Azure Firewall จบด้วยตัวเดียวครอบคลุมทุก Security

สวัสดีครับเพื่อน ๆ ชาว IT กลับมาพบกันอีกครั้งกับ Cloud HM Blog ข่าวสาร และบทความ IT น่าอ่านพร้อมบริการทุก ๆ ท่านน่ะครับ

วันนี้ทาง Cloud HM ขอนำบทความเกี่ยวกับบริการที่ Microsoft Azure ให้บริการในด้านความปลอดภัย นั่นคือ Azure Firewall

Firewall คืออะไร

https://upload.wikimedia.org/wikipedia/commons/5/5b/Firewall.png

Firewall คืออุปกรณ์ หรือ โปรแกรม ที่ใช้จัดการบนระบบเครือข่าย ทำหน้าที่ตรวจสอบข้อมูลที่ผ่านเข้า-ออกระบบเครือข่าย จะมีการกำหนดกฎเพื่อควบคุมการเข้า-ออกของข้อมูล เป็นการป้องกันว่าข้อมูลที่จะส่งผ่านนั้นมีความปลอดภัยหรือไม่ โดยเปรียบเทียบกับกฎต่าง ๆที่ทางผู้ใช้งานได้กำหนดไว้

โดยพื้นฐานการกำหนดของ ไฟร์วอลล์ จะบล็อคการเข้าถึงข้อมูลจากด้านนอกและออกทั้งหมด จะอนุญาตตามเงื่อนไขที่กำหนดโดยเฉพาะ เช่น IP address, FQDN, network port, network protocol, หรือ ผสมผสานกัน

Azure Firewall คืออะไร

Azure Firewall เป็น Service หนึ่งบน Microsoft Azure ที่ทำหน้าที่ตามชื่อเลยคือ Firewall ซึ่งอยู่ในการให้บริการของ Azure เป็นรูปแบบ cloud-native ซึ่งเป็นรูปแบบของการพัฒนาแอปลิเคชั่นยุคใหม่ โดยออกแบบเพื่อรองรับ การประมวลผลในรูปแบบคลาวด์ (cloud computing model) และยังมีบริการความปลอดภัยของระบบเครือข่ายแบบอัจฉริยะ อีกทั้งการทำงานรองรับปริมาณงานและขยายตัวอีกด้วย ทำให้สามารถป้องกันทรัพยากรบน Microsoft Azure ได้อย่างมีประสิทธิภาพ

Azure Firewall มี 3 SKUs

  1. Azure Firewall Standard
  2. Azure Firewall Premium
  3. Azure Firewall Basic (preview)

Azure Firewall ประเภทใดที่เหมาะสมกับองค์กรที่จะนำไปใช้นั้น ข้อเปรียบเทียบหลัก คือ ความสามารถที่มีให้ในแต่ละบริการ หรือ ขนาดขององค์กรที่นำไปใช้ ซึ่งราคาและประเภทแตกต่างกันออกไป เราควรศึกษาเพื่อนำไปใช้ให้ถูกต้องและประหยัดค่าใช้จ่าย เรามาศึกษา Azure Firewall แต่ละ SKUs ดังนี้

  1. Azure Firewall Standard จะมี Layer-3, Layer-7 และยังมีการใช้ Intelligence จากหน่วยงานความปลอดภัยของ Microsoft ( Microsoft Cyber Security) นอกจากนี้ยังสามารถตั้งค่าแจ้งเตือนหรืออื่น ๆ เมื่อรู้ว่าโดนโจมตี จากรูปภาพข้างล่างจะแสดงให้เห็นการทำงานของ Azure Firewall Standard

คุณสมบัติของ Azure Firewall Standard

  • Built-in high availability
  • Availability Zones
  • Unrestricted cloud scalability
  • Application FQDN filtering rules
  • Network traffic filtering rules
  • FQDN tags
  • Service tags
  • Threat intelligence
  • DNS proxy
  • Custom DNS
  • FQDN in network rules
  • Deployment without public IP address in Forced Tunnel Mode
  • Outbound SNAT support
  • Inbound DNAT support
  • Multiple public IP addresses
  • Azure Monitor logging
  • Forced tunneling
  • Web categories
  • Certifications

2. Azure Firewall Premium ให้บริการด้านความปลอดภัยของ Azure Firewall สูงสุดหากภายในองค์กรของท่านหากองค์กรท่านมีสภาพแวดล้อมที่อ่อนไหวและต้องการความปลอดภัยที่สูงสุด 

Azure Firewall Premium จะมีฟีเจอร์ดังนี้

  • TLS inspection สำหรับเข้ารหัสข้อมูลและถอดรหัสข้อมูลไปยังปลายทาง 
    จากตัวอย่างตามรูปด้านล่าง

Azure Firewall ที่ไม่มีการตรวจสอบ TLS inspection

Azure Firewall ที่มีการตรวจสอบ TLS inspection

  • IDPS ตรวจสอบ และป้องกันระบบด้วย ( IDPS ) และอนุญาตให้คุณสามารถตรวจสอบการทำงานของ Network , การทำงานของ malicious, ข้อมูล Log รวมไปถึงการจัดการไม่ให้เข้าถึง

ภาพตัวอย่าง IDPS

  • URL filtering สามารถขยายการกรองข้อมูลด้วย FQDN และ พิจารณาข้อมูล
  • Web categories สามารถกำนดหมวดหมู่ในส่วนเว็บที่อนุญาตและไม่อนุญาตให้ใช้งานได้ที่ฟีเจอร์นี้

3. Azure Firewall Basic (preview) เป็นโซลูชั่น Azure Firewall ที่ออกแบบเหมาะสมกับธุรกิจ SMB ที่มาขนาดเล็กจนถึงกลาง ที่มีปริมาณการใช้งานไม่เกิน 250 Mbps. รวมไปถึงการครอบคลุมในการป้องกันทรัพยากรทั้งบน Azure Cloud และ On-premise ด้วยการมีการกรองด้วย Layer 3- Layer 7 และยังมีการใช้ intelligence จาก หน่วยงานความปลอดภัยของMicrosoft ( Microsoft Cyber Security) และยังสามารถตั้งค่าแจ้งเตือนหรืออื่นเมื่อรู้ว่าโดนโจมตี จากรูปภาพข้างล่างจะแสดงให้เห็นการทำงานของ Azure Firewall Basic

Azure Firewall Basic จะมีฟีเจอร์ที่คล้ายคลึงกับ Azure Firewall Basic แต่มีข้อจำกัดที่แตกต่างกันออกไปดังนี้

  • รองรับการแจ้งเตือนในรูปแบบ แจ้งเตือนอย่างเดียว
  • กำหนดให้ทำงานทั้ง 2 เครื่องในระบบหลังบ้าน
  • แนะนำให้ปริมาณการใช้งานไม่เกิน 250 Mbps.

ภูมิภาคที่รองรับ Azure Firewall Basic มีดังนี้

  • East US
  • East US 2
  • West US
  • West US 2
  • West US 3
  • Central US
  • North Central US
  • South Central US
  • West Central US
  • East US 2 EUAP
  • Central US EUAP
  • North Europe
  • West Europe
  • East Asia
  • Southeast Asia
  • Japan East
  • Japan West
  • Australia East
  • Australia Southeast
  • Australia Central
  • Brazil South
  • South India
  • Central India
  • West India
  • Canada Central
  • Canada East
  • UK South
  • UK West
  • Korea Central
  • Korea South
  • France Central
  • South Africa North
  • UAE North
  • Switzerland North
  • Germany West Central
  • Norway East
  • Jio India West
  • Sweden Central
  • Qatar Central

ปัจจุบัน Azure Firewall จะมี 3 SKUs ให้เลือกตามความต้องการขององค์กรมีดังนี้

  • Azure Firewall Premium เป็น SKU ที่สูงสุดและมีฟีเจอร์ด้านความปลอดภัยสูงสุด
  • Azure Firewall Standard เป็น SKU ขนาดกลาง ที่ต้องการป้องกันในระดับ Layer 3 Layer 7 รวมถึงการขยายตัวอัตโนมัติ รวมไปถึงบริการด้านความปลอดภัยอื่นๆ
  • Azure Firewall Basic เป็น SKU ที่เล็กที่สุดเหมาะสำหรับองค์กรขนาดเล็ก จนไปถึงขนาดกลาง

เปรียบฟีเจอร์ระหว่าง Azure Firewall Basic (preview), Azure Firewall Standard และ Azure Firewall Premium

https://azurecomcdn.azureedge.net/mediahandler/acomblog/media/Default/blog/2ca0d680-4440-4ab2-96c6-cd14d8206350.png

Azure Firewall Manager

คุณสามารถจัดการ Azure Firewall ต่าง ๆ จากหลาย ๆ Subscriptions ด้วย Azure Firewall Manager ร่วมไปถึงจัดการ Policy ต่างๆ รวมไปถึงกำหนด กฏของ Network และ Application ผ่าน Azure Firewall Manager ได้ด้วย

รายละเอียดเพิ่มเติม

https://learn.microsoft.com/en-us/azure/firewall-manager/overview

รูปแบบการออกแบบขนาดย่อ

รูปแบบการออกแบบขนาดเต็ม

หวังว่าบทความนี้จะทำให้ท่านได้รู้จัก Azure Firewall รวมไปถึงได้ทราบถึงขนาด Azure Firewall ที่เหมาะสมกับองค์กรของท่าน และสุดท้ายเพื่อให้เห็นภาพเราได้ให้ภาพ Architecture เพื่อให้เห็นภาพว่า Azure Firewall ควรจะอยู่จุดใหนของระบบของท่าน

ข้อมูลอ้างอิง: 

https://en.wikipedia.org/wiki/Firewall_(computing)

https://learn.microsoft.com/en-us/azure/firewall/overview

https://learn.microsoft.com/en-us/training/modules/introduction-azure-firewall/2-what-is-azure-firewall

https://learn.microsoft.com/en-us/azure/firewall/features

https://azure.microsoft.com/en-gb/blog/azure-firewall-basic-now-in-preview/

https://learn.microsoft.com/en-us/azure/firewall-manager/overview

— Cloud HM