Perspectiva do Azure Well-Architected Framework no Firewall do Azure
O Firewall do Azure é um serviço de segurança de firewall de rede inteligente e nativo de nuvem que fornece a melhor proteção contra ameaças para suas cargas de trabalho de nuvem executadas no Azure. É um serviço de firewall gerenciado e com estado que possui alta disponibilidade integrada e escalabilidade de nuvem irrestrita. O Firewall do Azure fornece inspeção de tráfego leste-oeste e norte-sul.
Este artigo pressupõe que, como arquiteto, você examinou as opções de segurança de rede virtual e escolheu o Firewall do Azure como o serviço de segurança de rede para sua carga de trabalho. As diretrizes neste artigo fornecem recomendações de arquitetura mapeadas para os princípios dos pilares do Azure Well-Architected Framework.
Importante
Como usar este guia
Cada seção tem uma lista de verificação de design que apresenta áreas arquitetônicas de preocupação, juntamente com estratégias de design localizadas no escopo da tecnologia.
Também estão incluídas recomendações sobre os recursos tecnológicos que podem ajudar a materializar essas estratégias. As recomendações não representam uma lista exaustiva de todas as configurações disponíveis para o Firewall do Azure e suas dependências. Em vez disso, eles listam as principais recomendações mapeadas para as perspectivas de design. Use as recomendações para criar sua prova de conceito ou otimizar seus ambientes existentes.
Arquitetura básica que demonstra as principais recomendações: topologia de rede hub-spoke no Azure.
Escopo da tecnologia
Esta revisão se concentra nas decisões inter-relacionadas para os seguintes recursos do Azure:
- Firewall do Azure
- Gerenciador de Firewall do Azure
Confiabilidade
O objetivo do pilar Confiabilidade é fornecer funcionalidade contínua, criando resiliência suficiente e a capacidade de se recuperar rapidamente de falhas.
Os princípios de design de confiabilidade fornecem uma estratégia de design de alto nível aplicada a componentes individuais, fluxos do sistema e ao sistema como um todo.
Lista de verificação de projeto
Comece sua estratégia de design com base na lista de verificação de revisão de design para Confiabilidade. Determine sua relevância para seus requisitos de negócios, tendo em mente as políticas e o tipo de arquitetura que você usa. Estenda a estratégia para incluir mais abordagens, conforme necessário.
Examine a lista de problemas conhecidos do Firewall do Azure. Os produtos do Firewall do Azure mantêm uma lista atualizada de problemas conhecidos. Esta lista contém informações importantes sobre o comportamento por design, correções em construção, limitações da plataforma e possíveis soluções alternativas ou estratégias de mitigação.
Verifique se a política do Firewall do Azure está em conformidade com os limites e recomendações do Firewall do Azure. A estrutura da política tem limites, incluindo o número de regras e grupos de coleta de regras, o tamanho total da política, os destinos de origem e os destinos de destino. Certifique-se de redigir sua política e ficar abaixo dos limites documentados.
Implante o Firewall do Azure em várias zonas de disponibilidade para obter um SLA (contrato de nível de serviço) mais alto. O Firewall do Azure fornece SLAs diferentes, dependendo se você implanta o serviço em uma única zona de disponibilidade ou em várias zonas. Para obter mais informações, consulte SLAs para serviços online.
Implante uma instância do Firewall do Azure em cada região em ambientes de várias regiões. Para arquiteturas hub-and-spoke tradicionais, consulte Considerações de várias regiões. Para hubs de WAN Virtual do Azure protegidos, configure a intenção e as políticas de roteamento para proteger as comunicações entre hubs e ramificação a ramificação. Para cargas de trabalho resistentes a falhas e tolerantes a falhas, considere instâncias do Firewall do Azure e da Rede Virtual do Azure como recursos regionais.
Monitore as métricas do Firewall do Azure e o estado de integridade do recurso. O Firewall do Azure se integra ao Azure Resource Health. Use a verificação de Integridade do Recurso para exibir o status de integridade do Firewall do Azure e resolver problemas de serviço que podem afetar o recurso do Firewall do Azure.
Implante o Firewall do Azure em redes virtuais de hub ou como parte de hubs de WAN Virtual.
Observação
A disponibilidade de serviços de rede difere entre o modelo tradicional de hub-and-spoke e o modelo de hubs protegidos gerenciados pela WAN Virtual. Por exemplo, em um hub de WAN Virtual, o IP público do Firewall do Azure não pode vir de um prefixo de IP público e não pode ter a Proteção contra DDoS do Azure habilitada. Ao escolher seu modelo, considere seus requisitos em todos os cinco pilares do Well-Architected Framework.
Recomendações
| Recomendação | Benefício |
|---|---|
| Implante o Firewall do Azure em várias zonas de disponibilidade. | Implante o Firewall do Azure em várias zonas de disponibilidade para manter um nível específico de resiliência. Se uma zona sofrer uma interrupção, outra zona continuará a atender ao tráfego. |
| Monitore as métricas do Firewall do Azure em um workspace do Log Analytics. Monitore de perto as métricas que indicam o estado de integridade do Firewall do Azure, como taxa de transferência, estado de integridade do firewall, utilização da porta SNAT e métricas de investigação de latência AZFW. Use a Integridade do Serviço do Azure para monitorar a integridade do Firewall do Azure. |
Monitore as métricas de recursos e a integridade do serviço para que você possa detectar quando um estado de serviço é degradado e tomar medidas proativas para evitar falhas. |
Segurança
O objetivo do pilar Segurança é fornecer garantias de confidencialidade, integridade e disponibilidade para a carga de trabalho.
Os princípios de design de segurança fornecem uma estratégia de design de alto nível para atingir essas metas aplicando abordagens ao design técnico do Firewall do Azure.
Lista de verificação de projeto
Inicie sua estratégia de design com base na lista de verificação de revisão de design para Segurança. Identifique vulnerabilidades e controles para melhorar a postura de segurança. Estenda a estratégia para incluir mais abordagens, conforme necessário.
Envie todo o tráfego da Internet de sua carga de trabalho por meio de um firewall ou de uma NVA (solução de virtualização de rede) para detectar e bloquear ameaças. Configure UDRs (rotas definidas pelo usuário) para forçar o tráfego por meio do Firewall do Azure. Para o tráfego da Web, considere usar o Firewall do Azure como um proxy explícito.
Configure provedores de segurança de software como serviço (SaaS) de parceiros com suporte no Firewall Manager se quiser usar esses provedores para proteger conexões de saída.
Restrinja o uso de endereços IP públicos diretamente vinculados a máquinas virtuais para que o tráfego não possa ignorar o firewall. O modelo do Azure Cloud Adoption Framework atribui uma política específica do Azure ao grupo de gerenciamento CORP.
Siga o guia de configuração de Confiança Zero para Firewall do Azure e Gateway de Aplicativo se suas necessidades de segurança exigirem que você implemente uma abordagem de Confiança Zero para aplicativos Web, como adicionar inspeção e criptografia. Siga este guia para integrar o Firewall do Azure e o Gateway de Aplicativo para cenários tradicionais de hub-and-spoke e WAN Virtual.
Para obter mais informações, consulte Aplicar firewalls na borda.
Estabeleça perímetros de rede como parte de sua estratégia de segmentação de carga de trabalho para controlar o raio de explosão, ofuscar recursos de carga de trabalho e bloquear acesso inesperado, proibido e inseguro. Crie regras para políticas de Firewall do Azure com base nos critérios de acesso com privilégios mínimos.
Defina o endereço IP público como Nenhum para implantar um plano de dados totalmente privado ao configurar o Firewall do Azure no modo de túnel forçado. Essa abordagem não se aplica à WAN Virtual.
Use nomes de domínio totalmente qualificados (FQDN) e marcas de serviço ao definir regras de rede para simplificar o gerenciamento.
Use mecanismos de detecção para monitorar diligentemente ameaças e sinais de abuso. Aproveite os mecanismos e medidas de detecção fornecidos pela plataforma. Ative o sistema de detecção e prevenção de intrusão (IDPS). Associe um plano de Proteção contra DDoS do Azure à sua rede virtual de hub.
Para obter mais informações, consulte Detectar abuso.
Recomendações
| Recomendação | Benefício |
|---|---|
| Configure o Firewall do Azure no modo de túnel forçado se precisar rotear todo o tráfego vinculado à Internet para um próximo salto designado em vez de diretamente para a Internet. Essa recomendação não se aplica à WAN Virtual. O Firewall do Azure deve ter conectividade direta com a Internet. Se o AzureFirewallSubnet aprender uma rota padrão para sua rede local por meio do Protocolo de Gateway de Borda, você deverá configurar o Firewall do Azure no modo de túnel forçado. Você pode usar o recurso de túnel forçado para adicionar outro espaço de endereço /26 para a sub-rede de Gerenciamento do Firewall do Azure. Nomeie a sub-rede AzureFirewallManagementSubnet. Se você tiver uma instância existente do Firewall do Azure que não pode ser reconfigurada no modo de túnel forçado, crie uma UDR com uma rota 0.0.0.0/0. Defina o valor NextHopType como Internet. Para manter a conectividade com a Internet, associe a UDR a AzureFirewallSubnet. Defina o endereço IP público como Nenhum para implantar um plano de dados totalmente privado ao configurar o Firewall do Azure no modo de túnel forçado. Mas o plano de gerenciamento ainda requer um IP público apenas para fins de gerenciamento. O tráfego interno de redes virtuais e locais não usa esse IP público. |
Use o túnel forçado para não expor seus recursos do Azure diretamente à Internet. Essa abordagem reduz a superfície de ataque e minimiza o risco de ameaças externas. Para impor políticas corporativas e requisitos de conformidade com mais eficiência, roteie todo o tráfego vinculado à Internet por meio de um firewall local ou de uma NVA. |
| Crie regras para políticas de firewall em uma estrutura hierárquica para sobrepor uma política de base central. Para obter mais informações, consulte Usar políticas de Firewall do Azure para processar regras. Crie suas regras com base no princípio Zero Trust de acesso com privilégios mínimos |
Organize as regras em uma estrutura hierárquica para que as políticas granulares possam atender aos requisitos de regiões específicas. Cada política pode conter diferentes conjuntos de regras de DNAT (Destination Network Address Translation), rede e aplicativo que têm prioridades, ações e ordens de processamento específicas. |
| Configure provedores de parceiros de segurança compatíveis no Firewall Manager para proteger as conexões de saída. Esse cenário requer a WAN Virtual com um gateway de VPN S2S no hub porque ele usa um túnel IPsec para se conectar à infraestrutura do provedor. Os provedores de serviços de segurança gerenciados podem cobrar taxas de licença extras e limitar a taxa de transferência em conexões IPsec. Você também pode usar soluções alternativas, como o Zscaler Cloud Connector. |
Habilite os provedores de parceiros de segurança no Firewall do Azure para aproveitar as melhores ofertas de segurança na nuvem, que fornecem proteção avançada para o tráfego da Internet. Esses provedores oferecem filtragem especializada e com reconhecimento do usuário e recursos abrangentes de detecção de ameaças que aprimoram sua postura geral de segurança. |
| Habilite a configuração de proxy DNS do Firewall do Azure. Configure também o Firewall do Azure para usar o DNS personalizado para encaminhar consultas DNS. |
Habilite esse recurso para apontar clientes nas redes virtuais para o Firewall do Azure como um servidor DNS. Esse recurso protege a infraestrutura DNS interna que não é acessada e exposta diretamente. |
| Configure UDRs para forçar o tráfego por meio do Firewall do Azure em uma arquitetura hub-and-spoke tradicional para conectividade spoke-to-spoke, spoke-to-internet e spoke-to-hybrid . Na WAN Virtual, configure a intenção e as políticas de roteamento para redirecionar o tráfego privado ou o tráfego da Internet por meio da instância do Firewall do Azure integrada ao hub. Se você não puder aplicar uma UDR e precisar apenas de redirecionamento de tráfego da Web, use o Firewall do Azure como um proxy explícito no caminho de saída. Você pode definir uma configuração de proxy no aplicativo de envio, como um navegador da Web, ao configurar o Firewall do Azure como um proxy. |
Envie tráfego pelo firewall para inspecionar o tráfego e ajudar a identificar e bloquear o tráfego mal-intencionado. Use o Firewall do Azure como um proxy explícito para o tráfego de saída para que o tráfego da Web atinja o endereço IP privado do firewall e, portanto, saia diretamente do firewall sem usar uma UDR. Esse recurso também facilita o uso de vários firewalls sem modificar as rotas de rede existentes. |
| Use a filtragem FQDN em regras de rede. Você deve habilitar a configuração de proxy DNS do Firewall do Azure para usar FQDNs em suas regras de rede. | Use FQDNs nas regras de rede do Firewall do Azure para que os administradores possam gerenciar nomes de domínio em vez de vários endereços IP, o que simplifica o gerenciamento. Essa resolução dinâmica garante que as regras de firewall sejam atualizadas automaticamente quando os IPs de domínio forem alterados. |
| Use marcas de serviço do Firewall do Azure no lugar de endereços IP específicos para fornecer acesso seletivo a serviços específicos no Azure, Microsoft Dynamics 365 e Microsoft 365. | Use marcas de serviço em regras de rede para que você possa definir controles de acesso com base em nomes de serviço em vez de endereços IP específicos, o que simplifica o gerenciamento de segurança. A Microsoft gerencia e atualiza essas marcas automaticamente quando os endereços IP são alterados. Esse método garante que suas regras de firewall permaneçam precisas e eficazes sem intervenção manual. |
| Use marcas FQDN em regras de aplicativo para fornecer acesso seletivo a serviços específicos da Microsoft. Você pode usar uma marca FQDN em regras de aplicativo para permitir o tráfego de rede de saída necessário por meio do firewall para serviços específicos do Azure, como Microsoft 365, Windows 365 e Microsoft Intune. |
Use marcas FQDN em regras de aplicativo do Firewall do Azure para representar um grupo de FQDNs associados a serviços conhecidos da Microsoft. Esse método simplifica o gerenciamento de regras de segurança de rede. |
| Habilite a inteligência contra ameaças no Firewall do Azure no modo de alerta e negação . | Use inteligência de ameaças para fornecer proteção em tempo real contra ameaças emergentes, o que reduz o risco de ataques cibernéticos. Esse recurso usa o feed de inteligência contra ameaças da Microsoft para alertar e bloquear automaticamente o tráfego de endereços IP, domínios e URLs mal-intencionados conhecidos. |
| Habilite o IDPS no modo Alerta ou Alerta e negação . Considere o impacto no desempenho desse recurso. | Habilitar a filtragem IDPS no Firewall do Azure fornece monitoramento e análise em tempo real do tráfego de rede para detectar e impedir atividades mal-intencionadas. Esse recurso usa detecção baseada em assinatura para identificar rapidamente ameaças conhecidas e bloqueá-las antes que causem danos. Para obter mais informações, consulte Detectar abuso. |
| Use uma AC (autoridade de certificação) corporativa interna para gerar certificados ao usar a inspeção TLS com o Firewall do Azure Premium. Use certificados autoassinados apenas para fins de teste e PoC (prova de conceito). | Habilite a inspeção TLS para que o Firewall do Azure Premium encerre e inspecione as conexões TLS para detectar, alertar e mitigar atividades mal-intencionadas em HTTPS. |
| Use o Gerenciador de Firewall para criar e associar um plano de Proteção contra DDoS do Azure à rede virtual do hub. Essa abordagem não se aplica à WAN Virtual. | Configure um plano de Proteção contra DDoS do Azure para que você possa gerenciar centralmente a proteção contra DDoS junto com suas políticas de firewall. Essa abordagem simplifica a forma como você gerencia a segurança da rede e simplifica a forma como você implanta e monitora os processos. |
Otimização de custos
A otimização de custos se concentra na detecção de padrões de gastos, priorizando investimentos em áreas críticas e otimizando em outras para atender ao orçamento da organização e, ao mesmo tempo, atender aos requisitos de negócios.
Os princípios de design de Otimização de Custos fornecem uma estratégia de design de alto nível para atingir essas metas e fazer compensações conforme necessário no design técnico relacionado ao Firewall do Azure e seu ambiente.
Lista de verificação de projeto
Inicie sua estratégia de design com base na lista de verificação de revisão de design para Otimização de Custos para investimentos. Ajuste o design para que a carga de trabalho esteja alinhada com o orçamento alocado para a carga de trabalho. Seu design deve usar os recursos corretos do Azure, monitorar investimentos e encontrar oportunidades para otimizar ao longo do tempo.
Selecione um SKU do Firewall do Azure para implantar. Escolha entre três SKUs do Firewall do Azure: Básico, Standard e Premium. Use o Firewall do Azure Premium para proteger aplicativos altamente confidenciais, como processamento de pagamentos. Use o Firewall do Azure Standard se sua carga de trabalho precisar de um firewall de Camada 3 a Camada 7 e precisar de dimensionamento automático para lidar com períodos de pico de tráfego de até 30 Gbps. Use o Firewall do Azure Basic se você usar o SMB e precisar de até 250 Mbps de taxa de transferência. Você pode fazer downgrade ou upgrade entre SKUs Standard e Premium. Para obter mais informações, consulte Escolher o SKU correto do Firewall do Azure.
Remova implantações de firewall não utilizadas e otimize implantações subutilizadas. Pare as implantações do Firewall do Azure que não precisam ser executadas continuamente. Identifique e exclua implantações de Firewall do Azure não utilizadas. Para reduzir os custos operacionais, monitore e otimize o uso de instâncias de firewall, a configuração de políticas do Gerenciador de Firewall do Azure e o número de endereços IP públicos e políticas que você usa.
Compartilhe a mesma instância do Firewall do Azure. Você pode usar uma instância central do Firewall do Azure na rede virtual do hub ou no hub seguro da WAN Virtual e compartilhar a mesma instância do Firewall do Azure entre redes virtuais spoke que se conectam ao mesmo hub da mesma região. Certifique-se de que você não tenha tráfego inesperado entre regiões em uma topologia hub-and-spoke.
Otimize o tráfego através do firewall. Examine regularmente o tráfego que o Firewall do Azure processa. Encontre oportunidades para reduzir a quantidade de tráfego que atravessa o firewall.
Diminua a quantidade de dados de log armazenados. O Firewall do Azure pode usar os Hubs de Eventos do Azure para registrar de forma abrangente os metadados do tráfego e enviá-los para workspaces do Log Analytics, Armazenamento do Azure ou soluções que não são da Microsoft. Todas as soluções de registro incorrem em custos para processar dados e fornecer armazenamento. Grandes quantidades de dados podem incorrer em custos significativos. Considere uma abordagem econômica e uma alternativa ao Log Analytics e estime o custo. Considere se você precisa registrar metadados de tráfego para todas as categorias de log.
Recomendações
| Recomendação | Benefício |
|---|---|
| Pare as implantações do Firewall do Azure que não precisam ser executadas continuamente. Você pode ter ambientes de desenvolvimento ou teste que você usa apenas durante o horário comercial. Para obter mais informações, consulte Desalocar e alocar o Firewall do Azure. | Desligue essas implantações fora do horário de pico ou quando ocioso para reduzir despesas desnecessárias, mas mantenha a segurança e o desempenho durante momentos críticos. |
| Examine regularmente o tráfego que o Firewall do Azure processa e encontre otimizações de carga de trabalho de origem. O log de fluxos superiores, também conhecido como log de fluxos de gordura, mostra as principais conexões que contribuem para a maior taxa de transferência por meio do firewall. | Otimize as cargas de trabalho que geram mais tráfego por meio do firewall para reduzir o volume de tráfego, o que diminui a carga no firewall e minimiza os custos de processamento de dados e largura de banda. |
| Identifique e exclua implantações de Firewall do Azure não utilizadas. Analise métricas de monitoramento e UDRs associadas a sub-redes que apontam para o IP privado do firewall. Considere também outras validações e documentação interna sobre seu ambiente e implantações. Por exemplo, analise qualquer NAT clássico, rede e regras de aplicativo para o Firewall do Azure. E considere suas configurações. Por exemplo, você pode definir a configuração de proxy DNS como Desabilitado. Para obter mais informações, consulte Monitorar o Firewall do Azure. |
Use essa abordagem para detectar implantações econômicas ao longo do tempo e eliminar recursos não utilizados, o que evita custos desnecessários. |
| Revise cuidadosamente as políticas, associações e herança do Firewall Manager para otimizar os custos. As políticas são cobradas com base nas associações de firewall. Uma política com zero ou uma associação de firewall é gratuita. Uma política com várias associações de firewall é cobrada segundo uma taxa fixa. Para obter mais informações, consulte Preços do Firewall Manager. |
Use adequadamente o Firewall Manager e suas políticas para reduzir os custos operacionais, aumentar a eficiência e reduzir a sobrecarga de gerenciamento. |
| Revise todos os endereços IP públicos em sua configuração e desassocie e exclua aqueles que você não usa. Avalie o uso da porta SNAT (conversão de endereços de rede de origem) antes de remover qualquer endereço IP. Para obter mais informações, consulte Monitorar logs e métricas do Firewall do Azure e uso da porta SNAT. |
Exclua endereços IP não utilizados para reduzir custos. |
Excelência operacional
A Excelência Operacional se concentra principalmente em procedimentos para práticas de desenvolvimento, observabilidade e gerenciamento de versões.
Os princípios de design de Excelência Operacional fornecem uma estratégia de design de alto nível para atingir essas metas para os requisitos operacionais da carga de trabalho.
Lista de verificação de projeto
Inicie sua estratégia de design com base na lista de verificação de revisão de design para Excelência Operacional para definir processos de observabilidade, teste e implantação relacionados ao Firewall do Azure.
Use o Gerenciador de Firewall com topologias hub-and-spoke tradicionais ou topologias de rede WAN Virtual para implantar e gerenciar instâncias do Firewall do Azure. Use serviços de segurança nativos para governança e proteção de tráfego para criar arquiteturas hub-and-spoke e transitivas. Para obter mais informações, consulte Topologia de rede e conectividade.
Migre as regras clássicas do Firewall do Azure para as políticas do Gerenciador de Firewall para implantações existentes. Use o Firewall Manager para gerenciar centralmente seus firewalls e políticas. Para obter mais informações, consulte Migrar para o Firewall do Azure Premium.
Mantenha backups regulares de artefatos do Azure Policy. Se você usar uma abordagem de infraestrutura como código para manter o Firewall do Azure e todas as dependências, deverá ter backup e controle de versão das políticas do Firewall do Azure em vigor. Caso contrário, você poderá implantar um mecanismo complementar baseado em um aplicativo lógico externo para fornecer uma solução automatizada eficaz.
Monitorar os logs e as métricas do Firewall do Azure. Aproveite os logs de diagnóstico para monitoramento e solução de problemas de firewall e os logs de atividades para operações de auditoria.
Analise os dados de monitoramento para avaliar a integridade geral do sistema. Use a pasta de trabalho de monitoramento interna do Firewall do Azure, familiarize-se com as consultas KQL (Linguagem de Consulta Kusto) e use o painel de análise de política para identificar possíveis problemas.
Defina alertas para eventos-chave para que os operadores possam responder rapidamente a eles.
Aproveite os mecanismos de detecção fornecidos pela plataforma no Azure para detectar abusos. Integre o Firewall do Azure ao Microsoft Defender para Nuvem e ao Microsoft Sentinel , se possível. Integre-se ao Defender para Nuvem para que você possa visualizar o status da infraestrutura de rede e da segurança de rede em um só lugar, incluindo a segurança de rede do Azure em todas as redes virtuais e hubs virtuais em diferentes regiões do Azure. Integre-se ao Microsoft Sentinel para fornecer recursos de detecção e prevenção de ameaças.
Recomendações
| Recomendação | Benefício |
|---|---|
| Habilite os logs de diagnóstico para o Firewall do Azure. Use logs de firewall ou pastas de trabalho para monitorar o Firewall do Azure. Você também pode usar os logs de atividades para auditar operações nos recursos do Firewall do Azure. Use o formato de logs de firewall estruturado. Use apenas o formato de logs de diagnóstico anterior se você tiver uma ferramenta existente que o exija. Não habilite os dois formatos de log ao mesmo tempo. |
Habilite os logs de diagnóstico para otimizar suas ferramentas e estratégias de monitoramento para o Firewall do Azure. Use logs de firewall estruturados para estruturar os dados de log para que seja fácil de pesquisar, filtrar e analisar. As ferramentas de monitoramento mais recentes são baseadas nesse tipo de log, portanto, geralmente é um pré-requisito. |
| Use a pasta de trabalho interna do Firewall do Azure. | Use a pasta de trabalho do Firewall do Azure para extrair insights valiosos de eventos do Firewall do Azure, analisar seu aplicativo e regras de rede e examinar estatísticas sobre atividades de firewall em URLs, portas e endereços. |
| Monitore os logs e as métricas do Firewall do Azure e crie alertas para a capacidade do Firewall do Azure. Crie alertas para monitorar a taxa de transferência, o estado de integridade do firewall, a utilização da porta SNAT e as métricas de investigação de latência do AZFW. | Configure alertas para eventos importantes para notificar os operadores antes que surjam possíveis problemas, ajude a evitar interrupções e inicie ajustes rápidos de capacidade. |
| Revise regularmente o painel de análise de políticas para identificar possíveis problemas. | Use a análise de política para analisar o impacto de suas políticas de Firewall do Azure. Identifique possíveis problemas em suas políticas, como atender aos limites de políticas, regras inadequadas e uso inadequado de grupos de IP. Obtenha recomendações para melhorar sua postura de segurança e desempenho de processamento de regras. |
| Entenda as consultas KQL para que você possa usar os logs do Firewall do Azure para analisar e solucionar problemas rapidamente. O Firewall do Azure fornece consultas de exemplo. | Use consultas KQL para identificar rapidamente eventos dentro do firewall e verifique qual regra é acionada ou qual regra permite ou bloqueia uma solicitação. |
Eficiência de desempenho
A eficiência de desempenho trata de manter a experiência do usuário mesmo quando há um aumento na carga gerenciando a capacidade. A estratégia inclui dimensionar recursos, identificar e otimizar possíveis gargalos e otimizar o desempenho máximo.
Os princípios de design de eficiência de desempenho fornecem uma estratégia de design de alto nível para atingir essas metas de capacidade em relação ao uso esperado.
Lista de verificação de projeto
Comece sua estratégia de design com base na lista de verificação de revisão de design para Eficiência de desempenho. Defina uma linha de base baseada em indicadores-chave de desempenho para o Firewall do Azure.
Otimize a configuração do Firewall do Azure de acordo com as recomendações do Well-Architected Framework para otimizar o código e a infraestrutura e garantir a operação máxima. Para manter uma rede eficiente e segura, revise e otimize regularmente as regras de firewall. Essa prática ajuda a garantir que suas configurações de firewall permaneçam eficazes e atualizadas com as ameaças de segurança mais recentes.
Avalie os requisitos da política e encontre oportunidades para resumir intervalos de IP e listas de URLs. Use categorias da Web para permitir ou negar acesso de saída em massa para simplificar o gerenciamento e aumentar a segurança. Avalie o impacto no desempenho do IDPS no modo Alerta e negação , pois essa configuração pode afetar a latência e a taxa de transferência da rede. Configure endereços IP públicos para dar suporte aos requisitos de porta SNAT. Siga estas práticas para criar uma infraestrutura de segurança de rede robusta e escalável.
Não use o Firewall do Azure para controle de tráfego de rede intravirtual. Use o Firewall do Azure para controlar os seguintes tipos de tráfego:
- Tráfego entre redes virtuais
- Tráfego entre redes virtuais e redes locais
- Tráfego de saída para a Internet
- Tráfego não HTTP ou não HTTPS de entrada
Para controle de tráfego de rede intravirtual, use grupos de segurança de rede.
Aqueça o Firewall do Azure corretamente antes dos testes de desempenho. Crie tráfego inicial que não faça parte de seus testes de carga 20 minutos antes de seus testes. Use as configurações de diagnóstico para capturar eventos de expansão e redução. Você pode usar o serviço de Teste de Carga do Azure para gerar o tráfego inicial para que você possa escalar verticalmente o Firewall do Azure para o número máximo de instâncias.
Configure uma sub-rede do Firewall do Azure com um espaço de endereço /26. Você precisa de uma sub-rede dedicada para o Firewall do Azure. O Firewall do Azure provisiona mais capacidade à medida que é dimensionado. Um espaço de endereço /26 garante que o firewall tenha endereços IP suficientes disponíveis para acomodar o aumento de escala. O Firewall do Azure não requer uma sub-rede maior que /26. Nomeie a sub-rede do Firewall do Azure AzureFirewallSubnet.
Não habilite o registro avançado se você não precisar dele. O Firewall do Azure fornece alguns recursos avançados de registro em log que podem incorrer em custos significativos para se manterem ativos. Em vez disso, você pode usar esses recursos apenas para fins de solução de problemas e por períodos limitados de tempo. Desative os recursos quando não precisar deles. Por exemplo, os principais fluxos e os logs de rastreamento de fluxo são caros e podem causar uso excessivo de CPU e armazenamento na infraestrutura do Firewall do Azure.
Recomendações
| Recomendação | Benefício |
|---|---|
| Use o painel de análise de política para identificar maneiras de otimizar as políticas do Firewall do Azure. | Use a análise de políticas para identificar possíveis problemas em suas políticas, como atender aos limites de políticas, regras inadequadas e uso inadequado de grupos de IP. Obtenha recomendações para melhorar sua postura de segurança e desempenho de processamento de regras. |
| Coloque as regras usadas com frequência no início de um grupo para otimizar a latência das políticas do Firewall do Azure que têm grandes conjuntos de regras. Para obter mais informações, consulte Usar políticas de Firewall do Azure para processar regras. |
Coloque as regras usadas com frequência no topo de um conjunto de regras para otimizar a latência de processamento. O Firewall do Azure processa regras com base no tipo de regra, herança, prioridade do grupo de coleta de regras e prioridade de coleção de regras. O Firewall do Azure processa primeiro os grupos de coleta de regras de alta prioridade. Dentro de um grupo de coleção de regras, o Firewall do Azure processa as coleções de regras que têm a prioridade mais alta primeiro. |
| Use grupos de IP para resumir intervalos de endereços IP e evitar exceder o limite de regras de rede de origem ou destino exclusivas. O Firewall do Azure trata o grupo de IP como um único endereço quando você cria regras de rede. | Essa abordagem aumenta efetivamente o número de endereços IP que você pode cobrir sem exceder o limite. Para cada regra, o Azure multiplica as portas por endereços IP. Portanto, se uma regra tiver quatro intervalos de endereços IP e cinco portas, você consumirá 20 regras de rede. |
| Use as categorias da Web do Firewall do Azure para permitir ou negar o acesso de saída em massa, em vez de criar e manter explicitamente uma longa lista de sites públicos da Internet. | Esse recurso categoriza dinamicamente o conteúdo da Web e permite a criação de regras compactas de aplicativos, o que reduz a sobrecarga operacional. |
| Avalie o impacto no desempenho do IDPS no modo de alerta e negação . Para obter mais informações, consulte Desempenho do Firewall do Azure. | Habilite o IDPS no modo de alerta e negação para detectar e impedir atividades maliciosas na rede. Esse recurso pode introduzir uma penalidade de desempenho. Entenda o efeito em sua carga de trabalho para que você possa planejar adequadamente. |
| Configure implantações do Firewall do Azure com um mínimo de cinco endereços IP públicos para implantações suscetíveis ao esgotamento da porta SNAT. | O Firewall do Azure dá suporte a 2.496 portas para cada endereço IP público que cada instância de Conjuntos de Dimensionamento de Máquinas Virtuais do Azure de back-end usa. Essa configuração aumenta as portas SNAT disponíveis em cinco vezes. Por padrão, o Firewall do Azure implanta duas instâncias de Conjuntos de Dimensionamento de Máquinas Virtuais que dão suporte a 4.992 portas para cada IP de destino de fluxo, porta de destino e protocolo TCP ou UDP. É possível escalar o firewall verticalmente para um máximo de 20 instâncias. |
Políticas do Azure
O Azure fornece um amplo conjunto de políticas internas relacionadas ao Firewall do Azure e suas dependências. Algumas das recomendações anteriores podem ser auditadas por meio do Azure Policy. Por exemplo, você pode verificar se:
As interfaces de rede não devem ter IPs públicos. Essa política nega interfaces de rede configuradas com um IP público. Os endereços IP públicos permitem que os recursos da Internet se comuniquem de entrada com os recursos do Azure, e os recursos do Azure podem se comunicar de saída com a Internet.
Todo o tráfego da Internet deve ser roteado por meio da instância do Firewall do Azure implantada. A Central de Segurança do Azure identifica que algumas de suas sub-redes não estão protegidas com um firewall de próxima geração. Proteja suas sub-redes contra possíveis ameaças. Use o Firewall do Azure ou um firewall de próxima geração com suporte para restringir o acesso às suas sub-redes.
Para uma governança abrangente, examine as definições internas do Azure Policy para o Firewall do Azure e outras políticas que podem afetar a segurança da rede.
Recomendações do Assistente do Azure
O Assistente do Azure é um consultor de nuvem personalizado que ajuda a seguir as práticas recomendadas para otimizar as implantações do Azure. Aqui estão algumas recomendações que podem ajudá-lo a melhorar a confiabilidade, a segurança, a economia, o desempenho e a excelência operacional do Firewall do Azure.
Próximas etapas
Consulte os recursos a seguir que demonstram as recomendações neste artigo.
Use as seguintes arquiteturas de referência como exemplos de como aplicar as diretrizes deste artigo a uma carga de trabalho:
Use os seguintes recursos para melhorar sua experiência em implementação:
Veja outros recursos: