通过

使用 Azure Policy 帮助保护 Azure 防火墙部署

Azure Policy 是 Azure 中的一项服务,可用于创建、分配和管理策略。 这些策略将在整个资源中强制实施不同的规则和效果,以便这些资源符合公司标准和服务级别协议。 Azure Policy 通过评估资源是否符合指定策略来实现此目标。 例如,可以设置一项策略,仅允许环境中有特定大小的虚拟机或强制对资源使用特定标记。

Azure Policy 可用于通过应用策略来定义允许或禁止哪些配置,从而管理 Azure 防火墙配置。 这有助于确保防火墙设置符合组织合规性要求和安全最佳做法。

先决条件

如果没有 Azure 订阅,请在开始前创建一个试用版订阅

策略可用于 Azure 防火墙

以下策略适用于 Azure 防火墙:

  • 在 Azure 防火墙策略中启用威胁情报

    此策略可确保未启用威胁情报的任何 Azure 防火墙配置都被标记为不合规。

  • 跨多个可用性区域部署 Azure 防火墙

    该策略仅允许在配置了多个可用性区域的情况下部署 Azure 防火墙。

  • 将 Azure 防火墙标准版升级到高级版

    此策略建议将 Azure 防火墙标准版升级到高级版,以便可使用高级版的所有高级防火墙功能。 这进一步增强了网络的安全性。

  • 应启用 Azure 防火墙策略分析

    此策略可确保在防火墙上启用策略分析,以有效地调整和优化防火墙规则。

  • Azure 防火墙应仅允许加密流量

    此策略会分析 Azure 防火墙策略中的现有规则和端口,并审核防火墙策略,确保仅允许加密流量进入环境。

  • Azure 防火墙应启用 DNS 代理

    此策略可确保在 Azure 防火墙部署上启用 DNS 代理功能。

  • 在 Azure 防火墙高级版策略中启用 IDPS

    此策略可确保在 Azure 防火墙部署上启用 IDPS 功能,以有效保护环境免受各种威胁和漏洞的影响。

  • 在 Azure 防火墙策略上启用 TLS 检查

    此策略要求启用 TLS 检查,以检测、警报和缓解 HTTPS 流量中的恶意活动。

  • 为防火墙策略强制实施显式代理配置 此策略可确保所有 Azure 防火墙策略都启用了显式代理配置。 它检查 explicitProxy.enableExplicitProxy 字段是否存在,并在缺少此设置时将资源标记为不合规。 这有助于在所有防火墙部署中维护一致的代理配置。 有关完整的策略定义,请参阅 “为防火墙策略强制实施显式代理配置”。

  • 在 Azure 防火墙上使用显式代理时启用 PAC 文件配置

    此策略会审核 Azure 防火墙策略,以确保启用显式代理时,也会正确配置 PAC(代理自动配置)文件。 它验证如果explicitProxy.enableExplicitProxy为true,那么explicitProxy.enablePacFile也应启用以提供适当的代理自动配置功能。 有关完整的策略定义,请参阅 在 Azure 防火墙上使用显式代理时启用 PAC 文件配置

  • 从 Azure 防火墙经典规则迁移到防火墙策略

    此策略建议从防火墙经典规则迁移到防火墙策略。

  • 具有特定标记的 VNET 必须部署了 Azure 防火墙

    此策略会查找具有指定标记的所有虚拟网络,并检查是否部署了 Azure 防火墙,并在不存在 Azure 防火墙时将其标记为不合规。

以下步骤演示如何创建强制所有防火墙规则启用威胁情报功能(“仅警报”或“警报并拒绝”)的 Azure Policy。 Azure Policy 范围设置为你创建的资源组。

创建资源组

此资源组设置为 Azure Policy 的范围,可在其中创建防火墙策略。

  1. 在 Azure 门户中,选择“创建资源”。
  2. 在搜索框中,键入“资源组”并按 Enter。
  3. 从搜索结果中选择“资源组”。
  4. 选择 创建
  5. 选择订阅。
  6. 键入资源组的名称。
  7. 选择区域。
  8. 选择“下一步:标记”
  9. 选择“下一步: 查看 + 创建”。
  10. 选择 创建

创建 Azure Policy

现在,在新资源组中创建 Azure Policy。 此策略可确保任何防火墙策略都必须启用威胁情报。

  1. 在 Azure 门户中,选择“所有服务”。
  2. 在筛选器框中,键入“策略”并按 Enter。
  3. 在搜索结果中选择“策略”
  4. 在“策略”页上,选择“入门”。
  5. 在“分配策略”下,选择“查看定义”。
  6. 在“定义”页上,在搜索框中键入“防火墙”。
  7. 选择“Azure 防火墙策略应启用威胁情报”。
  8. 选择“分配策略”
  9. 对于“范围”,请选择你的订阅和新资源组。
  10. 选择 选择
  11. 选择“下一步”。
  12. 在“参数”页上,清除“仅显示需要输入或评审的参数”复选框。
  13. 对于“效果”,请选择“拒绝”。
  14. 选择“查看 + 创建”
  15. 选择 创建

创建防火墙策略

现在,尝试创建禁用了威胁情报的防火墙策略。

  1. 在 Azure 门户中,选择“创建资源”。
  2. 在搜索框中,键入“防火墙策略”,然后按 Enter。
  3. 在搜索结果中选择“防火墙策略”。
  4. 选择 创建
  5. 选择订阅。
  6. 对于“资源组”,请选择之前创建的资源组。
  7. 在“名称”文本框中,键入策略的名称。
  8. 选择“下一步: DNS 设置”。
  9. 继续选择,转到“威胁情报”页。
  10. 对于“威胁情报模式”,请选择“已禁用”。
  11. 选择“查看 + 创建”

应该会看到一个错误,指出你的资源被策略禁止,确认 Azure Policy 不允许禁用了威胁情报的防火墙策略。

相关内容