Planificación, implementación y administrará una instancia de Azure Firewall, las directivas de firewall y de Azure Firewall Manager

  • 7 minutos

Azure Firewall es un servicio de seguridad de firewall de red inteligente y nativo de la nube que le proporciona la mejor protección contra amenazas para las cargas de trabajo en la nube que se ejecutan en Azure. Se trata de un firewall como servicio con estado completo que incorpora alta disponibilidad y escalabilidad a la nube sin restricciones. Asimismo, proporciona la opción de realizar la inspección del tráfico de este a oeste y de norte a sur.

Azure Firewall se ofrece en tres SKU: Estándar, Prémium y Básico.

Azure Firewall Estándar

Azure Firewall Estándar proporciona filtros de nivel 3 a nivel 7 (L3-L7) y fuentes de inteligencia sobre amenazas directamente desde Microsoft Cyber Security. El filtrado basado en la inteligencia sobre amenazas puede enviar alertas y denegar el tráfico desde o hacia dominios y direcciones IP malintencionados, que sean conocidos y que se actualicen en tiempo real para protegerle frente a ataques nuevos y emergentes.

Diagrama donde se muestra un ejemplo de Azure Firewall Estándar.

Azure Firewall Prémium

Azure Firewall Premium proporciona funcionalidades avanzadas que incluyen el sistema de detección y prevención de intrusiones basado en firmas (IDPS) para permitir la detección rápida de ataques mediante la búsqueda de patrones específicos. Estos patrones pueden incluir secuencias de bytes en el tráfico de red o secuencias de instrucciones malintencionadas conocidas usadas por malware. Existen más de 67 000 firmas en más de 50 categorías que se actualizan en tiempo real para protegerle contra vulnerabilidades nuevas y emergentes. Las categorías de vulnerabilidades de seguridad incluyen malware, suplantación de identidad, minería de monedas y ataques de troyanos.

Diagrama donde se muestra un ejemplo de Azure Firewall Premium.

Azure Firewall Básico

Azure Firewall Básico está pensado para que los clientes pymes protejan sus entornos en la nube de Azure. Proporciona la protección esencial que los clientes pymes necesitan a un precio asequible.

La versión básica de Azure Firewall es similar a Firewall Estándar, pero tiene las siguientes limitaciones principales:

  • Solo admite el modo de alerta de Intel para amenazas
  • Se ha corregido la unidad de escalado para que el servicio se ejecute en dos instancias de back-end de máquina virtual
  • Se recomienda para entornos con un rendimiento estimado de 250 Mbps

Diagrama donde se muestra un ejemplo de Azure Firewall Básico.

Azure Firewall Manager

Azure Firewall Manager es un servicio de administración de seguridad que proporciona una directiva de seguridad central y administración de rutas para perímetros de seguridad en la nube.

Firewall Manager puede proporcionar administración de seguridad para dos tipos de arquitectura de red:

  • Centro virtual protegido
    Un centro de Azure Virtual WAN es un recurso administrado por Microsoft que permite crear fácilmente arquitecturas de tipo hub-and-spoke (centro y radio). Cuando las directivas de seguridad y enrutamiento están asociadas a ese concentrador, se denomina centro virtual protegido .
  • Red virtual de centro
    Se trata de una red virtual estándar de Azure que crea y administra uno mismo. Cuando las directivas de seguridad están asociadas con este tipo de centro, se conoce como red virtual de centro. En este momento, solo se admite la directiva de Azure Firewall. Puede emparejar las redes virtuales de radio que contienen los servidores y servicios de carga de trabajo. También puede administrar los firewalls de redes virtuales independientes que no estén emparejadas con ningún radio.

Diagrama donde se muestra un ejemplo de Azure Firewall Manager.

Características de Azure Firewall Manager

Azure Firewall Manager ofrece las siguientes características:

Implementación y configuración centralizadas de Azure Firewall

Puede implementar y configurar de forma centralizada varias instancias de Azure Firewall que abarquen diferentes regiones y suscripciones de Azure.

Directivas jerárquicas (globales y locales)

Puede usar Azure Firewall Manager para administrar de forma centralizada las directivas de Azure Firewall en varios centros de conectividad virtuales protegidos. Los equipos de TI centrales pueden crear directivas de firewall globales para aplicar la directiva de firewall a los equipos de toda la organización. Las directivas de firewall creadas localmente permiten un modelo de autoservicio de DevOps, lo que aumenta la agilidad.

Integración con seguridad como servicio de terceros para la seguridad avanzada

Además de Azure Firewall, puede integrar los proveedores de seguridad como servicio (SECaaS) de terceros para proporcionar mayor protección de red para las conexiones de Internet de la red virtual y las ramas.

Esta característica solo está disponible en implementaciones de centros virtuales protegidos.

  • Filtrado de tráfico de la red virtual a Internet (V2I)

    • Filtre el tráfico saliente de la red virtual con el proveedor de seguridad de terceros que prefiera.
    • Aproveche la protección de Internet avanzada con reconocimiento del usuario para sus cargas de trabajo en la nube que se ejecutan en Azure.

  • Filtrado de tráfico de la rama a Internet (B2I) Aproveche la conectividad de Azure y la distribución global para agregar fácilmente el filtrado de terceros para escenarios de rama a Internet.

Administración centralizada de rutas

Enrute fácilmente el tráfico al centro de conectividad seguro para filtrar y registrar sin necesidad de configurar manualmente rutas definidas por el usuario (UDR) en redes virtuales de radios.

Esta característica solo está disponible en implementaciones de centros virtuales protegidos.

Puede usar proveedores de terceros para el filtrado de tráfico de rama a Internet (B2I), en paralelo con Azure Firewall para rama a red virtual (B2V), red virtual a red virtual (V2V) y red virtual a Internet (V2I).

Plan de protección contra DDoS

Puede asociar las redes virtuales a un plan de protección contra DDoS en Azure Firewall Manager. Para más información, consulte Configuración de un plan de Azure DDoS Protection mediante Azure Firewall Manager.

Administración de directivas de Web Application Firewall

Puede crear y asociar de forma centralizada directivas de Web Application Firewall (WAF) para las plataformas de entrega de aplicaciones, como Azure Front Door y Azure Application Gateway. Para más información, consulte el artículo Administración de directivas de Web Application Firewall.

Disponibilidad en regiones

Las directivas de Azure Firewall se pueden usar en diferentes regiones. Por ejemplo, puede crear una directiva en Oeste de EE. UU. y usarla en Este de EE. UU.