokalen Netzwerken vor Ort. Diese Überprüfung überprüft, ob IDPS im Modus "Warnung und Verweigern" in der Azure Firewall-Richtlinie aktiviert ist. Wenn IDPS deaktiviert oder nur im Modus "Warnung" aktiviert ist, werden böswillige Muster im Netzwerkdatenverkehr nicht aktiv blockiert.
Wartungsaktion
Überprüfung ausgehenden TLS-Datenverkehrs ist in azure Firewall aktiviert
Azure Firewall Premium bietet TLS-Überprüfung (Transport Layer Security), um ausgehenden und ost-westverschlüsselten Datenverkehr mithilfe eines im Azure Key Vault gespeicherten Zertifikats einer vom Kunden bereitgestellten Zertifizierungsstelle zu entschlüsseln, zu prüfen und erneut zu verschlüsseln. DIE TLS-Inspektion ermöglicht erweiterte Sicherheitsfunktionen, einschließlich Intrusion Detection and Prevention System (IDPS) und URL-Filterung, um verschlüsselten Datenverkehr zu analysieren und Bedrohungen zu identifizieren, die verschlüsselte Kanäle verwenden, um die Erkennung zu umgehen. Ohne aktivierte TLS-Inspektion kann die Firewall verschlüsselte Nutzlasten nicht prüfen, was die Sichtbarkeit von Bedrohungen, die TLS nutzen, um herkömmliche Sicherheitskontrollen zu umgehen, erheblich einschränken.
Wartungsaktion
- Aktivieren der TLS-Inspektion in Azure Firewall Premium
- Bereitstellen von Zertifikaten mit enterprise CA für Azure Firewall Premium TLS-Inspektion
- Erstellen und Konfigurieren von Zertifikaten der Zwischenzertifizierungsstellen für die TLS-Inspektion
- Speichern von Zertifikaten in Azure Key Vault für TLS-Inspektion
- Konfigurieren von Anwendungsregeln mit TLS-Überprüfung in der Azure Firewall-Richtlinie
- Azure Firewall-Features nach SKU
Die Diagnoseprotokollierung ist in der Azure-Firewall aktiviert.
Azure Firewall verarbeitet den gesamten eingehenden und ausgehenden Netzwerkdatenverkehr für geschützte Workloads und macht ihn zu einem kritischen Kontrollpunkt für die Sicherheitsüberwachung. Wenn die Diagnoseprotokollierung nicht aktiviert ist, verlieren Sicherheitsteams die Sichtbarkeit von Datenverkehrsmustern, verweigerte Verbindungsversuche, Übereinstimmungen mit der Bedrohungserkennung sowie IDPS-Signaturerkennungen (Intrusion Detection and Prevention System). Ohne Protokollierung können Bedrohungsakteure, die Zugriff erhalten, sich lateral bewegen, ohne dass sie entdeckt werden, und Incident-Responder können keine Angriffszeitachsen erstellen. Azure Firewall stellt mehrere Protokollkategorien bereit, darunter Anwendungsregelprotokolle, Netzwerkregelprotokolle, NAT-Regelprotokolle (Network Address Translation), Threat Intelligence-Protokolle, IDPS-Signaturprotokolle und DNS-Proxyprotokolle, die an ein Ziel wie Log Analytics, ein Speicherkonto oder einen Event Hub für die Sicherheitsüberwachung und forensische Analyse weitergeleitet werden müssen.
Wartungsaktion
- Erstellen eines Log Analytics-Arbeitsbereichs
- Erstellen von Diagnoseeinstellungen in Azure Monitor
- Strukturierte Azure Firewall-Protokolle
- Azure Firewall-Arbeitsmappe
- Azure Firewall überwachen