Zabezpieczanie wdrożeń usługi Azure Firewall przy użyciu usługi Azure Policy

Azure Policy to usługa na platformie Azure, która umożliwia tworzenie, przypisywanie i zarządzanie zasadami. Te zasady wymuszają różne reguły i efekty dotyczące zasobów, dzięki czemu zasoby te pozostają zgodne ze standardami firmy i umowami dotyczącymi poziomu usług. Usługa Azure Policy wykonuje tę funkcję, oceniając zasoby pod kątem niezgodności z przypisanymi zasadami. Na przykład można mieć zasady zezwalania tylko na określony rozmiar maszyn wirtualnych w danym środowisku lub wymuszanie określonego tagu na zasobach.

Za pomocą usługi Azure Policy można zarządzać konfiguracjami usługi Azure Firewall, stosując zasady definiujące, które konfiguracje są dozwolone lub niedozwolone. Dzięki temu ustawienia zapory są zgodne z wymaganiami dotyczącymi zgodności organizacji i najlepszymi rozwiązaniami w zakresie zabezpieczeń.

Prerequisites

Jeśli nie masz subskrypcji Azure, przed rozpoczęciem utwórz darmowe konto.

Zasady dostępne dla usługi Azure Firewall

Dla usługi Azure Firewall są dostępne następujące zasady:

• Włączanie analizy zagrożeń w zasadach usługi Azure Firewall

  Ta zasada zapewnia, że każda konfiguracja Azure Firewall bez włączonej inteligencji zagrożeń jest oznaczona jako niezgodna.

• Wdrażanie usługi Azure Firewall w wielu strefach dostępności

  Zasady ograniczają wdrażanie usługi Azure Firewall tylko w przypadku konfiguracji wielu stref dostępności.

• Uaktualnianie usługi Azure Firewall w warstwie Standardowa do wersji Premium

  Ta zasada zaleca uaktualnienie usługi Azure Firewall ze standardowej wersji do wersji Premium, aby można było używać wszystkich zaawansowanych funkcji zapory w wersji Premium. Dodatkowo zwiększa to bezpieczeństwo sieci.

• Należy włączyć analizę zasad usługi Azure Firewall

  Ta polityka zapewnia włączenie analizy polityki na zaporze w celu efektywnego dostrajania i optymalizowania reguł zapory.

• Usługa Azure Firewall powinna zezwalać tylko na zaszyfrowany ruch

  Te zasady analizują istniejące reguły i porty w zasadach zapory platformy Azure i przeprowadzają inspekcję zasad zapory, aby upewnić się, że tylko zaszyfrowany ruch jest dozwolony w środowisku.

• Usługa Azure Firewall powinna mieć włączony serwer proxy DNS

  Te zasady zapewniają włączenie funkcji serwera proxy DNS we wdrożeniach usługi Azure Firewall.

• Włączanie usługi IDPS w zasadach Premium usługi Azure Firewall

  Dzięki tym zasadom funkcja IDPS jest włączona we wdrożeniach usługi Azure Firewall, aby skutecznie chronić środowisko przed różnymi zagrożeniami i lukami w zabezpieczeniach.

• Włączanie inspekcji protokołu TLS w usłudze Azure Firewall Policy

  Te zasady wymagają włączenia inspekcji protokołu TLS w celu wykrywania, zgłaszania alertów i ograniczania złośliwych działań w ruchu HTTPS.

• Wymuszanie jawnej konfiguracji serwera proxy dla polityk zapory ogniowej

  Te zasady zapewniają, że wszystkie zasady usługi Azure Firewall mają włączoną jawną konfigurację serwera proxy. Sprawdza obecność explicitProxy.enableExplicitProxy pola i flaguje zasoby jako niezgodne, jeśli brakuje tego ustawienia. Pomaga to zachować spójne konfiguracje serwera proxy we wszystkich wdrożeniach zapory. Aby uzyskać pełną definicję zasad, zobacz Wymuszanie jawnej konfiguracji serwera proxy dla zasad zapory.

• Włącz konfigurację pliku PAC przy użyciu jawnego serwera proxy na Azure Firewall

  Te zasady przeprowadzają inspekcję zasad usługi Azure Firewall, aby upewnić się, że po włączeniu jawnego serwera proxy plik PAC (automatyczna konfiguracja serwera proxy) jest również prawidłowo skonfigurowany. Sprawdza, czy jeśli explicitProxy.enableExplicitProxy ma wartość true, explicitProxy.enablePacFile należy również włączyć, aby zapewnić odpowiednie możliwości automatycznej konfiguracji serwera proxy. Aby uzyskać pełną definicję zasad, zobacz Włączanie konfiguracji pliku PAC podczas korzystania z jawnego serwera proxy w usłudze Azure Firewall.

• Migrowanie z reguł klasycznych usługi Azure Firewall do polityki zapory

  Te zasady zalecają migrację z Klasycznych Reguł Zapory do Polityki Zapory.

• Sieć wirtualna z określonym tagiem musi mieć wdrożony Azure Firewall

  Ta zasada znajduje wszystkie sieci wirtualne z określonym tagiem, sprawdza, czy wdrożono usługę Azure Firewall, i oznacza je jako niezgodne, jeśli usługa Azure Firewall nie istnieje.

W poniższych krokach pokazano, jak utworzyć zasadę Azure, która wymusza włączenie funkcji informacji o zagrożeniach dla wszystkich zasad zapory ( Tylko alarm lub alarm i zablokowanie). Zakres usługi Azure Policy jest ustawiony na utworzoną grupę zasobów.

Tworzenie grupy zasobów

Ta grupa zasobów jest ustawiana jako zakres usługi Azure Policy i służy do tworzenia zasad zapory.

1. W witrynie Azure Portal wybierz pozycję Utwórz zasób.
2. W polu wyszukiwania wpisz grupę zasobów i naciśnij Enter.
3. Wybierz pozycję Grupa zasobów z wyników wyszukiwania.
4. Wybierz Utwórz.
5. Wybierz swoją subskrypcję.
6. Wpisz nazwę grupy zasobów.
7. Wybierz region.
8. Wybierz Dalej: Tagi.
9. Wybierz Dalej: Przejrzyj i utwórz.
10. Wybierz Utwórz.

Tworzenie usługi Azure Policy

Teraz utwórz usługę Azure Policy w nowej grupie zasobów. Ta zasada zapewnia, że wszystkie polityki zapory muszą mieć włączoną funkcję inteligencji zagrożeń.

1. W witrynie Azure Portal wybierz pozycję Wszystkie usługi.
2. W polu filtru wpisz zasady i naciśnij Enter.
3. Wybierz Zasady w wynikach wyszukiwania.
4. Na stronie Zasady wybierz pozycję Wprowadzenie.
5. W obszarze Przypisz zasady wybierz pozycję Wyświetl definicje.
6. Na stronie Definicje wpisz firewall w polu wyszukiwania.
7. Wybierz Zasady usługi Azure Firewall, które powinny włączyć analizę zagrożeń.
8. Wybierz pozycję Przypisz zasady.
9. W obszarze Zakres wybierz subskrypcję i nową grupę zasobów.
10. Wybierz Wybierz.
11. Wybierz Dalej.
12. Na stronie Parametry wyczyść pole wyboru Pokaż tylko parametry, które wymagają wprowadzenia lub przeglądu .
13. W polu Efekt wybierz pozycję Odmów.
14. Wybierz opcję Recenzja i utwórz.
15. Wybierz Utwórz.

Utwórz politykę zapory

Teraz próbujesz utworzyć politykę zapory z wyłączoną inteligencją zagrożeń.

1. W witrynie Azure Portal wybierz pozycję Utwórz zasób.
2. W polu wyszukiwania wpisz zasady zapory i naciśnij Enter.
3. Wybierz Zasady zapory sieciowej w wynikach wyszukiwania.
4. Wybierz Utwórz.
5. Wybierz swoją subskrypcję.
6. W obszarze Grupa zasobów wybierz utworzoną wcześniej grupę zasobów.
7. W polu tekstowym Nazwa wpisz nazwę zasad.
8. Wybierz pozycję Dalej: Ustawienia DNS.
9. Kontynuuj wybieranie na stronie Analiza zagrożeń .
10. W obszarze Tryb analizy zagrożeń wybierz pozycję Wyłączone.
11. Wybierz opcję Recenzja i utwórz.

Powinien pojawić się błąd informujący, że Twój zasób został zablokowany przez zasady, co potwierdza, że usługa Azure Policy nie zezwala na zasady zapory z wyłączoną Inteligencją Zagrożeń.

Dodatkowe definicje usługi Azure Policy

Aby uzyskać więcej definicji usługi Azure Policy specjalnie zaprojektowanych dla usługi Azure Firewall, w tym zasad dotyczących jawnej konfiguracji serwera proxy, zobacz repozytorium GitHub Azure Network Security. To repozytorium zawiera definicje zasad opracowanych przez społeczność, które można wdrożyć w swoim środowisku.

Treści powiązane

• Co to jest usługa Azure Policy?
• Zarządzanie konfiguracją usługi Azure Firewall przy użyciu zasad platformy Azure
• Jawny serwer proxy usługi Azure Firewall (wersja zapoznawcza)