Azure Firewall: Grundlagen, Funktionen und Kosten


    Tags: ,

    Azure FirewallFür die Netz­werk­sicherheit bietet Azure zahl­reiche Dienste wie virtu­elle Netz­werke, Netzwerk­sicher­heits­gruppen, VNet-Peering, Dienst­endpunkte oder die Azure Firewall. Bei Letzterer handelt es sich um einen skalierbaren und hoch verfügbaren PaaS-Dienst, der keinen Vergleich mit herkömmlichen Pro­dukten scheuen muss.

    Legen Sie ein virtuelles Netzwerk in der Azure Cloud an, dann ist dieses rein privat und existiert nur in der Cloud. Benötigen Sie Layer-3-Konnektivität zwischen Ihrem lokalen Standort und einem Azure VNet, dann müssen Sie beide über ein VPN oder Express Route verbinden.

    Virtuelle Maschinen in einem Azure Netzwerk können das Internet über das implizite Internet-Gateway (Default Gateway) eines jeden Azure-VNets erreichen. Das ist zunächst eine Frage des Routings, Microsoft spricht hier von System-Routen. Im Unterschied zu AWS müssen Sie dazu bei Azure keine Internet-Gateways, Routing-Tabellen und Routen anlegen.

    Netzwerksicherheitsgruppe als Paketfilter

    Ob eine VM tatsächlich mit dem Internet kommunizieren kann, hängt aber auch noch von anderen Dingen ab. So benötigt sie eine öffentliche IP-Adresse und die Netzwerkkarte der VM oder ihr Subnetz muss einer Netzwerk­sicher­heits­gruppe (NSG) angehören, welche die betreffenden Ports bzw. Protokolle öffnet.

    Eine solche NSG ist faktisch ein Paketfilter, vergleichbar mit Linux IP Tables und arbeitet ausschließlich auf OSI-Layer 3 / 4. Sie wählen dort Port und Protokoll für Quelle und Ziel, wobei diese IP-Adressen, IP-Adressbereiche oder Dienst-Tags wie Internet oder Virtual Appliance sein können.

    Außerdem gibt es wie beim Linux-Kernel Allow- und Deny-Regeln, eine Regel-Reihenfolge, die sich durch die Priorität ergibt, und Stateful Inspection. Für den eingehenden Datenverkehr, der bereits related oder established ist, müssen Sie keine Ausgangs­regeln schreiben. Im Zwiebelprinzip von Microsofts Defense-in-Deep-Strategie ist das die Ebene der Netzwerksicherheit.

    Microsofts mehrschichtiger Ansatz für Azure-Security

    Azure stellt jede neue VM des Kunden automatisch in ein neues VNet und schließt sie an eine neue erstellte NSG an, deren Standardregeln der VM ausgehende Internet-Kommunikation erlauben.

    Für die eingehende Internet-Kommunikation müssen Sie in der entsprechenden NSG explizite Regeln beispielsweise für RDP, SSH oder HTTP anlegen. Die Abbildung zeigt eine solche Standard-NSG mit den vorgegebenen Regeln (ab 65000) und zwei individuellen Eingangsregeln.

    Eine standardmäßige Sicherheitsgruppe in Azure, wie sie automatisch für jede VM erzeugt wird.

    Firewall als Plattformdienst

    Damit leisten NSGs zwar gute Arbeit, zumal man sie frei Haus bekommt, aber auch nicht mehr als ein Paketfilter in der Lage ist. Daher bezeichnet man den Linux-Paketfilter in Windows-Kreisen auch nicht als Firewall.

    Statt nun aber mit entsprechendem Aufwand ein Barracuda, Fortinet, Sophos, Palo Alto oder Checkpoint auf einer Azure-VM selbst zu betreiben, können Sie die Azure Firewall als Plattform-Service nutzen.

    Nahezu jede Firewall-Lösung lässt sich auch auf Azure-VMs betreiben.

    Sie bekommen damit eine vollständige Stateful-Firewall as a Service mit einer privaten und einer öffentlichen IP-Adresse. Diese können Sie sowohl in den Firewall-eigenen Regeln, als auch in ihren Routing-Tabellen anpassen.

    Damit Ihre Azure-VMs und Netzwerke die Firewall auch verwenden (statt der oben skizierten System-Routen), müssen Sie eine benutzer­definierte Routing-Tabelle schreiben und Ihren Netzwerken zuordnen.

    Die wichtigsten Features von Azure Firewall

    Im Gegensatz zu den oben skizzierten Netzwerk­sicherheits­gruppen bietet die Azure Firewall nicht nur Filterregeln für den Netz­werk­daten­verkehr, sondern auch FQDN-Anwendungs­filter­regeln, SNAT-Unterstützung für ausgehenden Traffic, DNAT-Unterstützung für eingehenden Datenverkehr, unein­geschränkte Cloud-Skalierbarkeit, eine eingebaute Bedrohungsanalyse und sie lässt sich zonen­redundant betreiben.

    Außerdem protokolliert Azure alles, was in bzw. über die Firewall passiert, im Azure Monitor. Eine Übersicht über die Features findet sich in der Dokumentation.

    Vorlagen für Implementierung

    Damit mehrere Azure-Netzwerke (und ggf. auch On-Premises-Standorte) die Dienste der Firewall gemeinsam nutzen können, betreibt man die Azure Firewall üblicherweise in einer Hub-and-Spoke-Topologie. Das Azure-Architektur­zentrum liefert passende Referenz­architekturen.

    Ein Architekturentwurf für die Azure Firewall

    Sie können sich für einen ersten Test aber auch mit nur einem VNet (Workload-Vnet) und einer darin enthaltenen VM begnügen. Dazu kommt noch das Firewall-VNet, welches per Peering mit dem Workload-VNet verbunden sein soll. Anschließend kann man die Azure-Firewall implementieren.

    Kosten

    Die Azure Firewall gibt es in den SKUs Standard und Premium. Der Preis für die Standard­version liegt zwar bei 1,25 USD pro Stunde zuzüglich 0,016 Dollar pro verarbeitetem GB, was auf etwa 1000 USD pro Monat für den reinen Betrieb hinausläuft. Aber dafür bekommen Sie hohe Skalierbarkeit und Verfüg­barkeit ohne zusätzliche Kosten.

    Wollten Sie zum Beispiel eine Spohos-Firewall auf VMs mit vergleichbarer Verfügbarkeit betreiben, brauchen Sie mindestens zwei VMs, einen Load-Balancer, die Software-Lizenzen und müssen die Maschinen selbst warten.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Thomas Drilling

    Thomas Drilling arbeitet seit mehr als 20 Jahren selb­ständig als Redakteur und Autor für viele ehe­malige und aktuelle IT-Magazine sowie Blogs. Thomas ist zudem Buch­autor und IT-Consultant.

    Seit 5 Jahren ist Thomas neben seiner journa­listischen Tätig­keit haupt­beruflicher, selb­ständiger IT-Trainer für VMware und Microsoft.

    Seine Themen­schwer­punkte sind Virtua­lisierung und Cloud Com­puting, speziell VMware, Amazon Web Services, Google Cloud und Microsoft Azure. Thomas ist zerti­fi­zierter VMware Professional, Advanced Professional und wurde von VMware in den Jahren 2016, 2017, 2018, 2019 und 2020 mit dem Blogger-Status vExpert ausge­zeichnet.

    Thomas ist außerdem zertifi­zierter AWS Solu­tions Archi­tect, Sysops Engineer und Devops Engineer sowie Microsoft Certified Azure Admini­strator.

    Thomas führt aktuell jeden zwei­ten Mon­tag einen 4-tägigen Grund­lagenkurs in Cloud Computing mit AWS via Zoom-Meeting durch. Weitere Infor­mationen und Anmel­dung über sein AWS-Blog.

    Ähnliche Beiträge

    Weitere Links