על Firewall בענן וכאלה
אבטחת מידע בענן היא אתגר רציני לכל הדעות וישנם מצבי קצה שבהם קשה להחליט מהו רכיב התקשורת הנכון, והאם לבצע אבטחה עם כלים ברמת Native או להסתמך על אבטחה בתצורת לגאסי בענן? ואחת הסוגיות היא ללא ספק, Firewall.
המאמר מתמקד באפשרויות של Azure Firewall יחד עם אפשרויות של NVA עם וונדור צד שלישי ואינו מאמר יישום והגדרות
כאשר מגיעים לרכיבי תקשורת או ליתר דיוק ליישום Azure Networking אז ישנן סוגיות שונות כאשר המרכזית שבהן היא איזה Firewall כדאי לשים בענן? והאם מומלץ Firewall Native ברמת Azure, או תצורה של Firewall as a Service של וונדור צד שלישי או בכלל NVA צד שלישי? בהחלט מאתגר.
חשוב להדגיש כי לא בכל תצורה חייבים Firewall וישנם מצבים שבהם אנו צריכים רכיב הגנה אחר שאינו בהכרח רכיב ברמת Firewall, ובל נשכח שלכל ארגון ישנה תצורת מותאמת אישית.
רגע לפני שמחליטים על רכיב תקשורת כזה או אחר או על רכיב אבטחה כמו Firewall חייבים להכיר את התמונה המלאה של הגנה בענן, וכמו התרשים הכללי של Azure שמצורף כאן גם ספקי הענן האחרים בנויים על מספר שכבות ומספר רכיבי תקשורת.
מכיוון שישנם שכבות רבות בענן הדרך להקמה ובניה של מערך הגנה הוא עפ"י חשיבה של גישת תוקף עם לוגיקה המבוססת על הגברת החיכוך עם התוקף ולא דווקא בתצורה הרגילה של שכבות על גבי שכבות. מומלץ ליישם הגנה סביב Azure (גם ברמת תקשורת) כחלק מתוך מודל כללי של הגנה בענן ובראיה המשלבת גישת תוקף יחד עם Zero Trust.
מידע נוסף וכללי במאמר מבט כללי Azure Networking
טיפ: החשיבה באבטחת מידע בענן חייבית להיות מבוססות על הגברת חיכוך עם התוקף, הקטנת שטח התקיפה והקטנת הסיכונים
ישנם דרכים שונות ליישם רכיב Firewall בענן והתצורות הנתמכות הם:
- Azure Firewall ברמת הפלטפורמה
- NVA של וונדור צד שלישי שיוב על מכונות
- FWaaS עם רכיב Firewall Native של וונדור צד שלישי
יש לכל אחת מהתצורות הנ"ל יתרונות וחסרונות אך התצורה של Firewall על גבי מכונות היא הפחות מומלצת והסיבות לכך שונות.
מהו Azure Firewall
נתחיל מהתצורה של Azure Firewall בענן שהוא למעשה Firewall as a Service או Cloud Native Firewall ברמת Layer 4 והוא מציע בין היתר הגנה על רכיבי תקשורת בענן, הגנה לתעבורה ברמת אפליקטיבית, סינון תעבורה מלא, הגנה עבור משאבי VNet, הגנה על תקשורת יוצאת ונכנסת והגנה על פני תשתית של Regions שונים.
הגנה של Azure Firewall כולל הגנה לרכיבי תקשורת שונים כמו Vnet, Spoke-2-Spoke, ExrepessRoute, VPN בתצורות השונות ואינטגרציה עם כלי אבטחה אחרים של Azure ושל וונדורים צד שלישי, תצורות רוחביות על פני חשבונות שונים ואזורים שונים.
בנוסף ניתן לשלב את Azure Firewall עם כלים נוספים כמו העברת לוגים אל SIEM או ניתוח מידע באמצעות Azure Monitor.
ישנם תצורות שונות בהן ניתן לחבר סביבות עם ומול Azure Firewall בין אם מדובר על תצורת ענן בלבד של Azure וא תצורות היברידיות וכלה בתצורות מרובות עננים. האפשרויות של שליטה וניהול באמצעות Azure Firewall מאפשרות אכיפה של תעבורה יוצאת ונכנסת לתרחישים שונים שמסווגים לרוב עפ"י תצורות רשת של:
- Vnet-Hub מול רכיבי רשת בכל תצורה שהיא
- Vnet-Spoke בתצורת Hub & Spoke על גבי Workloadים שונים
- Vnet-OnPrem מול הסביבה המקומית בתצורות VPN שונות וכן בתצורות ExpressRoute
אם נביט על יכולות בודדות שהם חלק מתוך Azure Firewall נוכל למנות את היכולות הבאות:
Application FQDN filtering rules
Network traffic filtering rules
FQDN tags
Service tags
Threat intelligence
Outbound SNAT support
Inbound DNAT support
Multiple public IP addresses
Azure Monitor logging
Forced tunneling
Certifications
למידע נוסף לגבי היכולות של Azure Firewall
האם Azure Firewall מתאים לארגון שלי?
לארגונים ישנם דרישות אבטחה מגוונות, ובמקרים מסוימים בתוך אותו ארגון ישנם דרישות אבטחה שונות, ואם נקח תרחישים מהשטח אז כיום ארגונים עושים שימוש בתשתיות Firewall מתקדמות (NVA Next-Generation) ולכן יש להם תפקיד חשוב בענן בגלל יכולות מסוימות שמתאימות לארגונים שונים, בין אם מדובר על Firewall מסוג NVA או Cloud Native.
היכן Azure Firewall או Cloud-Native Firewall יכול לסייע? ישנם מצבים שונים בהם ישנו יתרון טכני וכלכלי לתשתית Cloud Native FIrewall ובפרט לתשתית Azure Firewall עם תרחישים כמו:
- אינטגרציה עם DevOps מקבלת יכולות נוספות עם Azure Firewall כמו מדיניות אבטחה מובנית, אפשרויות שליטה בתעבורה ברמת האפליקטיבית ועוד
- אינטגרציה מול רכיבי תקשורת ורכיבי אבטחה כמו Azure Security Center ונוספים
- יישום אינטגרלי מול תצורות רשת ובעיקר כאשר ישנו Hub & Spoke
- תחזוקה מינימלית ללא צורך בביצוע עדכונים ושדרוגים של Firewall
- שילוב מול מאפיינים נוספים כמו Service Tag או FQDN Tag (בעיקר לצורכי Blueprint\Governance)
- תשתית מבוזרת על גבי אתרים שונים
- עלויות מינימליות בצריכה שנתית בהשוואה לתשתית NVA
אם נקח את הדגשים החשובים של כל תשתית Firewall אז ניתן לראות בטבלה את האפשרויות של Azure Firewall מול NVA צד שלישי
כמה תובנות מהשטח עם תשתית Firewall עם NVA צד שלישי המבוסס על מכונות:
- ארכיטקטורה המצריכה תשתית HA עם מספר מכונות כולל ניהול
- חייב להיות חלק מתצורת Hub & Spoke ועם Peering מינימלי
- מומלץ מאוד להגדיר ברשת Hub ייעודית (מעין DMZ בענן)
- מכונות חייבות להיות מנוטרות בכל רגע בכדי למנוע בעיות אבטחה ומיסקונפיגורציה
- מומלץ לשים תשתית אבטחה שתמנע תקיפות מול אותן מכונות
הבעיה העיקרית של NVA צד שלישי בענן היא מיסקופיגורציה שיכולה לנבוע עקב שינוי תשתית או רכיבי תקשורת שאינן קשורים אל התשית Firewall ומכאן אנו עלולים לחשוף את התשתית Firewall לכל גורם חיצוני.
טיפ: בענן (בכל ענן) מיסקונפיגורציה הוא גורם מרכזי לבעיות אבטחה ולכן אנו חייבים להוריד תלויות
עלויות
כאשר מקימים שירות בענן אז לכל רכיב גם הקטן ביותר יש עלויות וגם כאן למכונות, לצריכת של תעבורה, להקמה של רכיב יש עלויות.
הטבלה הבאה מרכזת את החלקים החשובים בצריכה של עלויות Azure Firewall וגורם מכריע כאשר התשתיות הן שוות ביכולות הטכניות שלהן.
טיפים לביצוע Network Security
דגשים וטיפים שיכולים לסייע באבטחה סביב Azure Networking בכל מצב שהוא ובמיוחד כאשר עובדים עם הכלים של Azure Security.
- להשתמש בכלי אבטחה חזקים ומתקדמים מבוסס Cloud
- ביצוע סגמנטציה של הרשתות ויישום Hub & Spoke
- יצירת Hub ספציפיים לטובת תקשורת ואבטחת מידע (סוג של DMZ איפה שצריך)
- מומלץ לשלב פתרון Zero Trust כולל אפשרויות של כלי אבטחה צד שלישי
- שליטה בניתובים
- מיטוב ביצועים וזמני פעילות של מכונות ורכיבי תקשורת
- דיסבול גישה מתוך האינטרנט החיצוני ובפרט ביטול RDP + SSH
- איגנטרציה ושילוב של כלי אבטחה נוספים כמו Azure Security Center או DOME9 וכן הלאה
- אכיפת מדיניות כולל Blueprint וזיהוי בעיות אבטחה
- הורדת הרשאות לניהול רכיבי תקשורת
לסיכום, האם Azure Firewall מתאים לארגון שלך בתצורת ענן או בתצורה היברידית? תלוי מאוד וכל מקרה לגופו, ואולי FWaaS צד שלישי הוא פתרון ראוי? לכן צריך לוודא תאימות של יכולות נדרשות בענן רגע לפני שמכריעים, כי הקמת תשתית Firewall בענן אינה פשוטה והיא תלויה בגורמים ורכיבי תקשורת רבים שאינם ניתנים להחלפה כל כך מהר.
מידע נוסף לגבי Azure Firewall features | Microsoft Docs
