Mir ist zu Ohren gekommen, dass Microsoft bald in Azure eine Firewall anbieten wird – und da wurde ich hellhörig.
Update: Unser Webinar zum Thema Azure Firewall: https://register.gotowebinar.com/recording/1649989114676825099
Generell müssen wir leider sagen, dass trotz Werbung für die Netzwerksicherheitsgruppen (NSG), wir ja für eine reale Paket Untersuchung keine zusätzlichen Bordmittel besitzen und deswegen DRINGEND auf eine sinnvolle virtuelle Firewalllösung zurückgreifen müssen.
Ok ok, ich höre schon wieder einige stöhnen, dass eine Firewalllösung zu teuer, zu aufwendig oder einfach unnötig sei. Aber ich möchte Ihnen jetzt erst einmal erklären, was Microsoft Azure jetzt als weitere Lösung (PREVIEW) eingebaut hat.
Der neue Lösungsansatz von Microsoft Azure kann schon etwas mehr als die Standard NSG, hier eine Aufzählung der Filtermöglichkeiten:
- Quell und Ziel IP
- Quell und Ziel Port
- UDP, TCP, ICMP und Any (keine weitere Qualifizierung)
- Layer 3-7 Inspection
- First Match Regelwerk
- Application Rule (was bedeutet, dass die Protokolle http, http:{port} und https mit einem Ziel-FQDN definiert werden können. Also ähnlich einem einfachen URL Filter.
Nur noch einmal als Erinnerung:
Eine Firewall hat u.a. die Aufgabe eigehenden und ausgehenden Verkehr zu kontrollieren. Diese Aufgabe kann man relativ einfach auf den Layern 3-7 gestalten, aber dabei wird der eigentliche Datenanteil nicht kontrolliert.
Anders gesagt:
Sie haben eine Eintrittskarte zum Bundesligaspiel zwischen Düsseldorf und Leverkusen. Der Ordner überprüft Ihr Ticket, prüft zusätzlich den Aufgang und die Reihe im Stadion, vielleicht sogar den personalisierten Namen auf dem Ticket, aber in dem Rucksack auf Ihren Schultern schaut er nicht rein. Na ?? Was fällt uns da auf! Tolles Sicherheitssystem in dem Stadion, oder?
Dieses System nennt Microsoft dann à Next Generation Firewall *puuh*
Genau da liegt der Gedankenfehler in dieser neuen Microsoft Azure Firewall. Allerdings ist es eine klare Verbesserung der doch sehr eingeschränkten NSG Möglichkeiten.
Aufbau in Azure:
Am besten nutzen Sie diesen Link à https://docs.microsoft.com/de-de/azure/firewall/tutorial-firewall-deploy-portal
Hier eine Zusammenfassung:
- Via PowerShell müssen wir im Vorfeld das Preview Feature aktivieren (Script siehe unten)
- Wartezeit beachten!
- Im PREVIEW Portal in „englischer Sprache“ neue Regeln erstellen
Grund der englischen Sprache ist derzeitig noch ein kleiner Fehler in Azure bei der Schreibweise von WestEurope bzw. WestEuropa J
Kosten:
Beachten Sie bitte, dass Microsoft dafür zusätzliche Kosten in Höhe von 0,007€ – 0,013€, abhängig vom Gesamtvolumen, pro GB verlangt.
Fazit:
Ich nehme diese neuen Azure Firewall Möglichkeiten als klare Verbesserung wahr, aber werde weiterhin Werbung für eine angemessene virtuelle Firewall in Azure betreiben.
SONDERHINWEIS
Bitte beachtet die Watchguard Firebox in Azure Webinare am 01.08.2018 und am 03.08.2018.
An diesen Terminen zeigen wir, wie eine Watchguard Firebox in Microsoft Azure installiert und verwaltet wird.
WatchGuard Firebox Cloud on Azure – Technik Speak TEIL 1 | 01.08.2018
WatchGuard Firebox Cloud on Azure – Technik Speak TEIL 2 | 03.08.2018
Script zum Aktivieren der Azure Firewall Preview Features
# Login an Azure RM
Login-AzureRmAccount
# listet alle features zum registrieren auf
get-AzureRmProviderFeature -ListAvailable
# Filtert die Featurename´s auf unseren Wunsch
get-AzureRmProviderFeature -ListAvailable |
Where-Object -Property Featurename -like „*firewall“
#########################################################
## Ablauf zum Registrieren des Azure Firewall Features ##
#########################################################
Register-AzureRmProviderFeature `
-FeatureName AllowRegionalGatewayManagerForSecureGateway `
-ProviderNamespace Microsoft.Network
Register-AzureRmProviderFeature `
-FeatureName AllowAzureFirewall `
-ProviderNamespace Microsoft.Network
###################################
## Bis zu „n“ MINUTEN WARTEZWEIT ##
## in diesem Fall bis zu 30 Min ##
###################################
#######################################
## Überprüfung während der Wartezeit ##
#######################################
Get-AzureRmProviderFeature `
-FeatureName AllowRegionalGatewayManagerForSecureGateway `
-ProviderNamespace Microsoft.Network
Get-AzureRmProviderFeature `
-FeatureName AllowAzureFirewall `
-ProviderNamespace Microsoft.Network
#################################################
## Zum Ende schließen wie die Registrierung ab ##
#################################################
Register-AzureRmResourceProvider `
-ProviderNamespace Microsoft.Network