Tufin має міцні відносини з багатьма постачальниками хмарних послуг, включаючи Microsoft Azure, і одним із потужних елементів екосистеми Azure є Azure Firewall, керована хмарна служба мережевої безпеки, яка захищає ресурси Azure Virtual Network.
Azure Firewall забезпечує функціональність повністю станового брандмауера як послуги, який отримує переваги від високої доступності та необмеженої масштабованості хмари. Ви можете використовувати Azure Firewall у центральній віртуальній мережі для маршрутизації та фільтрації трафіку між кількома віртуальними мережами концентратора.
Tufin може допомогти вам отримати видимість фундаментальних принципів вашого брандмауера Azure та автоматизувати зміни правил брандмауера. Tufin надає інформацію про ризики, надмірність та порушення відповідності стандартам. Правильне керування наборами правил та конфігураціями брандмауера може допомогти запобігти вразливостям та оптимізувати мережевий трафік, особливо в поєднанні з кінцевою автоматизацією змін брандмауера, яку забезпечує Tufin.
Як керувати правилами брандмауера Azure
Під час налаштування Azure Firewall зверніть увагу, що він підтримує правила та набори правил, які є наборами правил, що мають однаковий порядок і пріоритет, відповідно до Microsoft. Крім того, набори правил брандмауера Azure виконуються в порядку їх пріоритету.
Групи наборів правил з нижчими номерами мають вищий пріоритет, ніж ті з вищими номерами, у шкалі від 100 до 65 000. Microsoft рекомендує адміністраторам розподіляти номери пріоритету набору правил із кроком у 100 номерів (100, 200, 300 тощо), щоб забезпечити простір для додавання більше наборів правил, якщо потрібно.
Відповідно до Microsoft, набори правил перекладу адреси мережі призначення (DNAT) фільтрують і перекладають вхідний інтернет-трафік до підмереж, наборів правил мережі з вищим пріоритетом.
Згідно з Microsoft, існує три типи правил щодо наборів правил для Azure Firewall:
-
Правила мережі конфігурують правила, що містять вихідні IP-адреси, протоколи, порти призначення та адреси призначення.
-
Правила додатків конфігурують повністю кваліфіковані доменні імена (FQDN), до яких можна отримати доступ із віртуальної мережі. Важливо, що правила додатків не застосовуються для вхідних з'єднань; таким чином, для фільтрації вхідного трафіку HTTP/S Microsoft рекомендує використовувати брандмауер веб-додатків (WAF).
-
Правила NAT конфігурують правила DNAT, щоб дозволити вхідні з'єднання з Інтернету.
Microsoft зазначає деякі важливі політики та правила брандмауера Azure:
-
Вхідне підключення до Інтернету можна увімкнути, налаштувавши DNAT, як описано в процесі «Фільтрування вхідного трафіку за допомогою Azure Firewall DNAT» від Microsoft.
-
Що стосується вихідного трафіку, якщо ви налаштуєте правила мережі та правила веб-додатків, то правила мережі застосовуються в порядку пріоритету перед правилами додатків, і правила припиняються. Це означає, що жодна інша правила не обробляється, якщо знайдено відповідність у правилі мережі.
-
Якщо ви налаштували систему виявлення та запобігання вторгнень (IDPS), вона буде моніторити та блокувати підозрілий трафік, який вона виявить.
-
У випадках HTTP та TLS-інспекції HTTPS брандмауер ігнорує IP-адресу призначення пакета та використовує IP-адресу, розв'язану DNS, з заголовка хоста. Брандмауер очікує отримати номер порту в заголовку хоста. В іншому випадку він припускає стандартний порт 80.
-
Невідповідність портів між фактичним портом TCP та портом у заголовку хоста призведе до скидання трафіку.
-
Розв'язання DNS виконується Azure DNS або настроєним DNS на брандмауері.
Як Tufin може допомогти вам керувати правилами брандмауера
Використовуючи Tufin, ви переконуєтеся, що застосовується проста логіка, щоб база правил не стала надто складною. Ось кілька ключових переваг підходу Tufin до правил брандмауера:
-
Керування змінами брандмауера допомагає вам ефективно керувати змінами конфігурації брандмауера, підтримувати вашу політику мережевої безпеки та оптимізувати базу правил брандмауера. Tufin пропагує та практикує автоматизацію для змін правил брандмауера, що допомагає вам уникати людських помилок та прискорює зміни мережі.
-
Впровадження автоматизованого рішення, такого як автоматизація змін брандмауера, спрощує процес змін, забезпечуючи повністю автоматизовані робочі потоки змін мережі, що призводить до скорочення SLA. Tufin автоматично виявляє надлишкові правила та переглядає та тестує кожну зміну доступу відповідно до правил політики безпеки компанії.
-
Підхід Tufin до управління змінами брандмауера гарантує, що зміни до баз правил відстежуються, затверджуються та ефективно впроваджуються. Запит на зміни призведе або до нового правила, або до зміни існуючого, тим самим мінімізуючи ймовірність помилок та порушень політики.
-
Також важливо регулярно проводити аудит брандмауера, щоб виявляти вразливості, невикористані правила або неправильні конфігурації. Програмне забезпечення Tufin генерує звіти про аудит безпеки за запитом. Звіти можна легко автоматизувати на основі критеріїв, таких як бізнес-область, постачальники брандмауерів, постачальники хмарних послуг, часові періоди та географічні регіони.
Як Tufin може допомогти покращити ваші політики безпеки та доступу
Tufin не тільки інтегрується з Azure Firewall, але і з усіма вашими хмарними мережами та інструментами Azure, включаючи групи мережевої безпеки Azure. Tufin безшовно інтегрує можливості публічної хмари Azure в єдину та автоматизовану платформу управління політикою мережевої безпеки, забезпечуючи рівномірне застосування політик безпеки в різних хмарних середовищах та центрах обробки даних.
Крім того, можливості автоматизації та виконання змін політики безпеки Tufin будуються на основі власних функцій мережевої безпеки Azure, забезпечуючи підвищену видимість вашої топології мережі. Ви можете мати живе та автоматизоване відображення вашого брандмауера Azure та інших мережевих ресурсів на основі Azure та віртуальних машин, а також можете моделювати шляхи трафіку у вашій інфраструктурі Azure та локальних приміщеннях. Це дозволяє вашим командам мережевої безпеки та ІТ відображати залежності, аналізувати потоки трафіку та робочі навантаження та оптимізувати продуктивність мережі.
Інтеграція Tufin з Azure автоматизує процес впровадження змін мережі, щоб скоротити час і зусилля, необхідні для внесення змін мережі. Це стосується як змін правил брандмауера Azure, так і всіх ваших ресурсів Azure.
Tufin Orchestration Suit - унікальне рішення для українського IT-ринку в портфелі компанії NWU
Tufin Orchestration Suit - по справжньому передове та унікальне рішення від світового лідера кібербезпеки на вітчизняному IT-ринку, представлене в портфелі компанії NWU, що є офіційним дистриб'ютором Tufin на території України. Завдяки чому у вас є можливість купити Tufin в Україні. Tufin Orchestration Suit є бажаним рішенням для SOC-команди будь-якої компанії України.
Купити Tufin або для більш детальної інформації та консультації щодо нового функціоналу Tufin TOS R24-2 звертайтесь на
Продукти Tufin
