Site icon

על Firewall בענן וכאלה

אבטחת מידע בענן היא אתגר רציני לכל הדעות וישנם מצבי קצה שבהם קשה להחליט מהו רכיב התקשורת הנכון, והאם לבצע אבטחה עם כלים ברמת Native או להסתמך על אבטחה בתצורת לגאסי בענן? ואחת הסוגיות היא ללא ספק, Firewall.

המאמר מתמקד באפשרויות של Azure Firewall יחד עם אפשרויות של NVA עם וונדור צד שלישי ואינו מאמר יישום והגדרות

כאשר מגיעים לרכיבי תקשורת או ליתר דיוק ליישום Azure Networking אז ישנן סוגיות שונות כאשר המרכזית שבהן היא איזה Firewall כדאי לשים בענן? והאם מומלץ Firewall Native ברמת Azure, או תצורה של Firewall as a Service של וונדור צד שלישי או בכלל NVA צד שלישי? בהחלט מאתגר.

חשוב להדגיש כי לא בכל תצורה חייבים Firewall וישנם מצבים שבהם אנו צריכים רכיב הגנה אחר שאינו בהכרח רכיב ברמת Firewall, ובל נשכח שלכל ארגון ישנה תצורת מותאמת אישית.

רגע לפני שמחליטים על רכיב תקשורת כזה או אחר או על רכיב אבטחה כמו Firewall חייבים להכיר את התמונה המלאה של הגנה בענן, וכמו התרשים הכללי של Azure שמצורף כאן גם ספקי הענן האחרים בנויים על מספר שכבות ומספר רכיבי תקשורת.

מכיוון שישנם שכבות רבות בענן הדרך להקמה ובניה של מערך הגנה הוא עפ"י חשיבה של גישת תוקף עם לוגיקה המבוססת על הגברת החיכוך עם התוקף ולא דווקא בתצורה הרגילה של שכבות על גבי שכבות. מומלץ ליישם הגנה סביב Azure (גם ברמת תקשורת) כחלק מתוך מודל כללי של הגנה בענן ובראיה המשלבת גישת תוקף יחד עם Zero Trust.

מידע נוסף וכללי במאמר מבט כללי Azure Networking

טיפ: החשיבה באבטחת מידע בענן חייבית להיות מבוססות על הגברת חיכוך עם התוקף, הקטנת שטח התקיפה והקטנת הסיכונים

ישנם דרכים שונות ליישם רכיב Firewall בענן והתצורות הנתמכות הם:

יש לכל אחת מהתצורות הנ"ל יתרונות וחסרונות אך התצורה של Firewall על גבי מכונות היא הפחות מומלצת והסיבות לכך שונות.

מהו Azure Firewall

נתחיל מהתצורה של Azure Firewall בענן שהוא למעשה Firewall as a Service או Cloud Native Firewall ברמת Layer 4 והוא מציע בין היתר הגנה על רכיבי תקשורת בענן, הגנה לתעבורה ברמת אפליקטיבית, סינון תעבורה מלא, הגנה עבור משאבי VNet, הגנה על תקשורת יוצאת ונכנסת והגנה על פני תשתית של Regions שונים.

הגנה של Azure Firewall כולל הגנה לרכיבי תקשורת שונים כמו Vnet, Spoke-2-Spoke, ExrepessRoute, VPN בתצורות השונות ואינטגרציה עם כלי אבטחה אחרים של Azure ושל וונדורים צד שלישי, תצורות רוחביות על פני חשבונות שונים ואזורים שונים.

בנוסף ניתן לשלב את Azure Firewall עם כלים נוספים כמו העברת לוגים אל SIEM או ניתוח מידע באמצעות Azure Monitor.

ישנם תצורות שונות בהן ניתן לחבר סביבות עם ומול Azure Firewall בין אם מדובר על תצורת ענן בלבד של Azure וא תצורות היברידיות וכלה בתצורות מרובות עננים. האפשרויות של שליטה וניהול באמצעות Azure Firewall מאפשרות אכיפה של תעבורה יוצאת ונכנסת לתרחישים שונים שמסווגים לרוב עפ"י תצורות רשת של:

אם נביט על יכולות בודדות שהם חלק מתוך Azure Firewall נוכל למנות את היכולות הבאות:

Application FQDN filtering rules
Network traffic filtering rules
FQDN tags
Service tags
Threat intelligence
Outbound SNAT support
Inbound DNAT support
Multiple public IP addresses
Azure Monitor logging
Forced tunneling
Certifications

למידע נוסף לגבי היכולות של Azure Firewall

האם Azure Firewall מתאים לארגון שלי?

לארגונים ישנם דרישות אבטחה מגוונות, ובמקרים מסוימים בתוך אותו ארגון ישנם דרישות אבטחה שונות, ואם נקח תרחישים מהשטח אז כיום ארגונים עושים שימוש בתשתיות Firewall מתקדמות (NVA Next-Generation) ולכן יש להם תפקיד חשוב בענן בגלל יכולות מסוימות שמתאימות לארגונים שונים, בין אם מדובר על Firewall מסוג NVA או Cloud Native.

היכן Azure Firewall או Cloud-Native Firewall יכול לסייע? ישנם מצבים שונים בהם ישנו יתרון טכני וכלכלי לתשתית Cloud Native FIrewall ובפרט לתשתית Azure Firewall עם תרחישים כמו:

אם נקח את הדגשים החשובים של כל תשתית Firewall אז ניתן לראות בטבלה את האפשרויות של Azure Firewall מול NVA צד שלישי

כמה תובנות מהשטח עם תשתית Firewall עם NVA צד שלישי המבוסס על מכונות:

הבעיה העיקרית של NVA צד שלישי בענן היא מיסקופיגורציה שיכולה לנבוע עקב שינוי תשתית או רכיבי תקשורת שאינן קשורים אל התשית Firewall ומכאן אנו עלולים לחשוף את התשתית Firewall לכל גורם חיצוני.

טיפ: בענן (בכל ענן) מיסקונפיגורציה הוא גורם מרכזי לבעיות אבטחה ולכן אנו חייבים להוריד תלויות 

עלויות

כאשר מקימים שירות בענן אז לכל רכיב גם הקטן ביותר יש עלויות וגם כאן למכונות, לצריכת של תעבורה, להקמה של רכיב יש עלויות.

הטבלה הבאה מרכזת את החלקים החשובים בצריכה של עלויות Azure Firewall וגורם מכריע כאשר התשתיות הן שוות ביכולות הטכניות שלהן.

טיפים לביצוע Network Security

דגשים וטיפים שיכולים לסייע באבטחה סביב Azure Networking בכל מצב שהוא ובמיוחד כאשר עובדים עם הכלים של Azure Security.

לסיכום, האם Azure Firewall מתאים לארגון שלך בתצורת ענן או בתצורה היברידית? תלוי מאוד וכל מקרה לגופו, ואולי FWaaS צד שלישי הוא פתרון ראוי? לכן צריך לוודא תאימות של יכולות נדרשות בענן רגע לפני שמכריעים, כי הקמת תשתית Firewall בענן אינה פשוטה והיא תלויה בגורמים ורכיבי תקשורת רבים שאינם ניתנים להחלפה כל כך מהר.

מידע נוסף לגבי Azure Firewall features | Microsoft Docs

מאמרים נוספים של אבטחת מידע

Exit mobile version