Azure Firewall für kleine Unternehmen in Berlin
Ein Netzwerkperimeter ohne Firewall-Durchsetzung ist eine offene Tür. Für Unternehmen, die Workloads in Microsoft Azure betreiben — ob virtuelle Maschinen, App Services oder containerisierte Anwendungen — bietet Azure Firewall cloud-native, statusbehaftete Netzwerksicherheit mit eingebauter Hochverfügbarkeit und unbegrenzter Cloud-Skalierbarkeit. Im Gegensatz zu herkömmlichen Hardware-Firewalls erfordert Azure Firewall keine Infrastrukturverwaltung, skaliert automatisch und ist nativ mit Azure-Netzwerken und der Microsoft Threat Intelligence integriert.
Für kleine Unternehmen in Berlin, die Azure IaaS nutzen, Hybrid-Konnektivität betreiben oder branchenspezifische Anwendungen in der Cloud betreiben, schließt Azure Firewall die Netzwerksicherheitslücke, die NSGs (Network Security Groups) allein nicht adressieren können.
Was ist Azure Firewall?
Azure Firewall ist ein verwalteter, cloud-nativer Netzwerksicherheitsdienst, der Azure Virtual Network-Ressourcen schützt. Es handelt sich um eine vollständig statusbehaftete Firewall-as-a-Service mit eingebauter Hochverfügbarkeit und unbegrenzter Cloud-Skalierbarkeit. Sie wird in einem Hub-Virtual Network bereitgestellt und der Datenverkehr von Spoke-Netzwerken durch sie geleitet — die klassische Hub-and-Spoke-Architektur.
Wesentlicher Unterschied zu NSGs: NSGs arbeiten auf der Netzwerkschnittstellen- oder Subnetzebene mit einfachen Erlauben/Verweigern-Regeln. Azure Firewall fügt Anwendungsschichtinspektion, FQDN-Filterung, Threat Intelligence-basierte Filterung, TLS-Inspektion (Premium) und zentrales Richtlinienmanagement über mehrere virtuelle Netzwerke hinzu.
Azure Firewall SKU-Vergleich
| Funktion | Basic | Standard | Premium |
|---|---|---|---|
| FQDN-Filterung | Ja | Ja | Ja |
| Netzwerk-/App-Regeln | Ja | Ja | Ja |
| Threat Intelligence | Nur Alert | Alert & Deny | Alert & Deny |
| TLS-Inspektion | Nein | Nein | Ja |
| IDPS (Angriffserkennung) | Nein | Nein | Ja |
| URL-Filterung | Nein | Nein | Ja |
| Webkategorien | Nein | Ja | Ja |
| Zielgruppe | KMU | Allgemein | Hohe Sicherheit |
Für die meisten Berliner KMU ist Azure Firewall Standard die geeignete Stufe — vollständige Threat Intelligence-Integration, Anwendungs- und Netzwerkregeln, Webkategoriefilterung und FQDN-basierte Kontrollen ohne die Komplexität der TLS-Inspektionsanforderungen von Premium.
Kernfunktionen
Anwendungsregeln (FQDN-Filterung)
Kontrollieren Sie ausgehenden Zugriff basierend auf vollständig qualifizierten Domainnamen statt IP-Adressen. Erlauben Sie *.microsoft.com, *.azure.com und blockieren Sie alle anderen ausgehenden HTTPS-Verbindungen. Dies ist die kritische Fähigkeit zur Durchsetzung einer Zero-Trust-Outbound-Richtlinie — Workloads sollten nur bekannte, genehmigte Ziele erreichen. IP-basierte Regeln sind unzureichend, da Cloud-Dienste dynamische IPs und CDNs nutzen.
Netzwerkregeln
Layer-4-Regeln, die Datenverkehr basierend auf IP-Adresse, Port und Protokoll steuern. Verwendet für Nicht-HTTP/S-Datenverkehr — Datenbankverbindungen, benutzerdefinierte Protokolle, Ost-West-Datenverkehr zwischen Subnetzen. Netzwerkregeln ergänzen Anwendungsregeln für eine vollständige Datenverkehrskontrolle.
Threat Intelligence-Integration
Azure Firewall ist in den Threat Intelligence-Feed von Microsoft integriert — eine kontinuierlich aktualisierte Liste bekannter bösartiger IPs und Domains. Im Alert & Deny-Modus (Standard/Premium) wird Datenverkehr zu oder von diesen Indikatoren automatisch blockiert und protokolliert. Kein manuelles Feed-Management erforderlich.
Azure Firewall Policy
Firewall-Richtlinien sind die Verwaltungsschicht über einzelnen Firewall-Instanzen. Eine Richtlinie enthält Regelsammlungen, Threat Intelligence-Einstellungen, DNS-Konfiguration und weitere Einstellungen. Richtlinien können hierarchisch sein — übergeordnete Richtlinien definieren Basisregeln, die untergeordnete Richtlinien erben und erweitern. Dies ist das Governance-Modell für Multi-Umgebungs-Deployments.
Hub-and-Spoke-Bereitstellungsarchitektur
Das empfohlene Bereitstellungsmuster für Azure Firewall ist Hub-and-Spoke:
- Hub-VNet: Enthält Azure Firewall, VPN/ExpressRoute-Gateways, gemeinsame Dienste
- Spoke-VNets: Anwendungs-Workloads, mit dem Hub gepeert
- User-Defined Routes (UDRs): Erzwingen, dass der gesamte Datenverkehr von Spoke-Subnetzen durch die Azure Firewall im Hub geleitet wird
Sämtlicher ein- und ausgehender Datenverkehr — einschließlich Spoke-zu-Spoke — durchläuft die Firewall. Dies bietet vollständige Ost-West-Datenverkehrsübersicht und -kontrolle, eine kritische Anforderung für Zero-Trust-Netzwerksegmentierung.
Integration mit Microsoft Defender for Cloud und Sentinel
Microsoft Defender for Cloud bewertet die Azure Firewall-Konfiguration gegenüber CIS-Benchmarks und Microsoft-Sicherheitsbaselines. Azure Firewall-Protokolle lassen sich in Log Analytics-Arbeitsbereiche integrieren und an Microsoft Sentinel weiterleiten — für SIEM-Korrelation von Threat Intelligence-Treffern mit Identitäts- und Endpunkt-Ereignissen.
Kosten und Optimierung
Azure Firewall-Preise haben zwei Komponenten: fixe stündliche Bereitstellungskosten und eine Datenverarbeitungsgebühr pro GB. Für kleine Deployments mit moderatem Datenverkehr dominieren die fixen Bereitstellungskosten. Kostenoptimierung: Azure Firewall für Nicht-Produktionsumgebungen außerhalb der Geschäftszeiten anhalten (deallocate) — die Firewall behält ihre Konfiguration und startet bei Bedarf in Minuten wieder.
Fazit: Cloud-native Netzwerksicherheit ohne Appliance-Overhead
Azure Firewall eliminiert den operativen Aufwand der Verwaltung physischer oder virtueller Firewall-Appliances und bietet gleichzeitig Enterprise-Netzwerksicherheit für Azure-Workloads. Für Berliner KMU, die geschäftskritische Workloads in Azure betreiben, ist es die richtige Netzwerksicherheitskontrolle — skalierbar, integriert mit Microsofts Threat Intelligence und verwaltbar über Azure Policy und Firewall Policy.
IT Experts Berlin konzipiert und implementiert Azure Firewall-Deployments für kleine und mittlere Unternehmen, einschließlich Hub-and-Spoke-Architektur, Policy-Design und Sentinel-Integration. Kontaktieren Sie uns für ein Gespräch über Ihre Azure-Netzwerksicherheitsanforderungen.
Weiterfuehrende Artikel
- Microsoft Sentinel: Azure-Firewall-Protokolle in Microsoft Sentinel einbinden – Netzwerkdatenverkehr, blockierte Verbindungen und Bedrohungsindikatoren mit Endpoint- und Identitätssignalen korrelieren für vollständige Incident-Zeitlinien
- Microsoft Defender for Endpoint: Azure Firewall und MDE als Defense-in-Depth-Strategie kombinieren – Netzwerkperimeter-Schutz durch Azure Firewall mit Endpoint-Verhaltensanalyse von MDE verbinden für lückenlose Angriffserkennung
- Intune Compliance-Richtlinien: Netzwerksicherheit durch Azure Firewall mit Endpoint-Compliance-Richtlinien in Intune kombinieren – nur konforme Geräte erhalten Netzwerkzugang, nicht konforme Endpunkte werden durch Conditional Access vom Unternehmensnetz isoliert