Konfigurace Azure Firewall pro pokročilou ochranu sítě

Konfigurace Azure Firewall pro pokročilou ochranu sítě

08/08/2024

Tento technický a vzdělávací článek má za cíl vést bezpečnostní analytiky, IT administrátory a systémové inženýry při konfiguraci a používání Azure Firewall pro pokročilou ochranu sítě. Azure Firewall je spravovaná služba zabezpečení sítě založená na cloudu, která poskytuje ochranu před hrozbami na vrstvě 4 a 7 pro síťové prostředky Azure a umožňuje centralizaci řízení sítě a implementaci konzistentních zásad zabezpečení napříč cloudovými prostředími [1].

Úvod

Ve stále rostoucím cloudovém prostředí je zabezpečení sítě základním pilířem ochrany aplikací a dat. Azure Firewall poskytuje robustní řešení pro kontrolu a řízení síťového provozu a funguje jako centrální bod vynucení zásad zabezpečení. Jde nad rámec základních skupin zabezpečení sítě (NSG) tím, že poskytuje pokročilé funkce, jako je filtrování provozu na základě plně kvalifikovaného názvu domény (FQDN), zpravodajství o hrozbách, systém detekce a prevence narušení (IDPS) a inspekce TLS, což je nezbytné pro zabezpečené síťové architektury v Azure, zejména v modelech Hub-and-Spoke [2].

Tato praktická příručka se bude zabývat nasazením Azure Firewall, konfigurací pravidel sítě a aplikací, aktivací informací o hrozbách a IDPS, integrací s dalšími službami Azure a osvědčenými postupy pro správu sítě. Budou poskytnuty podrobné pokyny, ukázkové příkazy Azure CLI a příklady, aby čtenář mohl implementovat a ověřit účinnou strategii ochrany sítě, snížit plochu útoku a posílit kybernetickou odolnost jejich infrastruktury Azure.

Proč je Azure Firewall zásadní pro pokročilou ochranu sítě?

  • Pokročilé filtrování provozu: Umožňuje filtrovat síťový provoz na základě IP adres, portů, protokolů, FQDN a URL a nabízí podrobné řízení.
  • Inteligence hrozeb: Automaticky blokuje provoz do a ze známých škodlivých domén a IP adres na základě informačních kanálů Microsoft o hrozbách.
  • IDPS (Intrusion Detection and Prevention System): Detekuje a blokuje útoky založené na signaturách v reálném čase, včetně zneužití zranitelnosti a malwaru.
  • Kontrola TLS: Dešifruje odchozí provoz TLS/SSL za účelem prozkoumání skrytých hrozeb a vynucení zásad zabezpečení a před odesláním do cíle jej znovu zašifruje.
  • Centralizované nasazení: Lze nasadit ve virtuální síti rozbočovače k ​​ochraně vícepaprskových virtuálních sítí, což zjednodušuje správu a prosazování zásad.
  • Vysoká dostupnost a škálovatelnost: Jedná se o plně spravovanou službu s integrovanou vysokou dostupností a automatickou škálovatelností pro zvládnutí špiček provozu.
  • Azure Ecosystem Integration: Bezproblémová integrace s Azure Monitor, Azure Sentinel a Azure Firewall Manager pro centralizované monitorování, analýzu a správu.

Předpoklady

Chcete-li nakonfigurovat Azure Firewall pro pokročilou ochranu sítě, budete potřebovat následující položky:

  1. Aktivní předplatné Azure: Předplatné Azure k vytváření a správě prostředků.
  2. Administrativní přístup: Účet s rolí „Vlastník“ nebo „Přispěvatel“ v předplatném Azure nebo ve skupině prostředků, kde bude nasazena brána firewall a virtuální sítě.
  3. Azure Virtual Networks (VNets): Alespoň jedna virtuální síť pro nasazení Azure Firewall a ideálně architektura Hub-and-Spoke pro ukázku.
  4. Volitelné: Virtuální počítače (VM): Virtuální počítače nasazené v mluvených virtuálních sítích k testování pravidel brány firewall.
  5. Azure CLI nebo Azure PowerShell: Nainstalované a nakonfigurované nástroje příkazového řádku pro interakci s Azure.

Krok za krokem: Konfigurace Azure Firewall pro pokročilou ochranu

Pojďme nasadit Azure Firewall a nakonfigurovat jeho hlavní funkce.

1. Příprava architektury Hub-and-Spoke

Architektura Hub-and-Spoke je běžná topologie sítě v Azure, kde virtuální síť hubu obsahuje sdílené služby (jako je Azure Firewall) a paprskové virtuální sítě obsahují úlohy. Provoz mezi paprsky a na internet je směrován přes rozbočovač.

  1. Vytvořit skupinu prostředků: Vytvořte skupinu prostředků pro všechny prostředky. bash az group create --name RG-Firewall-Artigos --location eastus
  2. Vytvořte VNet Hub: Vytvořte virtuální síť pro hub s vyhrazenou podsítí pro Azure Firewall (AzureFirewallSubnet). bash az network vnet create --name VNet-Hub --resource-group RG-Firewall-Artigos --address-prefix 10.0.0.0/16 --location eastus az network vnet subnet create --name AzureFirewallSubnet --vnet-name VNet-Hub --resource-group RG-Firewall-Articles --address-prefix 10.0.1.0/24
  3. Vytvořit virtuální síť Spoke: Vytvořte virtuální síť pro paprsky s podsítí pro virtuální počítače. bash az network vnet create --name VNet-Spoke --resource-group RG-Firewall-Artigos --address-prefix 10.1.0.0/16 --location eastus az network vnet subnet create --name WorkloadSubnet --vnet-name VNet-Spoke --resource-group RG-Firewall-Articles --address-prefix 10.1.1.0/24
  4. Nakonfigurujte peering virtuální sítě: Propojte virtuální síť rozbočovače a paprskovou virtuální síť prostřednictvím partnerského vztahu. bash az network vnet peering create --name HubToSpoke --resource-group RG-Firewall-Articles --vnet-name VNet-Hub --remote-vnet VNet-Spoke --allow-vnet-access az network vnet peering create --name SpokeToHub --resource-group RG-Firewall-Articles --vnet-name VNet-Spoke --remote-vnet VNet-Hub --allow-vnet-access

2. Nasazení Azure Firewall

  1. Vytvoření Azure Firewall: Nasaďte Azure Firewall na „AzureFirewallSubnet“ virtuální sítě rozbočovače. bash az vytvoření síťového firewallu --name AzureFirewall-01 --resource-group RG-Firewall-Artigos --location eastus --sku Standard az network firewall ip-config create --firewall-name AzureFirewall-01 --name AzureFirewall-IP --resource-group RG-Firewall-Articles --vnet-name VNet-Hub --public-ip-address az-firewall-pip

    • Poznámka: Příkaz az network firewall ip-config create automaticky vytvoří veřejnou IP pro firewall, pokud zadáte název (např. az-firewall-pip).

  2. Získat privátní IP brány firewall: Poznamenejte si privátní IP brány firewall Azure, protože bude použita pro směrování. bash az show network firewall --name AzureFirewall-01 --resource-group RG-Firewall-Artigos --query ipConfigurations[0].privateIpAddress -o tsv

3. Konfigurace směrování pro Azure Firewall

Aby provoz mluvené virtuální sítě procházel přes Azure Firewall, musíme vytvořit směrovací tabulku a přidružit ji k paprskové podsíti.

  1. Create Route Table: Vytvořte směrovací tabulku. bash az network route-table create --name FirewallRouteTable --resource-group RG-Firewall-Artigos --location eastus
  2. Přidat výchozí trasu: Přidejte výchozí trasu (0.0.0.0/0), která směruje veškerý provoz na soukromou IP adresu Azure Firewall. bash # Nahraďte <FIREWALL_PRIVATE_IP> privátní IP získanou v předchozím kroku FIREWALL_PRIVATE_IP=$(az show network firewall --name AzureFirewall-01 --resource-group RG-Firewall-Artigos --query ipConfigurations[0].privateIpAddress -o tsv) az network route-table route create --name DefaultRouteToFirewall --resource-group RG-Firewall-Artigos --route-table-name FirewallRouteTable --address-prefix 0.0.0.0/0 --next-hop-type VirtualAppliance --next-hop-ip-address $FIRE_IPWALL_PRIVATE
  3. Přiřazení směrovací tabulky k podsíti Spoke: Přiřaďte směrovací tabulku k WorkloadSubnet v VNet-Spoke. bash az aktualizace podsítě síťové vnet --name WorkloadSubnet --vnet-name VNet-Spoke --resource-group RG-Firewall-Articles --route-table FirewallRouteTable

4. Konfigurace pravidel Azure Firewall

Azure Firewall používá kolekce pravidel k řízení provozu. Existují tři typy pravidel: „Pravidla sítě“, „Pravidla aplikací“ a „Pravidla NAT“.

4.1. Pravidla sítě

Řízení provozu na 3. a 4. vrstvě (IP, porty, protokoly).

  1. Povolit odchozí provoz pro DNS: Nezbytné pro překlad názvů. bash az network firewall network-rule create --firewall-name AzureFirewall-01 --collection-name "Allow-DNS" --name "Allow-DNS-Outbound" --resource-group RG-Firewall-Articles --priority 100 --action Allow --source-addresses "*" --destination-addresses "UDP3 destination" --destination-addresses "UDP3"

  2. Povolit odchozí provoz na konkrétní IP: Příklad: povolte přístup k opravnému serveru. bash az network firewall network-rule create --firewall-name AzureFirewall-01 --collection-name "Allow-Patch-Server" --name "Allow-Patch-Server-Outbound" --resource-group RG-Firewall-Articles --priority 110 --actionPovolit --source-addresses "10.1.1.0/24" --destination-addresses "20.1.2.3" --protocols TCP --destination-ports 443

4.2. Pravidla aplikace

Řízení provozu na 7. vrstvě (HTTP/HTTPS) na základě FQDN.

  1. Povolit přístup k webům Microsoft: Příklad: povolte přístup na learn.microsoft.com. bash az network firewall application-rule create --firewall-name AzureFirewall-01 --collection-name "Allow-Microsoft-Sites" --name "Allow-Learn-Microsoft" --resource-group RG-Firewall-Articles --priority 100 --action Allow --source-addresses "10.1.1.0=4pptt" Hpstt=480 Hps --fqdn-tags "Microsoft.Websites" --target-fqdns "learn.microsoft.com"

    • Tip: „Fqdn-tagy“ jsou skupiny FQDN předem definovaných společností Microsoft pro běžné služby.

  2. Blokovat přístup ke škodlivým webům: Ve výchozím nastavení Azure Firewall blokuje vše, co není výslovně povoleno. Můžete však vytvořit explicitní pravidla odepření pro konkrétní FQDN. bash az network firewall application-rule create --firewall-name AzureFirewall-01 --collection-name "Block-Malicious-Sites" --name "Block-Bad-Site" --resource-group RG-Firewall-Articles --priority 200 --action Deny --source-addresses "10.1.1.0/24" --prott H --target-fqdns "badsite.com"

4.3. Pravidla NAT (Network Address Translation).

Umožňují směrovat příchozí provoz do interních zdrojů (DNAT - Destination NAT).

  1. Povolte externí RDP přístup k virtuálnímu počítači (s opatrností!): Příklad: Povolte RDP virtuálnímu počítači z konkrétní veřejné IP adresy. ``` bash # Vytvořte virtuální počítač na WorkloadSubnet k testování az vm create --name TestVM --resource-group RG-Firewall-Articles --image UbuntuLTS --size Standard_B1s --vnet-name VNet-Spoke --subnet WorkloadSubnet --admin-username azureuser --admin-password "P@ssw0rd12345!" --ne-počkej

    Získejte soukromou IP virtuálního počítače

    VM_PRIVATE_IP=$(az vm show --name TestVM --resource-group RG-Firewall-Artigos --query privateIps -o tsv)

    Získejte veřejnou IP brány firewall

    FIREWALL_PUBLIC_IP=$(az síť public-ip show --name az-firewall-pip --resource-group RG-Firewall-Artigos --query ipAddress -o tsv)

    Vytvořte pravidlo DNAT

    az network firewall nat-rule create --firewall-name AzureFirewall-01 --collection-name "Allow-RDP-Inbound" --name "RDP-to-TestVM" --resource-group RG-Firewall-Articles --priority 100 --action Dnat --source-addresses "YOUR_PUBLIC_IP_IP" --WALLOUR_PUBLIC_IP_IP" --destination $ALLOUR_PUBLIC_IP" --destination --destination-ports 3389 --translated-address $VM_PRIVATE_IP --translated-port 3389 `` * **UPOZORNĚNÍ**: Chcete-li omezit přístup, nahraďteYOUR_PUBLIC_IP` svou skutečnou veřejnou IP adresou. V produkci pravidel DNAT nepoužívejte „*“.

5. Konfigurace Azure Firewall Premium (kontrola IDPS a TLS)

Pro pokročilé funkce ochrany, jako je IDPS a TLS Inspection, potřebujete Azure Firewall Premium.

  1. Upgradujte SKU brány firewall (je-li to nutné): Pokud jste vytvořili standardní bránu firewall, můžete ji upgradovat na verzi Premium. bash az aktualizace síťové brány firewall --name AzureFirewall-01 --resource-group RG-Firewall-Artigos --sku Premium

  2. Nakonfigurujte kontrolu TLS: Pro kontrolu TLS potřebujete certifikát SSL/TLS vydaný firemní nebo veřejnou CA, uložený v Azure Key Vault.

    • Předpoklad: Certifikováno v Azure Key Vault (podrobnosti najdete v předchozím článku o Azure Key Vault).
    • Vytvořte zásady brány firewall a přiřaďte ji k bráně firewall. bash az vytvoření zásady síťové brány firewall --name FirewallPolicy-01 --resource-group RG-Firewall-Artigos --location eastus az aktualizace zásad síťové brány firewall --name FirewallPolicy-01 --resource-group RG-Firewall-Artigos --threat-intel-mode Alert az aktualizace síťové brány firewall --name AzureFirewall-01 --resource-group RG-Firewall-Artigos --firewall-policy FirewallPolicy-01
    • V Azure Portal přejděte na Firewall Policy -> Settings -> TLS Inspection.
    • Povolte kontrolu TLS a vyberte kořenový certifikát pro váš trezor klíčů.

  3. Konfigurace IDPS: IDPS je povoleno a konfigurováno prostřednictvím zásad brány firewall.

    • V Azure Portal přejděte na Firewall Policy -> Settings -> IDPS.
    • Můžete nakonfigurovat režim IDPS (Alert nebo Alert and Deny) a vytvořit vlastní pravidla pro podpis IDPS.

6. Aktivace inteligencehrozeb

Informace o hrozbách Azure Firewall lze nakonfigurovat na „Upozornit“ nebo „Upozornit a odepřít“ provoz na/ze známých škodlivých IP adres a FQDN.

  1. V Azure Portal přejděte do Azure Firewall (AzureFirewall-01).
  2. V levém navigačním panelu vyberte Inteligence hrozeb.
  3. Nastavte Mode na Alert and Deny.

Validace a testování

Ověření konfigurace Azure Firewall je zásadní pro zajištění správného použití zásad zabezpečení.

1. Testování pravidel sítě

  1. Test připojení DNS: Z virtuálního počítače na WorkloadSubnet se pokuste přeložit název domény. To by mělo fungovat, pokud je nakonfigurováno pravidlo DNS. bash nslookup google.com

    • Očekávaný výsledek: Překlad DNS byl úspěšný.

  2. Test blokování portů: Pokuste se o přístup k portu, který není povolen pro externí IP. bash nc -vz 8.8.8.8 80

    • Očekávaný výsledek: Připojení odmítnuto nebo vypršel časový limit.

2. Testování pravidel aplikace

  1. FQDN Access Allowed Test: Z virtuálního počítače na WorkloadSubnet se pokuste dostat na learn.microsoft.com přes prohlížeč.

    • Očekávaný výsledek: Přístup byl úspěšný.

  2. Test blokování FQDN: Zkuste přejít na badsite.com (pokud jste pro něj nakonfigurovali pravidlo odmítnutí).

    • Očekávaný výsledek: Přístup zablokován bránou firewall s chybovou zprávou v prohlížeči.

3. Testování pravidel NAT (DNAT)

  1. Z počítače mimo Azure (s veřejnou IP, kterou jste zadali v pravidle DNA) se zkuste připojit přes RDP/SSH k veřejné IP adrese Azure Firewall na portu 3389/22.
    • Očekávaný výsledek: Úspěšné připojení k internímu virtuálnímu počítači.

4. Kontrola protokolů Azure Firewall

Protokoly Azure Firewall jsou nezbytné pro monitorování provozu a ověřování pravidel.

  1. V Azure Portal přejděte do Azure Firewall (AzureFirewall-01).
  2. V levém navigačním panelu vyberte Protokoly.
  3. K dotazování na protokoly brány firewall můžete použít Log Analytics. Podívejte se na události AzureFirewallNetworkRule a AzureFirewallApplicationRule, abyste viděli, která pravidla byla spuštěna a zda byl provoz povolen nebo zakázán.

5. Testování inteligence hrozeb a IDPS (prémiové)

  1. Inteligence hrozeb: Zkuste získat přístup k IP nebo FQDN, o kterých je známo, že jsou škodlivé (použijte zabezpečený web pro testování malwaru, jako je test.malware.testing.com nebo IP pro testování inteligence hrozeb). Brána firewall musí blokovat přístup.
  2. IDPS: Pokuste se simulovat útok, který by detekoval IDPS (např. použijte nástroj pro testování zranitelnosti k pokusu o vložení SQL do webové aplikace na paprskovém virtuálním počítači, pokud je to možné). Firewall musí generovat výstrahu a/nebo blokovat provoz.

Bezpečnostní tipy a doporučené postupy

  • Model Hub-and-Spoke: Kdykoli je to možné, použijte model Hub-and-Spoke s Azure Firewall v centru k centralizaci řízení sítě a zjednodušení správy zásad.
  • Princip nejmenšího oprávnění: Vytvářejte pravidla brány firewall s co nejmenšími oprávněními a povolte pouze nezbytný provoz. Ve výchozím nastavení blokujte veškerý provoz a výslovně povolte, co je potřeba.
  • Upřednostňování pravidel: Pochopte pořadí zpracování pravidel (NAT > Síť > Aplikace) a prioritu v rámci každé kolekce, abyste předešli konfliktům a zajistili uplatnění požadovaných pravidel.
  • Inteligence hrozeb povolena: V režimu „Upozornění a odmítnutí“ ponechte zapnutou inteligenci o hrozbách pro automatickou ochranu před známými škodlivými zdroji.
  • Azure Firewall Premium: Pro prostředí, která vyžadují pokročilou ochranu, použijte Premium SKU k využití funkcí, jako je IDPS a TLS Inspection.
  • Kontrola TLS: Implementujte kontrolu TLS pro odchozí provoz k detekci hrozeb skrytých v šifrovaných relacích, ale pečlivě plánujte správu certifikátů.
  • Monitorování a auditování: Integrujte protokoly Azure Firewall s Azure Monitor a Azure Sentinel pro nepřetržité monitorování, analýzu zabezpečení a odezvu na incidenty.
  • Azure Firewall Manager: Pro prostředí s více firewally a složitými zásadami použijte Azure Firewall Manager pro centralizovanou, hierarchickou správu zásad.
  • Dokumentace: Udržujte jasnou dokumentaci svých pravidel brány firewall a zdůvodnění každého z nich.

Běžné odstraňování problémů

Dopravní blokyfrom Unexpectedly: Zkontrolujte protokoly Azure Firewall v Log Analytics. Budou indikovat, které pravidlo (zda síť, aplikace nebo zpravodajství o hrozbách) blokovalo provoz. Upravte pravidlo podle potřeby. * Pomalé připojení: Pokud je váš provoz pomalý, zkontrolujte využití procesoru brány firewall v Azure Monitor. Firewall možná dosahuje svých limitů výkonu. Zvažte škálování SKU nebo optimalizaci pravidel. * Pravidla NAT nefungují: Zkontrolujte správnost veřejné IP adresy a cílového a přeloženého portu. Ujistěte se, že zdrojová IP v pravidle NAT je správná (pokud je omezena). Zkontrolujte, zda cílový virtuální počítač neobsahuje NSG, které by mohly blokovat provoz. * Problémy s kontrolou TLS: Ujistěte se, že je kořenový certifikát správně nakonfigurován v zásadách Key Vault a Firewall. Ověřte, že klienti důvěřují kořenové certifikační autoritě používané pro kontrolu TLS. * IDPS nedetekuje útoky: Zkontrolujte, zda je IDPS v režimu „Upozornění a odepřít“ a zda jsou povoleny příslušné signatury. Ujistěte se, že provoz skutečně prochází bránou firewall. * Nesprávné směrování: Zkontrolujte směrovací tabulku přidruženou k podsíti vašeho virtuálního počítače. Ujistěte se, že výchozí trasa (0.0.0.0/0) ukazuje na soukromou IP adresu Azure Firewall.

Závěr

Azure Firewall je výkonný a nezbytný nástroj pro vytvoření robustní pozice zabezpečení sítě v Azure. Implementací pokročilého filtrování provozu, inteligence hrozeb, IDPS a inspekce TLS mohou organizace chránit své pracovní zatížení před širokou škálou kybernetických hrozeb. Přijetí modelu Hub-and-Spoke s Azure Firewall v centru spolu s uplatněním osvědčených postupů a nepřetržitým monitorováním zajišťuje efektivní kontrolu a kontrolu síťového provozu. Díky této praktické příručce budou odborníci na zabezpečení dobře vybaveni pro konfiguraci a správu Azure Firewall, čímž posílí zabezpečení sítě a odolnost jejich prostředí Azure proti nejnovějším hrozbám.

Reference:

[1] Microsoft Learn. Co je Azure Firewall?. Dostupné na: https://learn.microsoft.com/pt-br/azure/firewall/overview [2] Microsoft Learn. Přehled architektury Azure Firewall. Dostupné na: https://learn.microsoft.com/pt-br/azure/firewall/firewall-architecture [3] Microsoft Learn. Prémiové funkce Azure Firewall. Dostupné na: https://learn.microsoft.com/pt-br/azure/firewall/premium-features [4] Microsoft Learn. Filtrování na základě informací o hrozbách Azure Firewall. Dostupné na: https://learn.microsoft.com/pt-br/azure/firewall/threat-intel