• ۱۵ مهر ۱۴۰۴
آموزش امنیت Security زیرساخت ٰInfrastructure سرویس های مایکروسافت

Optimizing Azure Firewall: From Rule-Based to Policy-Based

  • Maria Rezapour
  • ۰۷ مهر ۱۴۰۴
  • بدون نظر
  • 13
  • 1 دقیقه زمان مطالعه

مدیریت متمرکز با Azure Firewall:

مهاجرت از Rule-Based به Policy-Based:

Azure Firewall یکی از سرویس‌های کلیدی امنیتی در بستر ابری Azure است که برای کنترل و حفاظت از ترافیک شبکه طراحی شده و در سه نسخه Basic، Standard و Premium ارائه می‌شود تا پاسخگوی نیازهای متنوع سازمان‌ها باشد.

در گذشته، نسخه Standard تنها بر پایه (Rule Collection-Based (classic rules  مدیریت می‌شد و هر فایروال باید به صورت جداگانه پیکربندی می‌گردید. اما با معرفی Azure Firewall Policy و Firewall Manager، امکان مدیریت متمرکز و Policy-Based در نسخه‌های Standard و Premium فراهم شد و انعطاف‌پذیری بیشتری در پیاده‌سازی سیاست‌های امنیتی ایجاد کرد.

نسخه Premium علاوه بر پشتیبانی کامل از Policy-Based، امکانات پیشرفته‌ای مانند TLS Inspection (Outbound TLS Termination)، IDPS (Intrusion Detection and Prevention System) و URL Filtering با SSL Termination را ارائه می‌دهد. این ویژگی‌ها تنها در نسخه Premium موجود هستند و به‌ویژه برای محیط‌های حساس مانند سازمان‌های مالی و حوزه سلامت توصیه می‌شوند. همچنین، Premium با مقیاس‌پذیری بالاتر (تا ۱۰۰ Gbps) سطح امنیت پیشرفته‌تری را فراهم می‌کند.

این مقاله به بررسی دلایل مهاجرت، مزایا، مراحل، downtime، انتخاب بین Policy موجود یا جدید می‌پردازد.

اقدامات زیر برای سازمانهایی است که پیکربندی فعلی آنها  در حال حاضر مبتنی بر classic rules  هست مناسب میباشد.

چرا  مهاجرت از Rule-Based به Policy-Based ؟؟؟

  • با یک Policy می‌توان چندین فایروال را مدیریت کرد.
  • کاهش خطاهای انسانی: تغییرات روی Policy یکجا اعمال می‌شوند.
  • مقیاس‌پذیری بالا: افزودن فایروال جدید با Policy مشابه ساده است.
  • یکپارچگی با ابزارهای امنیتی: اتصال به Azure Firewall Manager و Azure Sentinel.
  • پشتیبانی از قابلیت‌های پیشرفته Premium: TLS Inspection، IDPS و Threat Intelligence.
ویژگی Rule-Based Policy-Based
مدیریت قوانین جداگانه روی هر فایروال یک Policy برای چندین فایروال
مقیاس‌پذیری محدود بسیار بالا
خطاهای انسانی بیشتر کاهش یافته
قابلیت‌های Premium محدود پشتیبانی کامل TLS Inspection، IDPS، Threat Intelligence
تغییرات دستی و جداگانه متمرکز و یکجا

 

انتخاب بین Existing vs New Policy

در فرآیند مهاجرت یک Azure Firewall موجود از حالت کلاسیک (Rule Collection-Based) به مدیریت مبتنی بر Policy، دو رویکرد اصلی برای مدیریت Firewall Policy وجود دارد:

استفاده از Existing Policy:

در این روش، یک  Firewall Policy از قبل ایجاد شده وجود دارد. قوانین موجود (Rule Collections شامل Network, Application و NAT) به این Policy منتقل می‌شوند و فایروال موجود به آن متصل می‌شود.

مزایا:

  • مهاجرت سریع‌تر انجام می‌شود.
  • زمان downtime کمتر است، زیرا Policy از قبل آماده است.
  • مناسب برای محیط‌هایی که نیاز به مهاجرت فوری و کم‌ریسک دارند.

محدودیت‌ها:

  • انعطاف در طراحی یا اصلاح ساختار قوانین کمتر است، چون باید با ساختار Policy موجود هماهنگ شوید.
  • ممکن است برخی قوانین به‌صورت suboptimal منتقل شوند و نیاز به بازبینی داشته باشند.

ایجاد New Policy:

در این روش، یک Firewall Policy جدید از ابتدا در زمان مایگریشن طراحی می‌شود. قوانین موجود به‌صورت انتخابی و بهینه‌شده به Policy جدید منتقل می‌شوند و فایروال موجود به آن متصل می‌شود.

مزایا:

  • امکان طراحی بهینه و بازسازی ساختار Rule Collectionها فراهم است.
  • محدودیت‌های ساختار قدیمی حذف می‌شوند و می‌توان اصلاحات دلخواه را اعمال کرد.
  • مناسب برای محیط‌هایی که قصد بازطراحی یا بهبود ساختار امنیتی دارند.

محدودیت‌ها:

  • زمان مهاجرت ممکن است کمی طولانی‌تر شود.
  • احتمال افزایش موقت downtime وجود دارد.

 

توصیه: برای شبکه‌های بزرگ و پیچیده، بهتر است ابتدا Policy جدید ایجاد کرده و قوانین بهینه را منتقل کنید.

بطور کلی  موارد زیر را در پیش از مایگریشن در نظر بگیرید:

تحلیل قوانین فعلی Rule-Based

  • لیست کامل Network, Application و NAT Rules
  • بررسی تطابق با نیاز Policy-Base 

ایجاد یا انتخاب Policy

  • Existing: اتصال فایروال‌ها به Policy موجود
  • New: تعریف قوانین و ساختار جدید Policy

مدیریت Parent/Child Policies

  • Parent Policy:
    سیاست اصلی که تنظیمات پایه‌ای، امنیت و قواعد کلی را تعیین می‌کند.
  • Child Policy:
    سیاست‌های فرعی که روی فایروال‌ها یا گروه‌های خاص اعمال می‌شوند و می‌توانند تنظیمات Parent را به ارث ببرند یا تغییرات جزئی داشته باشند.

مدل Parent/Child در Azure Firewall

مزیت: تغییر در Parent Policy به صورت خودکار روی تمام Child Policies اعمال می‌شود و مدیریت بسیار ساده‌تر می‌شود.

تست در محیط آزمایشی

  • اطمینان از عملکرد صحیح Policy قبل از اعمال در محیط تولید

  Downtime احتمالی

  • معمولا ۲۰–۳۰ دقیقه توقف برای انتقال وجود دارد، اما با Policy موجود می‌تواند کمتر باشد.
  • پیشنهاد می‌شود مهاجرت در زمان کم‌ترافیک انجام شود.

و موارد زیر را در پس از مایگریشن در نظر بگیرید:

ارتباط فایروال با Policy

  • اعمال Policy روی فایروال‌ها و بررسی وضعیت

مهاجرت و مانیتورینگ

  • بررسی ترافیک، گزارش‌ها و Logs
  • اصلاحات احتمالی در Child Policies

نتیجه‌گیری

مهاجرت از Rule-Based به Policy-Based در Azure Firewall گام مهمی در جهت افزایش امنیت، مقیاس‌پذیری و مدیریت متمرکز است. نسخه Standard با کمک Azure Firewall Manager می‌تواند Policy-Based شود، اما برای استفاده از قابلیت‌های امنیتی پیشرفته مانند TLS Inspection و IDPS نیاز به نسخه Premium است. انتخاب بین Existing Policy یا New Policy به شرایط سازمان بستگی دارد، اما در هر حالت، مهاجرت منجر به بهبود چشمگیر در امنیت و مدیریت شبکه خواهد شد.

 

 

🔗 Learn more

https://learn.microsoft.com/en-us/azure/firewall/overview

0 مورد نقد و بررسی

Tags:

→ خواندن مطلب قبلی

Hands-on Lab: Unlock Hybrid with Azure Arc

نوشتن نظر شما

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

محبوب ترین

آزمون و گواهینامه

چگونه برای آزمون Microsoft Azure Fundamentals آماده شدم

۰۲ مرداد ۱۴۰۲
آزمون و گواهینامه

مراحل ثبت نام و شرکت در آزمون مایکروسافت و نکات آن

۱۱ شهریور ۱۴۰۲
آزمون و گواهینامه

بوت کمپ AZ-104

۰۲ تیر ۱۴۰۳
آموزش

آشنایی با مایکروسافت اژور در یک نگاه

۰۴ مرداد ۱۴۰۲
آموزش

فضای ذخیره‌سازی ابری و پشتیبان گیری دیتا در اژور

۲۸ شهریور ۱۴۰۳