Jag_cz - Fotolia
Azure Firewall Manager: Zentrale Verwaltung der Sicherheit
Azure Firewall Manager ist ein Service in Microsoft Azure, der eine zentrale Verwaltung der Sicherheitsrichtlinien- und Routen für Cloud-basierte Sicherheitsperimeter bietet.
Mit dem Azure Firewall Manager lassen sich alle Routen und Sicherheitsrichtlinien in Azure zentral verwalten, auf Anforderung auch über Abonnements hinweg. Der Dienst arbeitet mit Azure Virtual WAN Hub zusammen.
Dabei handelt es sich um eine Ressource, mit dem Hub- und Speichenarchitekturen erstellt werden können. Die Hubs sind die Grundlage für die Absicherung mit der Azure Firewall, die wiederum über den Azure Firewall Manager zentral verwaltet werden. VNets werden aktuell durch den Firewall Manager nicht unterstützt.
In Microsoft Azure lassen sich mehrere Azure-Firewall-Instanzen bereitstellen und konfigurieren. Häufig wird ein solches Szenario dann eingesetzt, wenn verschiedene Azure-Regionen und -Abonnements zum Einsatz kommen. Der Azure Firewall Manager kann die Richtlinien der Azure Firewall über mehrere virtuelle Hubs zentral verwalten. Firewall-Richtlinien lassen sich dadurch zentral steuern und in Azure verteilen.
Hier kann auch ein DevOps-Self-Service-Modell für mehr Agilität erreicht werden. Darüber hinaus können Security-as-a-Service-Anbieter (SaaS) von Drittanbietern integriert werden. Das ermöglicht zusätzlichen Netzwerkschutz für VNet- und Filial-Internetverbindungen.
Administratoren können geschützte Hubs, die mit der Lösung eines Sicherheitspartners verbunden wurden, in mehreren Azure-Regionen einsetzen, um die Konnektivität und Sicherheit für Benutzer zu optimieren. Aktuell werden als Sicherheitspartner ZScaler und iboss unterstützt. Unterstützte Regionen sind WestCentralUS, NorthCentralUS, WestUS, WestUS, WestUS2 und EastUS.
Firewall Manager - Geschützte virtuelle Hubs
Ein virtueller Hub ist ein von Microsoft verwaltetes virtuelles Netzwerk. Wenn ein virtueller Hub aus einem virtuellen WAN im Azure-Portal erstellt wird, werden ein virtueller Hub VNet und Gateways als Komponenten erstellt. Ein geschützter, virtueller Hub ist ein Azure Virtual WAN Hub mit zusätzlichen Sicherheits- und Routing-Richtlinien, die vom Azure Firewall Manager konfiguriert und gesteuert werden.
Sie können einen geschützten, virtuellen Hub als verwaltetes zentrales VNet ohne lokale Konnektivität einsetzen. Dabei wird das zentrale VNet, das bisher für eine Azure-Firewall-Bereitstellung erforderlich war, ersetzt. Da der geschützte, virtuelle Hub ermöglicht automatisiertes Routing. Es ist es nicht erforderlich, eigene Routen zu konfigurieren.
Geschützte, virtuelle Hubs sind ein zentrales Element des Firewall Managers. Ein geschützter, virtueller Hub ist eine spezielle Form eines vorhandenen, virtuellen Hubs. Bei geschützten, virtuellen Hubs wird der Datenverkehr im Netzwerk über die Azure Firewall geroutet und durch Sicherheitsrichtlinien geschützt. In einer Region kann es natürlich mehrere Hubs geben, die wiederum durch den Firewall Manager über Firewall-Richtlinien miteinander verbunden werden.
In der Verwaltungsoberfläche des Azure Firewall Managers lassen sich auch zentral die Firewall-Richtlinien erstellen, verwalten und den geschützten, virtuellen Hubs zuordnen.
Zentral verwaltet werden diese Richtlinie in Zukunft dann über den Azure Firewall Manager.
Aktuell lassen sich mit der Vorschau des Azure Firewall Managers geschützte, virtuelle Hubs erstellen, um Cloud-Netzwerkverkehr für private IP-Adressen, Azure PaaS und das Internet zu schützen. Das Traffic-Routing zur Firewall ist dabei vollständig automatisiert.
Azure Firewall Manager testen und Preise
Wer die Möglichkeiten des Azure Firewall Managers testen will, kann sich für die Preview registrieren. Anschließend lassen sich die neuen Objekte in Azure erstellen und testen. Microsoft beschreibt die ersten Schritte zur Einrichtung auf der Seite Tutorial: Schützen Ihres Cloudnetzwerks mithilfe von Azure Firewall Manager (Vorschauversion) unter Verwendung des Azure-Portals.
Microsoft empfiehlt ausdrücklich, dass Datenverkehr zu Office 365 nicht über den Azure Firewall Manager geroutet wird. Der Datenverkehr, der für Office 365 ins Internet geschickt wird, ist ausreichend geschützt. Würde hier nochmal eine Absicherung erfolgen, leidet die Leistung deutlich. Daher ist es empfehlenswert, Office 365 weiterhin direkt zu routen, ohne Azure Firewall Manager.
Die Preise für Azure Firewall Manager belaufen sich aktuell auf etwa 42 Euro pro Richtlinie und Region. Dazu kommen kosten für Secured Virtual Hubs und der Datenmenge, die geroutet werden muss. Die Preise sind auf der Seite Azure Firewall Manager Pricing zu finden.
Fazit
Beim Azure Firewall Manager handelt es sich um eine Cloud-native Firewall als Dienst. Dieser ermöglicht Unternehmenskunden die Steuerung und Protokollierung von Datenverkehr mit einem DevOps-Ansatz. Der Firewall Manager kann in einer Hub-and-Spoke-Architektur mehrere Firewall-Instanzen verwalten, die Bereitstellung automatisieren und Firewall-Richtlinien zentral verwalten und durchsetzen.
Unternehmen, die in Azure zahlreiche Ressourcen, Standorte und unter Umständen sogar Abonnements nutzen, erhalten mit Azure Firewall Manager den Vorteil, alle Firewall-Richtlinien und Routen zentral steuern zu können. Wer nur wenige Standorte im Einsatz hat, profitiert nicht unbedingt von den Vorteilen. Generell lohnt es sich aber, die Funktionen des Firewall Managers in der eigenen Umgebung zu testen. Die derzeitige Preview ist von der Funktion zwar eingeschränkt, steht aber kostenlos zur Verfügung.