Verwenden von Azure Policy zum Sichern Ihrer Azure Firewall-Bereitstellungen

Azure Policy ist ein Dienst in Azure, mit dem Sie Richtlinien erstellen, zuweisen und verwalten können. Mit diesen Richtlinien werden unterschiedliche Regeln und Auswirkungen für Ihre Ressourcen erzwungen, damit diese stets mit Ihren Unternehmensstandards und Vereinbarungen zum Servicelevel konform bleiben. Dazu wertet Azure Policy Ihre Ressourcen auf Nichtkompatibilität mit zugewiesenen Richtlinien aus. Sie könnten z. B. über eine Richtlinie verfügen, um nur eine bestimmte Größe von virtuellen Computern in Ihrer Umgebung zuzulassen oder ein bestimmtes Tag für Ressourcen zu erzwingen.

Azure Policy kann verwendet werden, um Azure Firewall-Konfigurationen zu steuern, indem Richtlinien angewendet werden, die definieren, welche Konfigurationen zulässig oder unzulässig sind. Dadurch wird sichergestellt, dass die Firewalleinstellungen den Complianceanforderungen der Organisation und bewährten Methoden der Sicherheit entsprechen.

Voraussetzungen

Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.

Für Azure Firewall verfügbare Richtlinien

Für Azure Firewall sind folgende Richtlinien verfügbar:

• Threat Intelligence in Azure Firewall-Richtlinien aktivieren

  Diese Richtlinie stellt sicher, dass alle Azure Firewall-Konfigurationen ohne aktivierte Threat Intelligence als nicht konform gekennzeichnet werden.

• Azure Firewall in mehreren Verfügbarkeitszonen bereitstellen

  Die Richtlinie schränkt die Bereitstellung der Azure Firewall so ein, dass sie nur mit der Konfiguration für mehrere Verfügbarkeitszonen zulässig ist.

• Azure Firewall Standard auf Premium aktualisieren

  Diese Richtlinie empfiehlt das Aktualisieren von Azure Firewall Standard auf Premium, sodass alle erweiterten Firewallfunktionen der Premium-Version verwendet werden können. Dadurch wird die Sicherheit des Netzwerks weiter verbessert.

• Azure Firewall-Richtlinienanalyse muss aktiviert werden

  Diese Richtlinie stellt sicher, dass die Richtlinienanalyse in der Firewall aktiviert ist, um Firewallregeln effektiv zu optimieren und abzustimmen.

• Azure Firewall darf nur verschlüsselten Datenverkehr zulassen

  Diese Richtlinie analysiert vorhandene Regeln und Ports in Azure Firewall-Richtlinien und überprüft die Firewallrichtlinie, um sicherzustellen, dass nur verschlüsselter Datenverkehr in die Umgebung zulässig ist.

• Für Azure Firewall-Richtlinien muss der DNS-Proxy aktiviert sein

  Diese Richtlinie stellt sicher, dass die DNS-Proxyfunktion für Azure Firewall-Bereitstellungen aktiviert ist.

• IDPS in Azure Firewall Premium-Richtlinien aktivieren

  Diese Richtlinie stellt sicher, dass das IDPS-Feature in Azure Firewall-Bereitstellungen aktiviert ist, um die Umgebung effektiv vor verschiedenen Bedrohungen und Sicherheitsrisiken zu schützen.

• TLS-Inspektion in Azure-Firewall-Richtlinien aktivieren

  Diese Richtlinie schreibt vor, dass die TLS-Inspektion aktiviert ist, um bösartige Aktivitäten im HTTPS-Datenverkehr zu erkennen, zu warnen und zu mindern.

• Explizite Proxykonfiguration für Firewallrichtlinien erzwingen

  Diese Richtlinie stellt sicher, dass alle Azure Firewall-Richtlinien explizite Proxykonfiguration aktiviert haben. Es überprüft das Vorhandensein des explicitProxy.enableExplicitProxy Felds und kennzeichnet Ressourcen als nicht konform, wenn diese Einstellung fehlt. Dies trägt dazu bei, konsistente Proxykonfigurationen für alle Firewallbereitstellungen aufrechtzuerhalten. Die vollständige Richtliniendefinition finden Sie unter Erzwingen der expliziten Proxykonfiguration für Firewallrichtlinien.

• Aktivieren der PAC-Dateikonfiguration bei Verwendung eines Explicit Proxy in Azure Firewall

  Diese Richtlinie überwacht Azure Firewall-Richtlinien, um sicherzustellen, dass die PAC-Datei (Proxy Auto-Configuration) auch ordnungsgemäß konfiguriert ist, wenn expliziter Proxy aktiviert ist. Es wird überprüft, dass, wenn explicitProxy.enableExplicitProxy wahr ist, dann sollte auch explicitProxy.enablePacFile aktiviert sein, um die ordnungsgemäße Proxy-Autokonfiguration bereitzustellen. Die vollständige Richtliniendefinition finden Sie unter Aktivieren Sie die PAC-Dateikonfiguration bei Verwendung eines expliziten Proxys in der Azure Firewall.

• Klassische Azure Firewall-Regeln zur Firewall-Richtlinien migrieren

  Diese Richtlinie empfiehlt die Migration von klassischen Firewall-Regeln zu Firewall-Richtlinien.

• Für VNET mit einem bestimmten Tag muss Azure Firewall bereitgestellt sein

  Diese Richtlinie findet alle virtuellen Netzwerke mit einem angegebenen Tag und überprüft, ob Azure Firewall bereitgestellt wurde, und kennzeichnet sie als nicht konform, wenn Azure Firewall nicht vorhanden ist.

Die folgenden Schritte zeigen, wie Sie ein Azure Policy erstellen können, das alle Firewallrichtlinien erzwingt, damit das Feature „Threat Intelligence“ aktiviert werden kann (entweder Nur warnen oder Warnen und ablehnen). Der Azure Policy-Bereich wird auf die von Ihnen erstellte Ressourcengruppe festgelegt.

Erstellen einer Ressourcengruppe

Diese Ressourcengruppe wird als Bereich für Azure Policy festgelegt und ist der Ort, an dem Sie die Firewallrichtlinie erstellen.

1. Wählen Sie im Azure-Portal die Option Ressource erstellen.
2. Geben Sie im Suchfeld die Ressourcengruppe ein, und drücken Sie die EINGABETASTE.
3. Wählen Sie in den Suchergebnissen Ressourcengruppe aus.
4. Klicken Sie auf Erstellen.
5. Wählen Sie Ihr Abonnement aus.
6. Geben Sie einen Namen für Ihre Ressourcengruppe ein.
7. Wählen Sie eine Region aus.
8. Wählen Sie Weiter: Tags.
9. Wählen Sie Weiter: Überprüfen + erstellen.
10. Klicken Sie auf Erstellen.

Azure-Richtlinie erstellen

Erstellen Sie nun Azure Policy in Ihrer neuen Ressourcengruppe. Diese Richtlinie stellt sicher, dass für alle Firewallrichtlinien Threat Intelligence aktiviert sein muss.

1. Wählen Sie im Azure-Portal die Option Weitere Dienste aus.
2. Geben Sie im Filterfeld Richtlinie ein, und drücken Sie die EINGABETASTE.
3. Wählen Sie in den Suchergebnissen den Eintrag Richtlinie aus.
4. Wählen Sie auf der Seite „Richtlinie“ die Option Erste Schritte aus.
5. Wählen Sie unter Richtlinien zuweisen die Option Ansichtsdefinitionen aus.
6. Geben Sie auf der Seite „Definitionen“ Firewall in das Suchfeld ein.
7. Wählen Sie Für Azure Firewall-Richtlinien muss Threat Intelligence aktiviert sein aus.
8. Wählen Sie Richtlinie zuweisen aus.
9. Wählen Sie für Bereich Ihr Abonnement und Ihre neue Ressourcengruppe aus.
10. Wählen Sie Auswählen aus.
11. Wählen Sie Weiter aus.
12. Deaktivieren Sie auf der Seite Parameter das Kontrollkästchen Nur Parameter anzeigen, die eingegeben oder überprüft werden müssen.
13. Wählen Sie unter Auswirkung die Option Verweigern aus.
14. Klicken Sie auf Überprüfen + erstellen.
15. Klicken Sie auf Erstellen.

Erstellen einer Firewallrichtlinie

Versuchen Sie jetzt, eine Firewallrichtlinie mit deaktivierter Threat Intelligence zu erstellen.

1. Wählen Sie im Azure-Portal die Option Ressource erstellen.
2. Geben Sie im Suchfeld Firewallrichtlinie ein, und drücken Sie die EINGABETASTE.
3. Wählen Sie in den Suchergebnissen Firewallrichtlinien aus.
4. Klicken Sie auf Erstellen.
5. Wählen Sie Ihr Abonnement aus.
6. Wählen Sie für Ressourcengruppe die Ressourcengruppe aus, die Sie zuvor erstellt haben.
7. Geben Sie im Textfeld Name einen Namen für die Richtlinie ein.
8. Wählen Sie Weiter: DNS-Einstellungen aus.
9. Fahren Sie mit der Auswahl zur Seite Threat Intelligence fort.
10. Wählen Sie für Threat Intelligence-Modus die Option deaktiviert aus.
11. Klicken Sie auf Überprüfen + erstellen.

Es sollte ein Fehler angezeigt werden, der besagt, dass Ihre Ressource aufgrund einer Richtlinie nicht zugelassen wurde. Somit wird bestätigt, dass Ihr Azure Policy keine Firewallrichtlinien zulässt, für die Threat Intelligence deaktiviert ist.

Zusätzliche Azure-Richtliniendefinitionen

Weitere Azure-Richtliniendefinitionen, die speziell für die Azure-Firewall entwickelt wurden, einschließlich Richtlinien für die explizite Proxykonfiguration, finden Sie im GitHub-Repository für Azure Network Security. Dieses Repository enthält Von der Community beigetragene Richtliniendefinitionen, die Sie in Ihrer Umgebung bereitstellen können.

Zugehöriger Inhalt

• Was ist Azure Policy?
• Verwalten Ihrer Azure Firewall-Konfiguration mit Azure Policy
• Expliziter Azure Firewall-Proxy (Vorschau)