Azure’da alt yapı ve uygulama hizmetleri için; servis olarak (Azure Firewall, WAF, DDOS Protection vb) yada Network Virtual Appliance (NVAs) olarak sahip olabileceğiniz bir çok güvenlik çözümü bulunmaktadır. Bu yazımızda Azure üzerinde servis olarak sahip olabileceğiniz Azure Firewall ve diğer Network Virtual Appliance firewall dağıtımlarının genel olarak karşılaştırmasını yapacağız.
Azure Firewall’ın Genel Özellikleri
Azure Firewall, Azure üzerindeki iş yüklerinizi korumak için kullanabileceğiniz, OSI modeli nin(layer 3-4-7) network, transport ve application katmanlarında çalışan, bulut tabanlı bir PaaS ağ güvenlik servisidir ve aşağıdaki özelliklere sahiptir:
- Yerleşik yüksek kullanılabilirlik
- Availability Zones
- Application FQDN filtering
- Network traffic filtering
- FQDN tags
- Service tags
- Threat intelligence
- DNS proxy
- Custom DNS
- FQDN in network rules
- Outbound SNAT support
- Inbound DNAT support
- Multiple public IP addresses
- Azure Monitor logging
- Forced tunnelling
- Web categories
- Certifications
Ücretlendirme ve Lisanlama
Azure Firewall saatlik birim + işlenen veri boyutu göre ücretlendirilir. Bu da üzerinden 50 GB’lik bir veri akışı olan tek bir Azure firewall dağıtımı için 900$ civarındadır. Marketplace üzerinden dağıtabileceğiniz Fortigate, Checkpoint, Poloalto ve diğer Firewall dağıtımları ise lisans maliyeti + sanal makina compute maliyeti + desktek paketi olarak ücretlendirilirler. Fiyatlandırma üreticiye göre değişiklik gösterebileceği gibi sahip olduğunuz bir lisans varsa BYOL modeli ile lisans maliyetinden kurtulmanızda mümkün.
Otomatik Ölçeklendirme
Azure Firewall varsayılan olarak ekstra bir yapılandırmaya gerek olmadan iki instance (active-active) olarak dağıtılır. Bu instance sayısı CPU ve Network throughput’una bağlı olarak Azure tarafından yönetilir. Diğer firewall dağıtımlarında active-active yapılandırma daha karmaşık olmakla birlikte CPU ve throughput değerleri NVA sanal makinasının boyutlarına bağlıdır.
Güncelleme ve Bakım
Azure Firewall; Servis olarak sunulan bir hizmet olduğundan bakim, güncelleme gibi gereksinimler Microsoft’un sorumluluğundadır. Diğer firewall dağıtımlarında ise işletim sisteminin bakımı, yönetimi ve güncellenmesi gibi tüm operasyonlar sizin sorumluluğunuzdadır.
IPSEC ve SSL VPN
VPN yapılandırması için Azure üzerinde ekstra olarak Virtual Network Gateway dağıtımına ihtiyacaınız vadır, sadece Azure Firewall ilr VPN bağlantısına sahip olamazsnız. Diğer firewall dağıtımlarında VPN yapılandırması için ekstra bir gereksim yoktur.
Destek ve Yönetim
Azure Firewall için Microsoft’tan alacağınız destek sahip olduğunuz Support Plan’a dahildir ve ekstra bir ücret ödemenize gerek yoktur. Diğer firewall dağıtımlarında ise bu üreticinin faturalandırma modeline bağlıdır.
Belli bir seviyede Azure ve Network bilginiz varsa Azure Firewall dağıtımı ve yönetimi diğer firewall dağıtımlarına göre daha basit ve ögrenilmesi daha kolaydır.
Son Notlar
Azure Firewall bulut tabanlı ve hizmet olarak sunulan bir servis olmakla birlikte yönetim, maliyet ve bakım vb. konularda avantajlar sağlamaktadır, Yetenekleri ile diğer Firewall ile şuan için her konuda yarışamasada, arkasında Microsoft gibi bir geliştirici bulunmakta olduğundan yakın zamanda aradaki farkı kapatacağını umuyorum.
İlginizi çekerse aşağıdaki linkten Gatner’ın Firewall değerlendirme raporlarını inceleyebilirsiniz.
