Azure Firewall Yenilikleri

Microsoft yakın zamanda yapmış olduğu duyuru ile birkaç önemli Azure Firewall hizmeti özelliğini müşterileri ile paylaştı. Bildiğiniz gibi Azure Firewall Microsoft Azure üzerinde hizmet veren ve Firewall As A Service çalışan yönetilen bir hizmet.

Çoklu Public IP Kullanımı

Availability Zone artık genel olarak kullanılabilir durumda

SQL FQDN filtreleme şimdi önizlemede

Azure HDInsight (HDI) FQDN etiketleme şimdi önizlemede

İş ortağı çözümlerini kullanarak merkezi yönetim

Azure Firewall, müşterilerin bir DevOps yaklaşımı kullanarak tüm trafik akışlarını merkezi olarak yönetmesini ve günlüğe kaydetmesini sağlayan, hizmet olarak bulut tabanlı bir Firewall sunar. Hizmet hem uygulama hem de ağ düzeyinde filtreleme kurallarını destekler ve bilinen kötü amaçlı IP adreslerini ve etki alanlarını filtrelemek için Microsoft Threat Intelligence özet akışıyla entegre edilmiştir. Azure Firewall, yerleşik otomatik ölçeklendirme ile yüksek erişim özelliğine sahiptir.

Çoklu Public IP Kullanımı

Artık 100’e kadar genel IP adresini Firewall’unuzla ilişkilendirebilirsiniz. Bu, aşağıdaki senaryoları etkinleştirir:

DNAT – Çoklu standart bağlantı noktası Back End sunuculara yönlendirebilirsiniz. Örneğin, iki genel IP adresiniz varsa, her iki IP adresi için 3389 numaralı TCP portuna (RDP) çevirebilirsiniz.

SNAT – Outbound SNAT bağlantıları için ek portlar

Şu anda, Azure Firewall bir bağlantı için kullanılacak kaynak Public IP adresini rastgele seçer. Ağınızda aşağı akış filtresi varsa, Firewall’unuzla ilişkili tüm genel IP adreslerine izin vermeniz gerekir. Daha fazla bilgi için https://docs.microsoft.com/azure/firewall/deploy-multi-public-ip-powershell makalesini okumanızı tavsiye ederim.

Availability Zone artık genel olarak kullanılabilir durumda

Azure Firewall, yapılandırılması esnasında daha fazla erişilebilirlik için birden çok AZ’yi kapsayacak şekilde yapılandırılabilir. Çoklu AZ ile kullanılabilirliğiniz yüzde 99,99 çalışma süresine yükselir. İki veya daha fazla Kullanılabilirlik Bölgesi seçildiğinde yüzde 99,99 kesintisiz çalışma SLA’sı sunulur. Daha fazla bilgi için https://azure.microsoft.com/support/legal/sla/azure-firewall/v1_0/

Ayrıca, yüzde 99,99 hizmet standardı SLA’sını kullanarak Azure Firewall’nı yalnızca yakınlık nedeniyle belirli bir bölgeyle ilişkilendirebilirsiniz.

Bir AZ içeirisnde konuşlandırılan bir Firewall için ek ücret yoktur. Ancak, Kullanılabilirlik Bölgeleri ile ilişkili gelen ve giden veri aktarımları için ek maliyetler vardır. https://azure.microsoft.com/pricing/details/bandwidth/

SQL FQDN filtreleme şimdi önizlemede

Artık SQL FQDN’lerini Azure Firewall uygulama kurallarında yapılandırabilirsiniz. Bu, VNet’lerinizden erişimi yalnızca belirtilen SQL sunucusu instance’ları ile sınırlamanıza olanak tanır. Yetenek tüm Azure bölgelerinde önizleme olarak kullanılabilir. Bu özelliği kullanarak sanal ağlarınızdan (VNets) Azure SQL DB, Azure SQL DW, Azure SQL Managed Instance veya VNet’lerinizde dağıtılan SQL IaaS örneklerine gelen trafiği filtreleyebilirsiniz.

Önizleme sırasında, SQL FQDN filtreleme yalnızca proxy modunda, 1433 numaralı bağlantı noktasında desteklenir. SQL IaaS trafiği için varsayılan olmayan portları kullanıyorsanız, bu bağlantı noktalarını Firewall uygulama kurallarında yapılandırabilirsiniz. SQL’i Azure’a bağlanan istemciler için varsayılan olan yönlendirme modunda kullanıyorsanız, Azure Firewall ağ kurallarının bir parçası olarak SQL hizmet etiketini kullanarak erişimi filtreleyebilirsiniz.

SQL FQDN filtreleme şu anda REST API’leri, şablonlar ve Azure CLI kullanılarak kullanılabilir.

An image showing the creation of an Azure Firewall Application rule for SQL FQDN.

Azure HDInsight (HDI) FQDN etiketleme şimdi önizlemede

HDI gibi VNet tarafından dağıtılan Azure hizmetleri, Azure Storage gibi diğer Azure hizmetlerine giden altyapı bağımlılıklarına sahiptir. Verilerinizi sızma riskinden korumak için, HDI node’ları için outbound erişimi kısıtlamak ve yalnızca verilerinize erişime izin vermek için Azure Firewall’nı kullanmak isteyebilirsiniz. Ayrıca, HDI altyapı trafiğine erişime de izin vermelisiniz.

Azure Firewall için FQDN etiketleri, HDI gibi hizmetlerin altyapı bağımlılıklarını önceden yapılandırmasına izin verir, örneğin, HDI tarafından kullanılan Azure Depolama hesabı FQDN’leri. HDI giden bağımlılıklarına izin vermek için Azure Firewall’nda ağ düzeyinde hizmet etiketleri kullanmak yerine, FQDN etiketlerini kullanarak HDI için giden trafiği kısıtlamak için çok daha ayrıntılı bir denetim elde edebilirsiniz.

İş ortağı çözümlerini kullanarak merkezi yönetim

Azure Firewall genel REST API’leri, Azure Güvenlik Duvarları, Ağ Güvenlik Grupları (NSG’ler) ve ağ sanal cihazları (NVA’lar) için merkezi bir yönetim deneyimi sağlamak üzere üçüncü taraf güvenlik ilkesi yönetim araçları tarafından kullanılabilir.

Artık genellikle Azure Market’te bulunan Barracuda Cloud Security Guardian, Barracuda’nın WAF / Firewall veya Microsoft’un Azure Firewall’nı otomatik olarak dağıtır ve yapılandırır.
Azure Firewall ve NSG’ler için AlgoSec CloudFlow merkezi yönetim özelliği artık herkese açık önizlemede.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Fill out this field
Fill out this field
Lütfen geçerli bir e-posta adresi girin.
You need to agree with the terms to proceed

Menü