Modificare lo SKU di Firewall di Azure

Questo articolo illustra come modificare lo SKU di Firewall di Azure tra Standard e Premium. È possibile eseguire l'aggiornamento da Standard a Premium per sfruttare le funzionalità di sicurezza avanzate o effettuare il downgrade da Premium a Standard quando tali funzionalità non sono più necessarie. Firewall di Azure Premium offre funzionalità avanzate di protezione dalle minacce, tra cui IDPS, ispezione TLS e filtro URL.

È possibile modificare lo SKU del firewall usando uno dei due metodi seguenti:

• Metodo di modifica dello SKU semplice (scelta consigliata): aggiornamento o downgrade senza tempi di inattività tramite il portale di Azure, PowerShell o Terraform
• Metodo di migrazione manuale: migrazione dettagliata per scenari complessi o quando non è disponibile una semplice modifica dello SKU

Per altre informazioni sulle funzionalità Premium di Firewall di Azure, vedere Funzionalità Premium di Firewall di Azure.

Prerequisiti

Prima di iniziare, assicurarsi di avere:

• Una sottoscrizione di Azure con una distribuzione esistente di Firewall di Azure
• Autorizzazioni appropriate per modificare le risorse del firewall (ruolo Collaboratore rete o versione successiva)
• Modulo Azure PowerShell versione 6.5.0 o successiva (per i metodi di PowerShell)
• Finestra di manutenzione pianificata (per il metodo di migrazione manuale)

Metodo di modifica dello SKU semplice (scelta consigliata)

Il modo più semplice per modificare lo SKU di Firewall di Azure senza tempi di inattività consiste nell'usare la funzionalità Cambia SKU . Questo metodo supporta sia l'aggiornamento da Standard a Premium che dal downgrade da Premium a Standard.

Quando usare la modifica semplificata dello SKU

Quando utilizzare il metodo semplice di modifica dello SKU:

• Hai un firewall di Azure con criteri di firewall (non regole classiche)
• Il firewall viene distribuito in un'area supportata
• Si vuole ridurre al minimo il tempo di inattività (senza tempi di inattività con questo metodo)
• È disponibile una distribuzione standard senza configurazioni personalizzate complesse
• Per il downgrade: la tua polizza Premium non utilizza funzionalità esclusive del Premium che sono incompatibili con lo Standard

Considerazioni sui criteri per le modifiche dello SKU

Passa a Premium

Durante il processo di aggiornamento, scegliere come gestire i criteri firewall:

• Criterio Premium esistente: selezionare un criterio Premium preesistente da collegare al firewall aggiornato
• Criteri standard esistenti: usare i criteri Standard correnti. Il sistema duplica e aggiorna automaticamente la polizza a Premium.
• Creare nuovi criteri Premium: consentire al sistema di creare un nuovo criterio Premium in base alla configurazione corrente

Effettuare il downgrade a Standard

Quando si esegue il downgrade da Premium a Standard, considerare i seguenti requisiti delle policy:

Funzionalità Premium da affrontare prima del downgrade:

• Ispezione TLS: disabilitare le regole di ispezione TLS e rimuovere i certificati associati
• IDPS (rilevamento e prevenzione delle intrusioni): modificare la modalità IDPS da Avviso e Nega a Solo avviso o Disattivata
• Filtro URL: sostituire le regole di filtro URL con il filtro FQDN laddove possibile
• Categorie Web: rimuovere o sostituire regole di categoria Web con regole FQDN specifiche

Opzioni di gestione dei criteri:

• Usa i criteri Standard esistenti: selezionare un criterio Standard preesistente che non contiene funzionalità Premium
• Creare nuovi criteri Standard: il sistema può creare un nuovo criterio Standard, rimuovendo automaticamente le funzionalità specifiche di Premium
• Modificare i criteri correnti: rimuovere manualmente le funzionalità Premium dai criteri correnti prima del downgrade

Modificare lo SKU usando il portale di Azure

Per modificare lo SKU del firewall usando il portale di Azure:

Passa a Premium

1. Accedi al portale di Azure.
2. Accedi alla risorsa Azure Firewall.
3. Nella pagina Panoramica selezionare Cambia SKU.
4. Nella finestra di dialogo Modifica SKU selezionare Premium come SKU di destinazione.
5. Scegli l'opzione di politica:
   • Selezionare una polizza Premium esistente o
   • Consenti al sistema di aggiornare la tua attuale polizza Standard a Premium
6. Selezionare Salva per avviare l'aggiornamento.

Effettuare il downgrade a Standard

1. Accedi al portale di Azure.
2. Accedere alla risorsa Azure Firewall Premium.
3. Prima del downgrade: assicurarsi che i criteri firewall non contengano funzionalità esclusive premium (ispezione TLS, avviso IDPS e modalità nega, filtro URL, categorie Web).
4. Nella pagina Panoramica selezionare Cambia SKU.
5. Nella finestra di dialogo Modifica SKU selezionare Standard come SKU di destinazione.
6. Scegli l'opzione di politica:
   • Selezionare un criterio Standard esistente o
   • Consenti al sistema di creare un nuovo criterio Standard (le funzionalità Premium vengono rimosse automaticamente)
7. Selezionare Salva per avviare il downgrade.

Il processo di modifica dello SKU viene in genere completato entro pochi minuti con un tempo di inattività pari a zero.

Modifica dello SKU di PowerShell e Terraform

È anche possibile eseguire modifiche dello SKU usando:

• PowerShell: modificare la sku_tier proprietà in "Premium" o "Standard"
• Terraform: aggiornare l'attributo sku_tier nella configurazione allo SKU desiderato

Limitazioni

Il metodo di modifica dello SKU semplice presenta le limitazioni seguenti:

Limitazioni generali:

• Non supporta lo SKU Basic di Firewall di Azure : gli utenti dello SKU Basic devono eseguire la migrazione a Standard
• Non disponibile per i firewall con determinate configurazioni complesse
• Disponibilità limitata in alcune aree
• Richiede criteri firewall esistenti (non disponibili per le regole classiche)

Limitazioni specifiche del downgrade:

• Le funzionalità Premium (ispezione TLS, avviso IDPS e modalità nega, filtro URL, categorie Web) devono essere rimosse prima del downgrade
• Se i criteri Premium contengono funzionalità incompatibili, è necessario modificare i criteri o creare un nuovo criterio Standard
• Alcune configurazioni delle regole potrebbero richiedere una regolazione manuale dopo il downgrade

Se il metodo di modifica dello SKU semplice non è disponibile per lo scenario, usare il metodo di migrazione manuale descritto nella sezione successiva.

Metodo di migrazione manuale

Se il metodo di aggiornamento semplice non è disponibile o adatto per la distribuzione, è possibile usare il metodo di migrazione manuale. Questo approccio offre un maggiore controllo, ma richiede tempi di inattività.

Quando usare la migrazione manuale

Usare la migrazione manuale quando:

• L'aggiornamento facile non è disponibile per lo scenario
• Sono disponibili regole del firewall classiche che richiedono la migrazione
• Sono disponibili configurazioni personalizzate complesse
• È necessario il controllo completo sul processo di migrazione
• Il firewall viene distribuito in Asia sud-orientale con zone di disponibilità

Considerazioni sulle prestazioni

Le prestazioni sono una considerazione quando si esegue la migrazione dallo SKU Standard. L'ispezione IDPS e TLS sono operazioni a elevato utilizzo di calcolo. Lo SKU Premium usa uno SKU della macchina virtuale più potente, che si adatta a una larghezza di banda più elevata paragonabile allo SKU Standard. Per altre informazioni sulle prestazioni di Firewall di Azure, vedere Prestazioni del firewall di Azure.

Microsoft consiglia ai clienti di eseguire test su larga scala nella distribuzione di Azure per garantire che le prestazioni del servizio firewall soddisfino le aspettative.

Considerazioni sul tempo di inattività

Pianificare una finestra di manutenzione quando si usa il metodo di migrazione manuale, in quanto si verificano tempi di inattività (in genere da 20 a 30 minuti) durante il processo di arresto/avvio.

Panoramica dei passaggi di migrazione

Per una migrazione manuale corretta sono necessari i passaggi generali seguenti:

1. Creare nuovi criteri Premium in base ai criteri Standard esistenti o alle regole classiche
2. Eseguire la migrazione di Firewall di Azure da Standard a Premium usando l'arresto/avvio
3. Allega la policy Premium al firewall Premium

Passaggio 1: Eseguire la migrazione delle regole classiche ai criteri Standard

Se si dispone di regole del firewall classiche, eseguire prima di tutto la migrazione a un criterio Standard usando il portale di Azure:

1. Nel portale di Azure selezionare il firewall standard.
2. Nella pagina Panoramica selezionare Migrare ai criteri di firewall.
3. Nella pagina Migrazione ai criteri del firewall, selezionare Rivedi e crea.
4. Fare clic su Crea.

Il completamento della distribuzione richiede alcuni minuti.

È anche possibile eseguire la migrazione di regole classiche esistenti usando Azure PowerShell. Per altre informazioni, vedere Eseguire la migrazione delle configurazioni di Firewall di Azure ai criteri di Firewall di Azure tramite PowerShell.

Passaggio 2: Creare una politica Premium con PowerShell

Usare lo script di PowerShell seguente per creare un nuovo criterio Premium da un criterio Standard esistente:

<#
    .SYNOPSIS
        Given an Azure firewall policy id the script will transform it to a Premium Azure firewall policy.
        The script will first pull the policy, transform/add various parameters and then upload a new premium policy.
        The created policy will be named <previous_policy_name>_premium if no new name provided else new policy will be named as the parameter passed.
    .Example
        Transform-Policy -PolicyId /subscriptions/XXXXX-XXXXXX-XXXXX/resourceGroups/some-resource-group/providers/Microsoft.Network/firewallPolicies/policy-name -NewPolicyName <optional param for the new policy name>
#>

param (
    #Resource id of the azure firewall policy.
    [Parameter(Mandatory=$true)]
    [string]
    $PolicyId,

    #new filewallpolicy name, if not specified will be the previous name with the '_premium' suffix
    [Parameter(Mandatory=$false)]
    [string]
    $NewPolicyName = ""
)
$ErrorActionPreference = "Stop"
$script:PolicyId = $PolicyId
$script:PolicyName = $NewPolicyName

function ValidatePolicy {
    [CmdletBinding()]
    param (
        [Parameter(Mandatory=$true)]
        [Object]
        $Policy
    )

    Write-Host "Validating resource is as expected"

    if ($null -eq $Policy) {
        Write-Error "Received null policy"
        exit(1)
    }
    if ($Policy.GetType().Name -ne "PSAzureFirewallPolicy") {
        Write-Error "Resource must be of type Microsoft.Network/firewallPolicies"
        exit(1)
    }

    if ($Policy.Sku.Tier -eq "Premium") {
        Write-Host "Policy is already premium" -ForegroundColor Green
        exit(1)
    }
}

function GetPolicyNewName {
    [CmdletBinding()]
    param (
        [Parameter(Mandatory=$true)]
        [Microsoft.Azure.Commands.Network.Models.PSAzureFirewallPolicy]
        $Policy
    )

    if (-not [string]::IsNullOrEmpty($script:PolicyName)) {
        return $script:PolicyName
    }

    return $Policy.Name + "_premium"
}

function TransformPolicyToPremium {
    [CmdletBinding()]
    param (
        [Parameter(Mandatory=$true)]
        [Microsoft.Azure.Commands.Network.Models.PSAzureFirewallPolicy]
        $Policy
    )
    $NewPolicyParameters = @{
                        Name = (GetPolicyNewName -Policy $Policy)
                        ResourceGroupName = $Policy.ResourceGroupName
                        Location = $Policy.Location
                        BasePolicy = $Policy.BasePolicy.Id
                        ThreatIntelMode = $Policy.ThreatIntelMode
                        ThreatIntelWhitelist = $Policy.ThreatIntelWhitelist
                        PrivateRange = $Policy.PrivateRange
                        DnsSetting = $Policy.DnsSettings
                        SqlSetting = $Policy.SqlSetting
                        ExplicitProxy  = $Policy.ExplicitProxy
                        DefaultProfile  = $Policy.DefaultProfile
                        Tag = $Policy.Tag
                        SkuTier = "Premium"
    }

    Write-Host "Creating new policy"
    $premiumPolicy = New-AzFirewallPolicy @NewPolicyParameters

    Write-Host "Populating rules in new policy"
    foreach ($ruleCollectionGroup in $Policy.RuleCollectionGroups) {
        $ruleResource = Get-AzResource -ResourceId $ruleCollectionGroup.Id
        $ruleToTransform = Get-AzFirewallPolicyRuleCollectionGroup -AzureFirewallPolicy $Policy -Name $ruleResource.Name
        $ruleCollectionGroup = @{
            FirewallPolicyObject = $premiumPolicy
            Priority = $ruleToTransform.Properties.Priority
            Name = $ruleToTransform.Name
        }

        if ($ruleToTransform.Properties.RuleCollection.Count) {
            $ruleCollectionGroup["RuleCollection"] = $ruleToTransform.Properties.RuleCollection
        }

        Set-AzFirewallPolicyRuleCollectionGroup @ruleCollectionGroup
    }
}

function ValidateAzNetworkModuleExists {
    Write-Host "Validating needed module exists"
    $networkModule = Get-InstalledModule -Name "Az.Network" -MinimumVersion 4.5 -ErrorAction SilentlyContinue
    if ($null -eq $networkModule) {
        Write-Host "Please install Az.Network module version 4.5.0 or higher, see instructions: https://github.com/Azure/azure-powershell#installation"
        exit(1)
    }
    $resourceModule = Get-InstalledModule -Name "Az.Resources" -MinimumVersion 4.2 -ErrorAction SilentlyContinue
    if ($null -eq $resourceModule) {
        Write-Host "Please install Az.Resources module version 4.2.0 or higher, see instructions: https://github.com/Azure/azure-powershell#installation"
        exit(1)
    }
    Import-Module Az.Network -MinimumVersion 4.5.0
    Import-Module Az.Resources -MinimumVersion 4.2.0
}

ValidateAzNetworkModuleExists
$policy = Get-AzFirewallPolicy -ResourceId $script:PolicyId
ValidatePolicy -Policy $policy
TransformPolicyToPremium -Policy $policy

Esempio di utilizzo:

Transform-Policy -PolicyId /subscriptions/XXXXX-XXXXXX-XXXXX/resourceGroups/some-resource-group/providers/Microsoft.Network/firewallPolicies/policy-name

Passaggio 3: Eseguire la migrazione di Firewall di Azure usando l'arresto/avvio

Se si usa lo SKU Standard di Firewall di Azure con i criteri del firewall, è possibile usare il metodo Allocate/Deallocate per eseguire la migrazione dello SKU del firewall a Premium. Questo approccio di migrazione è supportato sia nell'hub di rete virtuale che nei firewall dell'hub protetto.

Eseguire la migrazione di un firewall dell'hub di rete virtuale

Deallocare il firewall standard:

$azfw = Get-AzFirewall -Name "<firewall-name>" -ResourceGroupName "<resource-group-name>"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

Allocare Firewall Premium (singolo indirizzo IP pubblico):

$azfw = Get-AzFirewall -Name "<firewall-name>" -ResourceGroupName "<resource-group-name>"
$azfw.Sku.Tier="Premium"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "<resource-group-name>" -Name "<Virtual-Network-Name>"
$publicip = Get-AzPublicIpAddress -Name "<Firewall-PublicIP-name>" -ResourceGroupName "<resource-group-name>"
$azfw.Allocate($vnet,$publicip)
Set-AzFirewall -AzureFirewall $azfw

Allocare Firewall Premium (più indirizzi IP pubblici):

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Sku.Tier="Premium"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$publicip1 = Get-AzPublicIpAddress -Name "Public IP1 Name" -ResourceGroupName "RG Name"
$publicip2 = Get-AzPublicIpAddress -Name "Public IP2 Name" -ResourceGroupName "RG Name"
$azfw.Allocate($vnet,@($publicip1,$publicip2))
Set-AzFirewall -AzureFirewall $azfw

Allocare Firewall Premium in modalità tunnel forzato:

$azfw = Get-AzFirewall -Name "<firewall-name>" -ResourceGroupName "<resource-group-name>"
$azfw.Sku.Tier="Premium"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "<resource-group-name>" -Name "<Virtual-Network-Name>"
$publicip = Get-AzPublicIpAddress -Name "<Firewall-PublicIP-name>" -ResourceGroupName "<resource-group-name>"
$mgmtPip = Get-AzPublicIpAddress -ResourceGroupName "<resource-group-name>"-Name "<Management-PublicIP-name>"
$azfw.Allocate($vnet,$publicip,$mgmtPip)
Set-AzFirewall -AzureFirewall $azfw

Eseguire la migrazione di un firewall Secure Hub

Deallocare il firewall standard:

$azfw = Get-AzFirewall -Name "<firewall-name>" -ResourceGroupName "<resource-group-name>"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

Assegnare Firewall Premium:

$azfw = Get-AzFirewall -Name "<firewall-name>" -ResourceGroupName "<resource-group-name>"
$hub = get-azvirtualhub -ResourceGroupName "<resource-group-name>" -name "<vWANhub-name>"
$azfw.Sku.Tier="Premium"
$azfw.Allocate($hub.id)
Set-AzFirewall -AzureFirewall $azfw

Passaggio 4: Allegare politica Premium

Dopo aver aggiornato il firewall a Premium, collegare la politica Premium usando il portale di Azure.

1. Vai al firewall Premium nel portale di Azure.
2. Nella pagina Panoramica selezionare Criteri firewall.
3. Seleziona la tua nuova polizza Premium appena creata.
4. Seleziona Salva.

Migrazione di Terraform

Se si usa Terraform per distribuire Firewall di Azure, è possibile usare Terraform per eseguire la migrazione a Firewall di Azure Premium. Per altre informazioni, vedere Eseguire la migrazione di Firewall di Azure Standard a Premium con Terraform.

Risolvere i problemi di modifica dello SKU

Problemi e soluzioni comuni

• Modifica semplificata dello SKU non disponibile: usare il metodo di migrazione manuale descritto in questo articolo
• Errori di migrazione dei criteri: verificare che siano installate le versioni corrette del modulo powerShell
• Tempo di inattività più lungo del previsto: controllare la connettività di rete e la disponibilità delle risorse
• Problemi di prestazioni dopo l'aggiornamento: esaminare le considerazioni sulle prestazioni ed eseguire test approfonditi
• Downgrade bloccato dalle funzionalità Premium: rimuovere o disabilitare le funzionalità esclusive Premium prima di tentare il downgrade

Risoluzione dei problemi di downgrade

Se non è possibile effettuare il downgrade da Premium a Standard:

1. Controllare le funzionalità Premium: verificare che le politiche del firewall non contengano:

   • Regole di ispezione TLS
   • IDPS in modalità avviso e negazione
   • Regole di filtro URL
   • Regole delle categorie Web

2. Opzioni di modifica dei criteri:

   • Creare un nuovo criterio Standard senza funzionalità Premium
   • Modificare i criteri esistenti per rimuovere le funzionalità Premium
   • Usare Azure PowerShell per identificare e rimuovere regole incompatibili

3. Passaggi di convalida:

   # Check current firewall policy for Premium features
   $policy = Get-AzFirewallPolicy -ResourceGroupName "myResourceGroup" -Name "myPolicy"
   
   # Review policy settings for Premium features
   $policy.ThreatIntelMode
   $policy.IntrusionDetection
   $policy.TransportSecurity
   

Limitazioni note

• L'aggiornamento di un firewall Standard distribuito in Asia sud-orientale con zone di disponibilità non è attualmente supportato per la migrazione manuale
• La modifica semplificata dello SKU non supporta i firewall SKU Basic: gli utenti con SKU Basic devono prima eseguire la migrazione allo SKU Standard prima di aggiornare a SKU Premium
• Alcune configurazioni personalizzate potrebbero richiedere l'approccio di migrazione manuale
• Il downgrade con funzionalità Premium attive ha esito negativo fino a quando tali funzionalità non vengono rimosse

Passaggi successivi

• Altre informazioni sulle funzionalità Firewall di Azure Premium
• Prestazioni di Firewall di Azure
• Informazioni sul firewall di Azure