Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Firewall di Azure offre la gestione centralizzata delle policy di sicurezza di rete e la registrazione attraverso le tue reti virtuali. I consigli seguenti consentono di verificare che le funzionalità di protezione chiave siano attive e configurate correttamente.
Per un riepilogo di tutte le raccomandazioni sulla sicurezza di rete di Azure Zero Trust, vedere Raccomandazioni sulla sicurezza di rete di Azure Zero Trust.
Raccomandazioni
Il traffico in uscita dai carichi di lavoro integrati nella rete virtuale viene instradato tramite Firewall di Azure
Firewall di Azure è un servizio di sicurezza di rete nativo del cloud che fornisce ispezione, registrazione e imposizione centralizzate per il traffico in uscita. In un'architettura di rete sicura, il traffico in uscita dai carichi di lavoro integrati nella rete virtuale, ad esempio macchine virtuali, cluster del servizio Azure Kubernetes, servizio app e funzioni deve essere instradato in modo esplicito tramite Firewall di Azure prima di raggiungere i servizi esterni. Questo routing garantisce che l'ispezione della sicurezza in uscita, inclusi i filtri di intelligence sulle minacce, il rilevamento e la prevenzione delle intrusioni, l'ispezione TLS e l'applicazione dei criteri in uscita, venga applicata a tutti i flussi in uscita. Senza questo routing, il traffico in uscita ignora completamente il firewall, lasciando l'ambiente esposto all'esfiltrazione dei dati e alla comunicazione di comando e controllo. Questo controllo verifica che le route di rete effettive indirizzano il traffico in uscita all'indirizzo IP privato del firewall per i carichi di lavoro idonei in tutte le sottoscrizioni.
Per carichi di lavoro con traffico elevato che rischiano l'esaurimento delle porte SNAT, valutare la possibilità di distribuire il gateway NAT di Azure insieme a Firewall di Azure. Il gateway NAT offre fino a 64.512 porte SNAT per indirizzo IP pubblico rispetto alle 2.496 porte SNAT di Azure Firewall per ogni istanza. Quando associato alla AzureFirewallSubnet, il gateway NAT gestisce la traduzione in uscita mentre Azure Firewall continua a ispezionare il traffico, senza nessun doppio NAT.
Azione di correzione
- Configurare il routing di Firewall di Azure
- Gestire tabelle di instradamento e instradamenti
- Controllare il traffico in uscita del servizio app con Firewall di Azure
- Regole di sicurezza di Firewall di Azure
L'intelligence sulle minacce è abilitata in modalità di negazione su Azure Firewall
Il Firewall di Azure utilizza avvisi di filtraggio basati sull'Intelligence per le minacce, negando il traffico da e verso indirizzi IP maligni noti, nomi di dominio completi (FQDN) e URL provenienti dal feed Microsoft Threat Intelligence. Quando abilitato, il Firewall di Azure valuta il traffico rispetto alle regole di intelligence sulle minacce, prima di applicare le regole di traduzione degli indirizzi di rete (NAT), di rete o di applicazione. Questo controllo verifica che l'Intelligence delle minacce sia abilitata in modalità "Avviso e negare" nella politica del firewall di Azure. Senza questa funzionalità abilitata, l'ambiente rimane esposto a indirizzi IP, domini e URL dannosi noti, creando il rischio di compromissione o esfiltrazione di dati.
Annotazioni
La modalità "Avviso e rifiuto" richiede Firewall di Azure Standard o Premium. Firewall di Azure Basic supporta solo la modalità di avviso. Per un confronto completo delle funzionalità, vedere Scegliere lo SKU corretto di Firewall di Azure.
Azione di correzione
L'ispezione IDPS è abilitata in modalità di negazione in Azure Firewall
Firewall di Azure Premium offre funzionalità di rilevamento e prevenzione delle intrusioni basate sulla firma (IDPS) per rilevare gli attacchi identificando modelli specifici, ad esempio sequenze di byte nel traffico di rete o sequenze di istruzioni dannose note usate dal malware. Le firme IDPS si applicano sia al traffico a livello di applicazione che a livello di rete a livelli 3-7, vengono completamente gestite e aggiornate continuamente e possono essere applicate al traffico in ingresso, spoke-to-spoke e in uscita, incluso il traffico da e verso reti locali. Questo controllo verifica che IDPS sia abilitato in modalità "Avviso e negazione" nei criteri di Firewall di Azure. Se IDPS è disabilitato o in modalità solo "Avviso", i modelli dannosi nel traffico di rete non vengono bloccati attivamente.
Azione di correzione
- Guida all'implementazione delle funzionalità Premium di Firewall di Azure
- Funzionalità di Azure Firewall per SKU
L'ispezione del traffico TLS in uscita è abilitata in Firewall di Azure
Firewall di Azure Premium offre l'ispezione TLS (Transport Layer Security) per decrittografare, controllare e crittografare nuovamente il traffico crittografato in uscita e east-west usando un certificato dell'autorità di certificazione (CA) fornito dal cliente archiviato in Azure Key Vault. L'ispezione TLS consente funzionalità di sicurezza avanzate, tra cui il rilevamento e la prevenzione delle intrusioni (IDPS) e il filtro URL per analizzare il traffico crittografato e identificare le minacce che usano canali crittografati per evitare il rilevamento. Senza l'ispezione TLS abilitata, il firewall non può esaminare i payload crittografati, limitando significativamente la visibilità sulle minacce che sfruttano TLS per ignorare i controlli di sicurezza tradizionali.
Azione di correzione
- Abilitare l'ispezione TLS in Firewall di Azure Premium
- Distribuire i certificati con l'autorità di certificazione aziendale per l'ispezione Premium TLS del firewall di Azure
- Creare e configurare certificati CA intermedi per l'ispezione TLS
- Archiviare i certificati in Azure Key Vault per l'ispezione TLS
- Configurare le regole dell'applicazione con ispezione TLS in Azure Firewall policy
- Funzionalità di Azure Firewall per SKU
La registrazione diagnostica è abilitata in Firewall di Azure
Firewall di Azure elabora tutto il traffico di rete in ingresso e in uscita per carichi di lavoro protetti, rendendolo un punto di controllo fondamentale per il monitoraggio della sicurezza. Quando la registrazione diagnostica non è abilitata, i team di sicurezza perdono visibilità su modelli di traffico, tentativi di connessione negati, corrispondenze di intelligence sulle minacce e rilevamenti delle firme del sistema di rilevamento e prevenzione delle intrusioni (IDPS). Senza la registrazione dei log, gli autori delle minacce che ottengono l'accesso possono muoversi lateralmente senza essere rilevati, e i rispondenti agli incidenti non possono costruire sequenze temporali degli attacchi. Firewall di Azure offre più categorie di log, tra cui log delle regole dell'applicazione, log delle regole di rete, log delle regole NAT (Network Address Translation), log di intelligence sulle minacce, log delle firme IDPS e log proxy DNS che devono essere indirizzati a una destinazione, ad esempio Log Analytics, un account di archiviazione o un hub eventi per il monitoraggio della sicurezza e l'analisi forense.
Azione di correzione
- Creare un'area di lavoro Log Analytics
- Creare impostazioni di diagnostica in Monitoraggio di Azure
- Log strutturati di Firewall di Azure
- Cartella di lavoro di Firewall di Azure
- Monitorare il Firewall di Azure