隨著組織越來(lái)越多地采用基于云的環(huán)境,云安全成為一個(gè)日益受到關(guān)注的問(wèn)題,因?yàn)橥泄茉谠骗h(huán)境中的關(guān)鍵應(yīng)用程序和敏感數(shù)據(jù)通常比本地應(yīng)用程序更容易受到網(wǎng)絡(luò)威脅。Microsoft 的Azure防火墻是 Azure 環(huán)境的云原生安全解決方案。它提供流量檢查、過(guò)濾和監(jiān)控。還可以升級(jí)到 Azure Firewall Premium,為具有更高云安全需求的組織提供額外的功能。
Azure防火墻功能
Azure防火墻是由 Microsoft 開(kāi)發(fā)的狀態(tài)網(wǎng)絡(luò)防火墻,用于保護(hù)托管在 Azure 云環(huán)境中的資源。Azure防火墻提供了許多功能,包括:
- 可用性:借助 Azure 的可用性區(qū)域,Azure防火墻具有 99.95% 的可用性服務(wù)級(jí)別協(xié)議 (SLA)。
- 可擴(kuò)展性:Azure防火墻可根據(jù)需要進(jìn)行擴(kuò)展以滿(mǎn)足業(yè)務(wù)需求。
- 威脅情報(bào):Azure防火墻流量過(guò)濾可以通過(guò)來(lái)自 Microsoft 威脅情報(bào)源的 IP 地址和域獲得通知。
- 網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT):Azure防火墻提供源和目標(biāo) NAT,能夠?qū)⒍鄠€(gè)公共 IP 地址與Azure防火墻相關(guān)聯(lián)。
- 強(qiáng)制隧道:來(lái)自 Azure 環(huán)境的出站流量可以路由到特定的下一躍點(diǎn)而不是 Internet,以允許基于邊界的解決方案進(jìn)行額外的安全檢查。
- 標(biāo)記和分類(lèi):可以對(duì)流量進(jìn)行標(biāo)記和分類(lèi),以幫助制定防火墻規(guī)則和流量過(guò)濾。
通過(guò)部署Azure防火墻,資產(chǎn)托管在 Azure 中的組織可以快速輕松地為這些資產(chǎn)提供基本保護(hù),使其免受網(wǎng)絡(luò)威脅。
Azure防火墻高級(jí)版
Azure Firewall Premium 是為包含高度敏感和受監(jiān)管數(shù)據(jù)的 Azure 環(huán)境設(shè)計(jì)的升級(jí)。它包括 TLS 檢查、入侵檢測(cè)和預(yù)防系統(tǒng) (IDPS)、URL 過(guò)濾以及根據(jù) Web 類(lèi)別過(guò)濾流量的能力。
Azure防火墻如何工作?
Azure防火墻是在 Azure 云環(huán)境中實(shí)施的虛擬防火墻。組織可以配置其Azure防火墻,以便所有進(jìn)入或離開(kāi)其云環(huán)境或從一個(gè)輻射 VNet 移動(dòng)到另一個(gè)的流量都通過(guò)防火墻,并在其中進(jìn)行分析和過(guò)濾。可以通過(guò) Azure Monitor 監(jiān)視和管理Azure防火墻。
使用 Premium 版本,防火墻獲得了終止和檢查 TLS 連接的能力,并集成了 IDPS 以根據(jù) Microsoft 提供的威脅情報(bào)提供威脅預(yù)防。這提供了更高的可見(jiàn)性和阻止已知威脅進(jìn)入 Azure 云環(huán)境的能力。
Azure防火墻的限制
Microsoft 的Azure防火墻為部署在 Azure 云環(huán)境中的資源提供本地保護(hù)。但是,標(biāo)準(zhǔn)版和高級(jí)版都有其局限性,包括:
- Azure Focus:顧名思義,Azure防火墻專(zhuān)為保護(hù) Microsoft Azure 云環(huán)境而設(shè)計(jì)。大多數(shù)組織還擁有Azure防火墻無(wú)法保護(hù)的多云環(huán)境和本地資產(chǎn)。使用多種解決方案保護(hù)云和本地資源會(huì)導(dǎo)致難以在整個(gè)企業(yè)生態(tài)系統(tǒng)中始終如一地執(zhí)行安全策略,這將導(dǎo)致更高的總體擁有成本,并可能增加安全風(fēng)險(xiǎn)。
- 缺乏安全集成:Azure防火墻提供了組織保護(hù)其基于云的資產(chǎn)所需的一些功能,但它不是一個(gè)全面的解決方案。需要額外的獨(dú)立解決方案來(lái)提供全面保護(hù),這會(huì)增加組織云安全架構(gòu)的復(fù)雜性并阻礙事件檢測(cè)和響應(yīng)
- 基于簽名的檢測(cè): Azure Firewall Premium 中可用的IDPS 功能提供對(duì)已知惡意軟件變體和惡意流量的基于簽名的檢測(cè)。基于簽名的 IDPS 不提供針對(duì)新型和零日攻擊的保護(hù),這些攻擊構(gòu)成了現(xiàn)代惡意軟件活動(dòng)的大部分。
Azure防火墻為希望保護(hù)其基于 Azure 的資源的組織提供了堅(jiān)實(shí)的基礎(chǔ)。但是,需要額外的解決方案來(lái)提供針對(duì)云安全威脅的全面保護(hù),尤其是對(duì)于具有多云策略的組織而言。
網(wǎng)站資訊
解決方案
服務(wù)支持
