微软为Azure防火墙,添加两个主要功能,其一是基于威胁情报的过滤策略,主动阻挡微软已知的恶意IP与域名,另外一个为服务标签过滤功能,为Azure服务提供一系列IP位置前缀,方便用户用来制定网络规则。
Azure防火墙是云计算原生的防火墙即服务,能依照网络流量自动扩展,并让用户以DevOps的方法,集中管理所有网络流量,该服务支持了GitHub等应用程序以及网络层级过滤规则。而这次的更新,微软再次加强Azure防火墙的过滤能力,利用内部的威胁情报资料,以及第三方来源的信号,创建了一个包含已知恶意IP地址以及域名的高可信度列表,Azure防火墙可以用接近即时的速度,警告并封锁已知的恶意IP与域名。
这些IP位置和域名来自微软威胁情报来源(Microsoft Threat Intelligence Feed),而威胁情报则是由微软智能安全图表(Microsoft Intelligent Security Graph)支持,微软智能安全图表同时还为多个微软产品以及服务提供安全保护,包括Azure安全中心(Security Center)还有Azure Sentinel服务。
除了基于威胁情报的过滤,Azure防火墙还增加了服务标签过滤功能,服务标签代表了特定的微软服务,像是Azure的SQL服务、Azure Key Vault以及Azure Service Bus等群组的IP位置前缀。为了要简化用户创建网络规则的工作,微软提供一系列的Azure服务标签,并在服务位置变更时,自动更新服务标签。 Azure防火墙服务标签可以在网络规则的目的地字段使用。
Azure防火墙与Azure Monitor完全集成,防火墙日志会被送往Log Analytics、Storage以及Event Hubs,Log Analytics能够可视化这些日志资料,并以丰富的仪表板呈现,除了自定义资料查询外,与Azure Monitor服务集成,还提供大量的选项,定制化使用资料的方法,另外,用户也可以将资料从Azure Monitor发送至其他SIEM系统,诸如Splunk、ArcSight和其他类似的第三方产品。
第三方安全策略管理工具也能使用Azure防火墙公共REST API,为网络安全性群组(Network Security Groups)以及网络虚拟设备(NVAs),提供集中式Azure防火墙管理体验。