隨著組織越來越多地采用基于云的環(huán)境,云安全成為一個日益受到關(guān)注的問題,因為托管在云環(huán)境中的關(guān)鍵應用程序和敏感數(shù)據(jù)通常比本地應用程序更容易受到網(wǎng)絡(luò)威脅。Microsoft 的Azure防火墻是 Azure 環(huán)境的云原生安全解決方案。它提供流量檢查、過濾和監(jiān)控。還可以升級到 Azure Firewall Premium,為具有更高云安全需求的組織提供額外的功能。
Azure防火墻功能
Azure防火墻是由 Microsoft 開發(fā)的狀態(tài)網(wǎng)絡(luò)防火墻,用于保護托管在 Azure 云環(huán)境中的資源。Azure防火墻提供了許多功能,包括:
- 可用性:借助 Azure 的可用性區(qū)域,Azure防火墻具有 99.95% 的可用性服務(wù)級別協(xié)議 (SLA)。
- 可擴展性:Azure防火墻可根據(jù)需要進行擴展以滿足業(yè)務(wù)需求。
- 威脅情報:Azure防火墻流量過濾可以通過來自 Microsoft 威脅情報源的 IP 地址和域獲得通知。
- 網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT):Azure防火墻提供源和目標 NAT,能夠?qū)⒍鄠€公共 IP 地址與Azure防火墻相關(guān)聯(lián)。
- 強制隧道:來自 Azure 環(huán)境的出站流量可以路由到特定的下一躍點而不是 Internet,以允許基于邊界的解決方案進行額外的安全檢查。
- 標記和分類:可以對流量進行標記和分類,以幫助制定防火墻規(guī)則和流量過濾。
通過部署Azure防火墻,資產(chǎn)托管在 Azure 中的組織可以快速輕松地為這些資產(chǎn)提供基本保護,使其免受網(wǎng)絡(luò)威脅。
Azure防火墻高級版
Azure Firewall Premium 是為包含高度敏感和受監(jiān)管數(shù)據(jù)的 Azure 環(huán)境設(shè)計的升級。它包括 TLS 檢查、入侵檢測和預防系統(tǒng) (IDPS)、URL 過濾以及根據(jù) Web 類別過濾流量的能力。
Azure防火墻如何工作?
Azure防火墻是在 Azure 云環(huán)境中實施的虛擬防火墻。組織可以配置其Azure防火墻,以便所有進入或離開其云環(huán)境或從一個輻射 VNet 移動到另一個的流量都通過防火墻,并在其中進行分析和過濾。可以通過 Azure Monitor 監(jiān)視和管理Azure防火墻。
使用 Premium 版本,防火墻獲得了終止和檢查 TLS 連接的能力,并集成了 IDPS 以根據(jù) Microsoft 提供的威脅情報提供威脅預防。這提供了更高的可見性和阻止已知威脅進入 Azure 云環(huán)境的能力。
Azure防火墻的限制
Microsoft 的Azure防火墻為部署在 Azure 云環(huán)境中的資源提供本地保護。但是,標準版和高級版都有其局限性,包括:
- Azure Focus:顧名思義,Azure防火墻專為保護 Microsoft Azure 云環(huán)境而設(shè)計。大多數(shù)組織還擁有Azure防火墻無法保護的多云環(huán)境和本地資產(chǎn)。使用多種解決方案保護云和本地資源會導致難以在整個企業(yè)生態(tài)系統(tǒng)中始終如一地執(zhí)行安全策略,這將導致更高的總體擁有成本,并可能增加安全風險。
- 缺乏安全集成:Azure防火墻提供了組織保護其基于云的資產(chǎn)所需的一些功能,但它不是一個全面的解決方案。需要額外的獨立解決方案來提供全面保護,這會增加組織云安全架構(gòu)的復雜性并阻礙事件檢測和響應
- 基于簽名的檢測: Azure Firewall Premium 中可用的IDPS 功能提供對已知惡意軟件變體和惡意流量的基于簽名的檢測。基于簽名的 IDPS 不提供針對新型和零日攻擊的保護,這些攻擊構(gòu)成了現(xiàn)代惡意軟件活動的大部分。
Azure防火墻為希望保護其基于 Azure 的資源的組織提供了堅實的基礎(chǔ)。但是,需要額外的解決方案來提供針對云安全威脅的全面保護,尤其是對于具有多云策略的組織而言。
網(wǎng)站資訊
解決方案
關(guān)于我們
