azureFirewalls
Summary
Details
複数の可用性ゾーンに Azure Firewall をデプロイする
Impact: High Category: High Availability PG Verified: Verified
Description:
Azure Firewall は、その展開に応じて異なる SLA を提供します。単一の可用性ゾーンまたは複数の可用性ゾーンにまたがって、信頼性とパフォーマンスが向上する可能性があります。
Potential Benefits:
Enhanced SLA and reliability
Learn More:
ARG Query:
Click the Azure Resource Graph tab to view the query
// Azure Resource Graph Query
// List all Azure Firewalls that are not configured with multiple availability zones or deployed without a zone
resources
| where type == 'microsoft.network/azurefirewalls'
| where array_length(zones) <= 1 or isnull(zones)
| where isempty(properties.virtualHub.id) or isnull(properties.virtualHub.id)
| project recommendationId = "c72b7fee-1fa0-5b4b-98e5-54bcae95bb74", name, id, tags, param1="multipleZones:false"
Azure Firewall メトリクスを監視する
Impact: High Category: Monitoring and Alerting PG Verified: Verified
Description:
全体的な健全性、処理されたスループット、送信 SNAT ポートの使用状況については、Azure Firewall を監視します。制限がサービスに影響を与える前にアラートを受け取ります。 NAT ゲートウェイとゾーン展開との統合を検討してください。ゾーン冗長ファイアウォールと安全な仮想ハブ ネットワークの制限に注意してください。
Potential Benefits:
Improve health and performance monitoring
Learn More:
ARG Query:
Click the Azure Resource Graph tab to view the query
// Azure Resource Graph Query
// List all Azure Firewalls resources in-scope, along with any metrics associated to Azure Monitor alert rules, that are not fully configured.
resources
| where type == "microsoft.network/azurefirewalls"
| project firewallId = tolower(id), name, tags
| join kind = leftouter (
resources
| where type == "microsoft.insights/metricalerts"
| mv-expand properties.scopes
| mv-expand properties.criteria.allOf
| where properties_scopes contains "azureFirewalls"
| project metricId = tolower(properties_scopes), monitoredMetric = properties_criteria_allOf.metricName, tags
| summarize monitoredMetrics = make_list(monitoredMetric) by tostring(metricId)
| project
metricId,
monitoredMetrics,
allAlertsConfigured = monitoredMetrics contains("FirewallHealth") and monitoredMetrics contains ("Throughput") and monitoredMetrics contains ("SNATPortUtilization")
) on $left.firewallId == $right.metricId
| extend alertsNotFullyConfigured = isnull(allAlertsConfigured) or not(allAlertsConfigured)
| where alertsNotFullyConfigured
| project recommendationId = "c8fa7c6-6b78-a24a-a63f-348a7c71acb9", name, id = firewallId, tags, param1 = strcat("MetricsAlerts:", monitoredMetrics)
Azure Firewall VNet での DDoS 保護の構成
Impact: High Category: Security PG Verified: Verified
Description:
DDoS 保護計画を Azure Firewall をホストしている仮想ネットワークに関連付けて、DDoS 攻撃に対する緩和策を強化します。 Azure Firewall Manager は、ファイアウォール インフラストラクチャと DDoS 保護計画の作成を統合します。
Potential Benefits:
Enhanced DDoS attack defense
Learn More:
ARG Query:
Click the Azure Resource Graph tab to view the query
// Azure Resource Graph Query
// List all in-scope Azure Firewall resources, where the VNet is not associated to a DDoS Protection Plan
resources
| where type =~ "Microsoft.Network/azureFirewalls"
| where isempty(properties.virtualHub.id) or isnull(properties.virtualHub.id)
| mv-expand ipConfig = properties.ipConfigurations
| project
name,
firewallId = id,
tags,
vNetName = split(ipConfig.properties.subnet.id, "/", 8)[0],
vNetId = tolower(substring(ipConfig.properties.subnet.id, 0, indexof(ipConfig.properties.subnet.id, "/subnet")))
| join kind=fullouter (
resources
| where type =~ "Microsoft.Network/ddosProtectionPlans"
| mv-expand vNet = properties.virtualNetworks
| project ddosProtectionPlanId = id, vNetId = tolower(vNet.id)
)
on vNetId
| where isempty(ddosProtectionPlanId)
| project recommendationId = "1b2dbf4a-8a0b-5e4b-8f4e-3f758188910d", name, id = firewallId, tags, param1 = strcat("vNet: ", vNetName), param2 = "ddosProtection: Disabled"
Azure Policy 継承モデルを活用する
Impact: Medium Category: Governance PG Verified: Verified
Description:
Azure Firewall ポリシーは、子ポリシーよりも優先度の高い中央の基本ポリシーを使用して、コンプライアンスを適用するためのルール階層をサポートし、基本ポリシーを保護し、サブスクリプションまたはグループ内のアクセスを管理するために Azure カスタム ロールを採用します。
Potential Benefits:
Enhanced compliance and rule hierarchy
Learn More:
ARG Query:
Click the Azure Resource Graph tab to view the query
// under-development
SNAT ポートを使用するために 2 ~ 4 つの PIP を構成する
Impact: Medium Category: High Availability PG Verified: Preview
Description:
SNAT の枯渇を避けるために、Azure Firewall ごとに少なくとも 2 ~ 4 つのパブリック IP アドレスを構成します。 Azure Firewall は、パブリック IP へのすべての送信トラフィックに対して SNAT を提供し、追加の PIP ごとに 2,496 個の SNAT ポートを提供します。
Potential Benefits:
Avoids SNAT exhaustion.
Learn More:
ARG Query:
Click the Azure Resource Graph tab to view the query
// under development
AZFW レイテンシー プローブ メトリックの監視
Impact: High Category: Monitoring and Alerting PG Verified: Preview
Description:
20 ミリ秒を超えるレイテンシー プローブを 30 ミリ秒を超える期間監視するメトリックを作成すると、ファイアウォール インスタンスの CPU に負荷がかかり、問題が発生する可能性がある時期を特定するのに役立ちます。
Potential Benefits:
Improved CPU stress detection
Learn More:
ARG Query:
Click the Azure Resource Graph tab to view the query
// under development