De evolutie van Azure Firewall
Bij Intercept stellen we ISV's in staat om hun applicaties te bouwen met behulp van de kracht van Microsoft Azure. De afgelopen tijd hebben we gezien dat steeds meer klanten Azure Firewall implementeren om hun Azure resources te beschermen.
Veel klanten gebruiken de Web Application Firewall, met App Gateway of Front Door, om de front-end van hun applicatie te beschermen tegen inkomende aanvallen. We zien ook een toename in het gebruik van firewalls om uitgaande verkeersstromen van diezelfde applicaties te beschermen, hetzij om audit- en compliance-redenen, hetzij om hun algehele beveiligingspositie te verbeteren.
Het opnemen van Azure Firewall in jouw platform architectuur zou er uit kunnen zien als het onderstaande voorbeeld diagram.
Met behulp van Azure Firewall kan je virtuele netwerk beschermen door te controleren welk verkeer is toegestaan in en uit je netwerk. Azure Firewall heeft een "deny by default" configuratie wat betekent dat alle verkeer dat niet overeenkomt met een specifieke regel wordt geweigerd. Deze regel zorgt voor gedetailleerde controle over de firewall regelset, en uiteindelijk de veiligheid van jouw applicatie.
Wat is Azure Firewall precies?
Azure Firewall is een beheerde netwerkbeveiligingsdienst die je Azure Virtual Network en de bronnen daarin beschermt. Het is volledig instelbaar en heeft ingebouwd een uitstekende beschikbaarheid en schaalbaarheid.
Met Azure Firewall kan je applicatie- en netwerkregelsets maken en handhaven om aan de behoeften van jouw omgeving te voldoen. Het is ook volledig geïntegreerd met Azure Monitor, die het mogelijk maakt logs te verzamelen en te analyseren.
De Azure Firewall maakt ook gebruik van de Microsoft Threat Intelligence feed om jouw netwerk te beschermen tegen bekende kwaadaardige sites.
Wat is Azure Firewall Premium?
Azure Firewall Premium is de evolutie van Azure Firewall naar een feature set die we zouden verwachten van traditionele Next-Generation Firewall (NGFW) of Unified Threat Management (UTM) appliances.
Na algemeen beschikbaar te zijn gesteld op 19 juli 2021, is het nu mogelijk om te profiteren van een aantal nieuwe functies met de Premium SKU. Deze nieuwe functies zijn op hoog niveau als volgt:
- TLS Inspection: Je kan Azure Firewall Premium gebruiken om uitgaand en oost-west TLS-verkeer te inspecteren. Versleuteld verkeer wordt door de firewall ontsleuteld (decrypted) en verwerkt tegen de geconfigureerde regels voordat het opnieuw wordt versleuteld en afgeleverd op de bestemming.
- IDPS (Intrusion Detection and Prevention System): Met deze nieuwe functie kan je verkeer monitoren en blokkeren voor ongewoon en kwaadaardig gedrag. De nieuwe IDPS-functie is gebaseerd op handtekeningen en werkt om malware en Command en Control-activiteiten te detecteren.
- URL Filtering: Met Azure Firewall Standard waren we in staat om regels te configureren op basis van FQDNs. Met de nieuwe Premium tier, kunnen we nu werken met een volledige URL. Deze tier zorgt voor een grotere granulariteit in de regels die we kunnen maken.
- Web Categorieën/Web Filtering: Iedereen die NGFW/UTM devices heeft geconfigureerd zal bekend zijn met de nieuwe web filtering functionaliteit. Met behulp van Azure Firewall Premium, kan je nu hele categorieën van webverkeer van het verlaten van je Azure netwerken blokkeren. Je kunt bijvoorbeeld de toegang tot gokken of sociale media blokkeren met deze nieuwe regels.
Waar kan je Azure Firewall Premium mee vergelijken?
Er zijn een aantal functies die ik graag toegevoegd zou zien aan de Azure Firewall service. Zoals de controle over welk IP-adres de firewall gebruikt voor specifieke uitgaande verkeersstromen of de mogelijkheid om het te integreren met Azure AD of AD om de configuratie van gebruikersspecifieke regels mogelijk te maken.
Dat gezegd hebbende, de Premium tier is een uitstekende stap van het Azure Firewall team om meer pariteit te brengen tussen de native Azure Firewall en de 3rd party aanbiedingen beschikbaar van WatchGuard, Sophos, Palo Alto, Check Point, en dergelijke.
Waarom zou ik Azure Firewall gebruiken?
Met de introductie van deze nieuwe premium functies, wordt Azure Firewall een aantrekkelijke optie voor het beschermen van jouw Azure netwerken. Daarnaast is het geïntegreerd met de bestaande logging en monitoring die je al gebruikt in Azure Monitor. Ook hoef je je geen zorgen te maken over schaalbaarheid of beschikbaarheid, omdat het platform dat voor je regelt.
Het is lastig om een goede reden te bedenken om niet Azure Firewall te gebruiken. Natuurlijk, er zijn nog steeds enkele ontbrekende functies die ik graag zou zien, maar dat zijn er niet genoeg om te kiezen voor een 3rd party firewall oplossing.
Waar zou ik Azure Firewall voor kunnen gebruiken?
Ik hoor je zeggen: "Het klinkt geweldig, maar ik werk in use cases. Vertel me waar ik het kan gebruiken".
Laat me je daarmee helpen...Als je iets implementeert in een Azure Virtual Network, zou je moeten overwegen hoe je de middelen die zich op je netwerk bevinden gaat beveiligen. Meestal betekent dit de implementatie van een firewall. Of het nu een Web Application Firewall, Azure Firewall, of misschien wel beide, zoals te zien in het voorbeeld hierboven.
Met de nieuwe premium functies die hierboven zijn beschreven, is de use case die er voor mij het meest uitspringt het gebruik van Azure Firewall Premium om je Azure Virtual Desktop implementatie te beschermen. De TLS Inspection en Web Filtering features zouden bijzonder relevant zijn om ervoor te zorgen dat je jouw VD gebruikers en jouw Azure netwerk beschermt tegen kwaadaardige sites en malware.
Een andere use case die we meer en meer zien, zoals eerder vermeld in dit artikel, is het gebruik van Azure Firewall om het egress verkeer van een applicatie stack te beschermen. In een van onze meest recente implementaties, gebruiken we Azure Firewall en NAT Gateway om egress verkeer van meerdere AKS clusters te beschermen en te controleren in een hub/spoke virtual network deployment.
Concluderend...
Azure Firewall is een uitstekende keuze om je Azure resources te beveiligen. Ik verwacht dat het team achter Azure Firewall functies zal blijven toevoegen aan zowel standaard als premium tiers. Zoals hierboven vermeld, zal ik Azure Firewall als leidraad nemen bij het ontwerpen van oplossingen voor onze klanten.