Microsoft annonce la disponibilité en Public Preview d'Azure Firewall Premium, son pare-feu en tant que service natif du cloud
qui vous permet de gérer vos flux à l'aide d'une approche DevOps

Azure Firewall est un pare-feu en tant que service (FWaaS) natif du cloud qui vous permet de gérer et de journaliser de manière centralisée tous vos flux de trafic à l'aide d'une approche DevOps. Le service prend en charge les règles de filtrage au niveau de l'application et du réseau et est intégré au flux Microsoft Threat Intelligence pour filtrer les adresses IP et les domaines malveillants connus. Azure Firewall est hautement disponible avec une mise à l'échelle automatique intégrée.

Vous pouvez créer, appliquer et consigner des stratégies de connectivité réseau et d’application de façon centralisée entre les abonnements et les réseaux virtuels. Azure Firewall utilise une adresse IP publique statique pour vos ressources de réseau virtuel, ce qui permet aux pare-feu situés à l’extérieur d’identifier le trafic provenant de votre réseau virtuel. Le service est totalement intégré à Azure Monitor pour la journalisation et les analyses.

Microsoft a annoncé que le nouveau niveau Premium pour son service de sécurité réseau cloud géré Azure Firewall est désormais en préversion publique. Azure Firewall ne nécessite aucune maintenance et offre aux clients une protection pour leurs ressources de réseau virtuel Azure, ainsi qu'une évolutivité cloud illimitée et un déploiement transparent.

La préversion publique d'Azure Firewall Premium ajoute de nouvelles fonctionnalités requises par les environnements hautement sensibles et réglementés.

Dans un billet de blog, l’éditeur explique qu’avec le nouveau Azure Firewall Premium désormais en préversion publique, vous pouvez exécuter les nouvelles fonctionnalités suivantes :
  • Inspection de la sécurité de la couche de transport (TLS) : Azure Firewall Premium déchiffre le trafic sortant, exécute les fonctions de sécurité à valeur ajoutée requises et rechiffre le trafic envoyé à la destination d'origine.
  • Système de détection et de prévention des intrusions (IDPS) : Azure Firewall Premium fournit des IDPS basés sur les signatures pour permettre une détection rapide des attaques en recherchant des modèles spécifiques, tels que des séquences d'octets dans le trafic réseau ou des séquences d'instructions malveillantes connues utilisées par des logiciels malveillants.
  • Catégories Web : permet aux administrateurs d'autoriser ou de refuser l'accès des utilisateurs à Internet en fonction de catégories (par exemple, les réseaux sociaux, les moteurs de recherche, les jeux d'argent et de hasard), ce qui réduit le temps consacré à la gestion des noms de domaine complets et des URL individuels. Cette fonctionnalité est également disponible pour Azure Firewall Standard basé sur les noms de domaine complets uniquement.
  • Filtrage d'URL : permet aux utilisateurs d'accéder à des URL spécifiques pour le texte brut et le trafic chiffré, généralement utilisés en cas de congestion avec des catégories Web.

« Azure Firewall Premium utilise la stratégie de pare-feu, une ressource globale qui peut être utilisée pour gérer de manière centralisée vos pare-feu à l'aide d'Azure Firewall Manager. À partir de cette version, toutes les nouvelles fonctionnalités seront configurables via la stratégie de pare-feu uniquement. Cela comprend l'inspection TLS, l'IDPS, le filtrage d'URL, les catégories Web et plus encore. Les règles de pare-feu (classiques) continuent d'être prises en charge et peuvent être utilisées pour configurer les fonctionnalités existantes du pare-feu standard. La stratégie de pare-feu peut être gérée indépendamment ou à l'aide du gestionnaire d’Azure Firewall. Firewall Policy associée à un seul pare-feu est gratuite ».

Nom : firewall.png
Affichages : 822
Taille : 34,7 Ko

La capacité d'inspection TLS empêche la transmission des logiciels malveillants via des connexions cryptées et IDPS (abréviation de système de détection et de prévention des intrusions) permet de détecter et de bloquer le trafic et les activités malveillants. Azure Firewall Premium permet également de restreindre l'accès au contenu Web à l'aide du filtrage d'URL intégré et des fonctionnalités de filtrage de contenu améliorées via la fonctionnalité Catégories Web.

Pour déployer et configurer Azure Firewall Premium Preview, vous avez besoin d'un compte gratuit et d'un abonnement Azure. Microsoft fournit également un template pour déployer un environnement de test Azure Firewall Premium complet.

Firewall Policy est une ressource Azure qui contient la traduction d'adresses réseau (NAT), le réseau et les collections de règles d'application, ainsi que les renseignements sur les menaces et les paramètres DNS. Il s'agit d'une ressource globale qui peut être utilisée sur plusieurs instances d’Azure Firewall dans des Secured Virtual Hubs et Hub Virtual Networks. Les stratégies de pare-feu fonctionnent dans toutes les régions et souscriptions.

Vous n'avez pas besoin de Firewall Manager pour créer une stratégie de pare-feu. Il existe de nombreuses façons de créer et de gérer une stratégie de pare-feu, notamment en utilisant l'API REST, PowerShell ou l'interface de ligne de commande (CLI).

Après avoir créé une stratégie de pare-feu, vous pouvez associer la stratégie à un ou plusieurs pare-feu à l'aide de Firewall Manager ou à l'aide de l'API REST, PowerShell ou CLI. Reportez-vous au document de présentation de la politique pour une comparaison plus détaillée des règles et de la politique.

Voici quelques éléments embarqués dans la version standard :
  • Prise en charge DNS personnalisée : Depuis son lancement en septembre 2018, Azure Firewall a été codé en dur pour utiliser Azure DNS pour garantir que le service peut résoudre de manière fiable ses dépendances sortantes. Le DNS personnalisé permet de séparer la résolution du nom du client et du service. Cela vous permet de configurer Azure Firewall pour utiliser votre propre serveur DNS et garantit que les dépendances sortantes du pare-feu sont toujours résolues avec Azure DNS. Vous pouvez configurer un seul serveur DNS ou plusieurs serveurs dans les paramètres DNS du pare-feu Azure et de la stratégie de pare-feu. Azure Firewall est également capable de résoudre les noms à l'aide d'Azure Private DNS, tant que votre zone DNS privée est liée au réseau virtuel du pare-feu.
  • Proxy DNS : Lorsque le proxy DNS est activé, les requêtes DNS sortantes sont traitées par Azure Firewall, qui lance une nouvelle requête de résolution DNS sur votre serveur DNS personnalisé ou Azure DNS. Ceci est crucial pour avoir un filtrage FQDN fiable dans les règles de réseau. Vous pouvez configurer le proxy DNS dans les paramètres DNS du pare-feu Azure et de la stratégie de pare-feu.

    La configuration du proxy DNS nécessite trois étapes :
    • Activez le proxy DNS dans les paramètres DNS du pare-feu Azure.
    • Configurez éventuellement votre serveur DNS personnalisé ou utilisez la valeur par défaut fournie.
    • Enfin, vous devez configurer l'adresse IP privée du pare-feu Azure en tant que serveur DNS personnalisé dans les paramètres de votre serveur DNS de réseau virtuel. Cela garantit que le trafic DNS est dirigé vers Azure Firewall.
  • Filtrage FQDN dans les règles de réseau : Vous pouvez utiliser des Fully Qualified Domain Names (FQDN) dans les règles de réseau basées sur la résolution DNS dans Azure Firewall et Firewall Policy. Ces noms de domaine spécifiés dans vos collections de règles sont traduits en adresses IP en fonction des paramètres DNS de votre pare-feu. Cette capacité vous permet de filtrer le trafic sortant à l'aide de FQDN avec n'importe quel protocole TCP / UDP (y compris NTP, SSH, RDP, etc.). Comme cette capacité est basée sur la résolution DNS, il est fortement recommandé d'activer le proxy DNS pour garantir la cohérence de vos machines virtuelles protégées et de la résolution de noms de pare-feu.

    Le filtrage FQDN dans les règles d'application pour HTTP / S et MSSQL est basé sur un proxy transparent au niveau de l'application. En tant que tel, il peut discerner entre deux FQDN résolus à la même adresse IP. Ce n'est pas le cas avec le filtrage FQDN dans les règles de réseau, il est donc toujours recommandé d'utiliser des règles d'application lorsque cela est possible.
  • Groupes IP : il s’agit d’une ressource Azure de niveau supérieur qui vous permet de regrouper et de gérer les adresses IP dans les règles du pare-feu Azure. Vous pouvez donner un nom à votre groupe IP et en créer un en entrant des adresses IP ou en téléchargeant un fichier. Les groupes IP simplifient votre expérience de gestion et réduisent le temps passé à gérer les adresses IP en les utilisant dans un seul pare-feu ou sur plusieurs pare-feu. Les groupes IP sont disponibles en version stable et pris en charge dans une configuration de pare-feu Azure autonome ou dans le cadre de la stratégie de pare-feu Azure.


Template pour déployer et configurer Azure Firewall Premium Preview

Source : Microsoft (1, 2)