Azure Firewall Yenilikleri
Microsoft yakın zamanda yapmış olduğu duyuru ile birkaç önemli Azure Firewall hizmeti özelliğini müşterileri ile paylaştı. Bildiğiniz gibi Azure Firewall Microsoft Azure üzerinde hizmet veren ve Firewall As A Service çalışan yönetilen bir hizmet.
Çoklu Public IP Kullanımı
Availability Zone artık genel olarak kullanılabilir durumda
SQL FQDN filtreleme şimdi önizlemede
Azure HDInsight (HDI) FQDN etiketleme şimdi önizlemede
İş ortağı çözümlerini kullanarak merkezi yönetim
Azure Firewall, müşterilerin bir DevOps yaklaşımı kullanarak tüm trafik akışlarını merkezi olarak yönetmesini ve günlüğe kaydetmesini sağlayan, hizmet olarak bulut tabanlı bir Firewall sunar. Hizmet hem uygulama hem de ağ düzeyinde filtreleme kurallarını destekler ve bilinen kötü amaçlı IP adreslerini ve etki alanlarını filtrelemek için Microsoft Threat Intelligence özet akışıyla entegre edilmiştir. Azure Firewall, yerleşik otomatik ölçeklendirme ile yüksek erişim özelliğine sahiptir.
Çoklu Public IP Kullanımı
Artık 100’e kadar genel IP adresini Firewall’unuzla ilişkilendirebilirsiniz. Bu, aşağıdaki senaryoları etkinleştirir:
DNAT – Çoklu standart bağlantı noktası Back End sunuculara yönlendirebilirsiniz. Örneğin, iki genel IP adresiniz varsa, her iki IP adresi için 3389 numaralı TCP portuna (RDP) çevirebilirsiniz.
SNAT – Outbound SNAT bağlantıları için ek portlar
Şu anda, Azure Firewall bir bağlantı için kullanılacak kaynak Public IP adresini rastgele seçer. Ağınızda aşağı akış filtresi varsa, Firewall’unuzla ilişkili tüm genel IP adreslerine izin vermeniz gerekir. Daha fazla bilgi için https://docs.microsoft.com/azure/firewall/deploy-multi-public-ip-powershell makalesini okumanızı tavsiye ederim.
Availability Zone artık genel olarak kullanılabilir durumda
Azure Firewall, yapılandırılması esnasında daha fazla erişilebilirlik için birden çok AZ’yi kapsayacak şekilde yapılandırılabilir. Çoklu AZ ile kullanılabilirliğiniz yüzde 99,99 çalışma süresine yükselir. İki veya daha fazla Kullanılabilirlik Bölgesi seçildiğinde yüzde 99,99 kesintisiz çalışma SLA’sı sunulur. Daha fazla bilgi için https://azure.microsoft.com/support/legal/sla/azure-firewall/v1_0/
Ayrıca, yüzde 99,99 hizmet standardı SLA’sını kullanarak Azure Firewall’nı yalnızca yakınlık nedeniyle belirli bir bölgeyle ilişkilendirebilirsiniz.
Bir AZ içeirisnde konuşlandırılan bir Firewall için ek ücret yoktur. Ancak, Kullanılabilirlik Bölgeleri ile ilişkili gelen ve giden veri aktarımları için ek maliyetler vardır. https://azure.microsoft.com/pricing/details/bandwidth/
SQL FQDN filtreleme şimdi önizlemede
Artık SQL FQDN’lerini Azure Firewall uygulama kurallarında yapılandırabilirsiniz. Bu, VNet’lerinizden erişimi yalnızca belirtilen SQL sunucusu instance’ları ile sınırlamanıza olanak tanır. Yetenek tüm Azure bölgelerinde önizleme olarak kullanılabilir. Bu özelliği kullanarak sanal ağlarınızdan (VNets) Azure SQL DB, Azure SQL DW, Azure SQL Managed Instance veya VNet’lerinizde dağıtılan SQL IaaS örneklerine gelen trafiği filtreleyebilirsiniz.
Önizleme sırasında, SQL FQDN filtreleme yalnızca proxy modunda, 1433 numaralı bağlantı noktasında desteklenir. SQL IaaS trafiği için varsayılan olmayan portları kullanıyorsanız, bu bağlantı noktalarını Firewall uygulama kurallarında yapılandırabilirsiniz. SQL’i Azure’a bağlanan istemciler için varsayılan olan yönlendirme modunda kullanıyorsanız, Azure Firewall ağ kurallarının bir parçası olarak SQL hizmet etiketini kullanarak erişimi filtreleyebilirsiniz.
SQL FQDN filtreleme şu anda REST API’leri, şablonlar ve Azure CLI kullanılarak kullanılabilir.
Azure HDInsight (HDI) FQDN etiketleme şimdi önizlemede
HDI gibi VNet tarafından dağıtılan Azure hizmetleri, Azure Storage gibi diğer Azure hizmetlerine giden altyapı bağımlılıklarına sahiptir. Verilerinizi sızma riskinden korumak için, HDI node’ları için outbound erişimi kısıtlamak ve yalnızca verilerinize erişime izin vermek için Azure Firewall’nı kullanmak isteyebilirsiniz. Ayrıca, HDI altyapı trafiğine erişime de izin vermelisiniz.
Azure Firewall için FQDN etiketleri, HDI gibi hizmetlerin altyapı bağımlılıklarını önceden yapılandırmasına izin verir, örneğin, HDI tarafından kullanılan Azure Depolama hesabı FQDN’leri. HDI giden bağımlılıklarına izin vermek için Azure Firewall’nda ağ düzeyinde hizmet etiketleri kullanmak yerine, FQDN etiketlerini kullanarak HDI için giden trafiği kısıtlamak için çok daha ayrıntılı bir denetim elde edebilirsiniz.
İş ortağı çözümlerini kullanarak merkezi yönetim
Azure Firewall genel REST API’leri, Azure Güvenlik Duvarları, Ağ Güvenlik Grupları (NSG’ler) ve ağ sanal cihazları (NVA’lar) için merkezi bir yönetim deneyimi sağlamak üzere üçüncü taraf güvenlik ilkesi yönetim araçları tarafından kullanılabilir.
Artık genellikle Azure Market’te bulunan Barracuda Cloud Security Guardian, Barracuda’nın WAF / Firewall veya Microsoft’un Azure Firewall’nı otomatik olarak dağıtır ve yapılandırır.
Azure Firewall ve NSG’ler için AlgoSec CloudFlow merkezi yönetim özelliği artık herkese açık önizlemede.