Uso de Azure Policy para ayudar a proteger las implementaciones de Azure Firewall
Azure Policy es un servicio de Azure que le permite crear, asignar y administrar directivas. Dichas directivas aplican distintas reglas y efectos a los recursos, con el fin de que estos sigan siendo compatibles con los estándares corporativos y los contratos de nivel de servicio. Azure Policy hace esto evaluando los recursos para ver si no cumplen con las directivas asignadas. Por ejemplo, puede tener una directiva para permitir solo un tamaño determinado de máquinas virtuales en su entorno o aplicar una etiqueta específica en los recursos.
Azure Policy se puede usar para controlar las configuraciones de Azure Firewall mediante la aplicación de directivas que definen qué configuraciones se permiten o no se permiten. Esto ayuda a garantizar que la configuración del firewall sea coherente con los requisitos de cumplimiento de la organización y los procedimientos recomendados de seguridad.
Requisitos previos
Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.
Directivas disponibles para Azure Firewall
Las siguientes directivas están disponibles para Azure Firewall:
Habilitar la inteligencia sobre amenazas en Azure Firewall Policy
Esta directiva garantiza que cualquier configuración de Azure Firewall sin intel de amenazas habilitada se marque como no conforme.
Implementación de Azure Firewall en varias zonas de disponibilidad
La directiva restringe la implementación de Azure Firewall para que solo se permita con la configuración de varias zonas de disponibilidad.
Actualización de Azure Firewall Estándar a Premium
Esta directiva recomienda actualizar Azure Firewall Estándar a Premium para que se puedan usar todas las características avanzadas de firewall de la versión Premium. Esto mejora aún más la seguridad de la red.
Se debe habilitar el análisis de Azure Firewall Policy
Esta directiva garantiza que se habilite el análisis de directivas en el firewall para optimizar de forma eficaz las reglas de firewall.
Azure Firewall solo debe permitir el tráfico cifrado
Esta directiva analiza las reglas y puertos existentes en la directiva de firewall de Azure y audita la directiva de firewall para asegurarse de que solo se permite el tráfico cifrado en el entorno.
Azure Firewall debe tener habilitado el proxy DNS
Esta directiva garantiza que la característica de proxy DNS esté habilitada en las implementaciones de Azure Firewall.
Habilitación de IDPS en Azure Firewall Premium Policy
Esta directiva garantiza que la característica IDPS esté habilitada en las implementaciones de Azure Firewall para proteger eficazmente el entorno frente a diversas amenazas y vulnerabilidades.
Habilitación de la inspección de TLS en Azure Firewall Policy
Esta directiva exige que la inspección de TLS esté habilitada para detectar, alertar y mitigar la actividad malintencionada en el tráfico HTTPS.
Migración de reglas clásicas de Azure Firewall a la directiva de firewall
Esta directiva recomienda migrar de reglas clásicas de firewall a la directiva de firewall.
La VNet con una etiqueta específica debe tener Implementado Azure Firewall
Esta directiva busca todas las redes virtuales con una etiqueta especificada y comprueba si hay una instancia de Azure Firewall implementada y la marca como no conforme si no existe ninguna instancia de Azure Firewall.
En los pasos siguientes se muestra cómo crear una instancia de Azure Policy que aplique todas las directivas de firewall para que la característica de inteligencia sobre amenazas esté habilitada (solo alerta o Alerta y denegación). El ámbito de Azure Policy se establece en el grupo de recursos que cree.
Crear un grupo de recursos
Este grupo de recursos se establece como el ámbito de Azure Policy y es donde se crea la directiva de firewall.
- En Azure Portal, seleccione Crear un recurso.
- En el cuadro de búsqueda, escriba grupo de recursos y presione Entrar.
- Seleccione Grupo de recursos en los resultados de búsqueda.
- Seleccione Crear.
- Seleccione su suscripción.
- Escriba un nombre para el grupo de recursos.
- Seleccione una región.
- Seleccione Siguiente: Etiquetas.
- Seleccione Siguiente: Review + create (Revisar y crear).
- Seleccione Crear.
Creación de una directiva de Azure Policy
Ahora cree una instancia de Azure Policy en el nuevo grupo de recursos. Esta directiva garantiza que las directivas de firewall deben tener habilitada la inteligencia sobre amenazas.
- En Azure Portal, seleccione Todos los servicios.
- En el cuadro de filtro, escriba directiva y presione Entrar.
- Seleccione directiva en los resultados de la búsqueda.
- En la página Directiva, seleccione Introducción.
- En Asignar directivas, seleccione Ver definiciones.
- En la página Definiciones, escriba firewall en el cuadro de búsqueda.
- Seleccione Azure Firewall Policy debe habilitar la inteligencia sobre amenazas.
- Seleccione Asignar directiva.
- En Ámbito, seleccione la suscripción y el nuevo grupo de recursos.
- Elija Seleccionar.
- Seleccione Siguiente.
- En la página Parámetros, desactive la casilla Mostrar solo los parámetros que necesitan entrada o revisión.
- En el campo Efecto, seleccione el valor Denegar.
- Seleccione Revisar + crear.
- Seleccione Crear.
Creación de una directiva de firewall
Ahora intente crear una directiva de firewall con la inteligencia sobre amenazas deshabilitada.
- En Azure Portal, seleccione Crear un recurso.
- En el cuadro de búsqueda, escriba directiva de firewall y presione Entrar.
- Seleccione Directiva de firewall en los resultados de la búsqueda.
- Seleccione Crear.
- Seleccione su suscripción.
- En Grupo de recursos, seleccione el grupo de recursos que ha creado anteriormente.
- En el cuadro de texto Nombre, escriba un nombre para la directiva.
- Seleccione Siguiente: Configuración DNS.
- Continúe seleccionando en la página Inteligencia sobre amenazas.
- En Modo de inteligencia sobre amenazas, seleccione Deshabilitado.
- Seleccione Revisar + crear.
Debería ver un error que indica que la directiva no permitía el recurso, lo que confirma que Azure Policy no permite directivas de firewall que tengan deshabilitada la inteligencia sobre amenazas.