Projetar e implementar o Firewall do Azure

Concluído

Firewall do Azure é um serviço de segurança de rede gerenciado e baseado em nuvem que protege seus recursos de Rede Virtual do Azure. É um firewall totalmente com estado como serviço, com alta disponibilidade interna e escalabilidade de nuvem sem restrições.

Recursos do Firewall do Azure

O Firewall do Azure inclui os seguintes recursos:

• Alta disponibilidade integrada – a alta disponibilidade está integrada, portanto, nenhum balanceador de carga extra é necessário e não há nada que você precise configurar.
• Escalabilidade na nuvem irrestrita – o Firewall do Azure pode escalar horizontalmente o quanto você precisar para acomodar fluxos de tráfego de rede cambiáveis, para que não seja necessário orçamento para o tráfego de pico.
• Regras de filtragem de FQDN de aplicativo – você pode limitar o tráfego HTTP/S de saída ou o tráfego do SQL do Azure a uma lista de FQDN (nomes de domínio totalmente qualificados) específica, incluindo curingas. Esse recurso não exige a terminação TLS.
• Regras de filtragem de tráfego de rede – você pode criar centralmente regras de filtragem de rede para permitir ou negar por endereço IP de origem e destino, porta e protocolo. O Firewall do Azure é totalmente com estado, para que possa distinguir pacotes legítimos de diferentes tipos de conexões. As regras são impostas e registradas em várias assinaturas e redes virtuais.
• Marcas FQDN – essas marcas facilitam para você permitir o tráfego de rede de serviço do Azure conhecido por meio do firewall. Por exemplo, digamos que você deseja permitir o tráfego de rede do Windows Update por meio de seu firewall. Você cria uma regra de aplicativo e inclui a marca do Windows Update. Agora o tráfego de rede do Windows Update pode fluir através do firewall.
• Marcas de serviço – uma marca de serviço representa um grupo de prefixos de endereço IP para ajudar a minimizar a complexidade da criação da regra de segurança. Você não pode criar sua própria marca de serviço ou especificar quais endereços IP estão incluídos em uma marca. A Microsoft gerencia os prefixos de endereço englobados pela marca de serviço e atualiza automaticamente a marca de serviço em caso de alteração de endereços.
• Inteligência contra ameaças – a filtragem baseada em inteligência contra ameaças (IDPS) pode ser habilitada para o firewall alertar e negar o tráfego de/para domínios e endereços IP mal-intencionados conhecidos. Os endereços IP e os domínios são originados do feed de inteligência de ameaças da Microsoft.
• Inspeção do TLS – o firewall pode descriptografar o tráfego de saída e processar os dados e, em seguida, criptografar os dados e enviá-los para o destino.
• Suporte a SNAT de saída – todos os endereços IP de tráfego de rede virtual de saída são traduzidos para o IP público do Firewall do Azure (SNAT – conversão de endereços de rede de origem). Você pode identificar e permitir o tráfego proveniente de sua rede virtual para destinos de Internet remotos.
• Suporte à DNAT de entrada – o tráfego de rede Internet de entrada para o endereço IP público do firewall é traduzido (conversão de endereços de rede de destino) e filtrado para os endereços IP privados nas redes virtuais.
• Vários endereços IP públicos – você pode associar vários endereços IP públicos (até 250) ao firewall para habilitar cenários específicos de DNAT e SNAT.
• Registro em log do Azure Monitor – todos os eventos são integrados com o Azure Monitor, permitindo que você arquive logs em uma conta de armazenamento, transmita evento para o Hub de Eventos ou os envie para os logs do Azure Monitor.
• Túnel forçado – você pode configurar Firewall do Azure para rotear todo o tráfego vinculado à Internet para um próximo salto indicado, em vez de ir diretamente para a Internet. Por exemplo, você pode ter um firewall de borda local ou outra solução de virtualização de rede (NVA) para processar o tráfego de rede antes que ele passe para a Internet.
• Categorias da Web – as categorias da Web permitem que os administradores permitam ou neguem o acesso do usuário a categorias de sites da Web, como sites de jogo, sites de redes sociais e outros. As categorias da Web estão incluídas no Firewall do Azure Standard, mas são mais ajustadas na versão prévia do Firewall do Azure Premium. Ao contrário do recurso de categorias da Web na SKU padrão que corresponde à categoria com base em um FQDN, a SKU Premium corresponde à categoria de acordo com a URL inteira para o tráfego HTTP e HTTPS.
• Certificações – o Firewall do Azure está em conformidade com PCI (Payment Card Industry), SOC (Service Organization Controls), ISO (International Organization for Standardization) e ICSA Labs.

Processamento de regras no Firewall do Azure

No Firewall do Azure, você pode configurar regras NAT, regras de rede e regras de aplicativos. Isso pode ser feito usando regras clássicas ou Política de Firewall. Um Firewall do Azure nega todo o tráfego por padrão, até que as regras sejam configuradas manualmente para permitir o tráfego.

Processamento de regras com regras clássicas

Com regras clássicas, as coleções de regras são processadas de acordo com o tipo de regra em ordem de prioridade, de números menores para maiores, de 100 a 65.000. Um nome de coleção de regras pode ter apenas letras, números, sublinhados, pontos ou hifens. Deve começar com uma letra ou um número e terminar com uma letra, um número ou um sublinhado. O tamanho máximo do nome é de 80 caracteres. É uma melhor prática inicialmente espaçar os números de prioridade da coleção de regras em incrementos de 100 (ou seja, 100, 200, 300 e assim por diante) para que você se dê espaço para adicionar mais coleções de regras quando necessário.

Processamento de regras com Política de Firewall

Com Política de Firewall, as regras são organizadas dentro de Coleções de Regras que estão contidas em Grupos de Coleção de Regras. As Coleções de Regra podem ser de um dos seguintes tipos:

• DNAT (conversão de endereços de rede de destino)
• Rede
• Aplicativo

Você pode definir vários tipos de Coleção de Regras em um único Grupo de Coleta de Regras e definir zero ou mais Regras em uma Coleção de Regras, mas elas devem ser do mesmo tipo (ou seja, DNAT, Rede ou Aplicativo).

Com Política de Firewall, as regras são processadas com base na Prioridade do Grupo de Coleções de Regras e na Prioridade da Coleção de Regras. A prioridade é qualquer número entre 100 (prioridade mais alta) e 65.000 (prioridade mais baixa). Os Grupos de Coleções de Regras com Prioridade Mais Alta são processados primeiro e, dentro de um Grupo de Coleções de Regras, as Coleções de Regras com a prioridade mais alta (ou seja, o número mais baixo) são processadas primeiro.

No caso de uma Política de Firewall ser herdada de uma política pai, os Grupos de Coleções de Regras na política pai sempre têm precedência, independentemente da prioridade da política filho.

As regras de aplicativo sempre são processadas após as regras de rede, que são processadas sempre após as regras DNAT, independentemente da prioridade do Grupo de Coleções de Regras ou da Coleção de Regras e da herança de política.

Conectividade de saída usando regras de rede e regras de aplicativo

Se você configurar regras de rede e regras de aplicativo, as regras de rede serão aplicadas em ordem de prioridade antes das regras de aplicativo. Além disso, todas as regras estão sendo encerradas. Portanto, se uma correspondência for encontrada em uma regra de rede, nenhuma outra regra será processada.

Se não houver qualquer correspondência da regra de rede e se o protocolo for HTTP, HTTPS ou MSSQL, o pacote será avaliado pelas regras de aplicativo em ordem de prioridade. Para HTTP, o Firewall do Azure procura por uma correspondência da regra de aplicativo de acordo com o Cabeçalho do Host, enquanto para HTTPS, o Firewall do Azure procura uma correspondência de regra de aplicativo apenas de acordo com o SNI (Indicação de Nome de Servidor).

Conectividade de entrada usando regras DNAT e regras de rede

A conectividade de Internet de entrada pode ser habilitada configurando o DNAT. Conforme mencionado anteriormente, as regras DNAT são aplicadas em prioridade antes das regras de rede. Se uma correspondência for encontrada, será adicionada uma regra de rede correspondente implícita para permitir o tráfego convertido. Por motivos de segurança, a abordagem recomendada é adicionar uma fonte específica de Internet para permitir o acesso DNAT à rede e evitar o uso de caracteres curinga.

As regras de aplicativo não são aplicadas a conexões de entrada. Portanto, se você quiser filtrar tráfego HTTP/S de entrada, deverá usar o WAF (Firewall de Aplicativo Web).

Para segurança avançada, se você modificar uma regra para negar o acesso ao tráfego que foi permitido anteriormente, todas as sessões existentes relevantes serão descartadas.

Implantar e configurar o Firewall do Azure

Esteja ciente do seguinte ao implantar o Firewall do Azure:

• É possível criar, aplicar e registrar centralmente políticas de conectividade de rede e de aplicativo em assinaturas e redes virtuais.
• É usado um endereço IP público estático para seus recursos de rede virtual. Isso permite que firewalls externos para identificar o tráfego proveniente da sua rede virtual.
• É totalmente integrado ao Azure Monitor para registro em log e análise.
• Ao criar regras de firewall, será melhor usar as marcas de FQDN.

Os principais estágios de implantação e configuração do Firewall do Azure são os seguintes:

• Criar um grupo de recursos
• Criar uma rede virtual e sub-redes
• Criar uma VM de carga de trabalho em uma sub-rede
• Implantar o firewall e a política na rede virtual
• Criar uma rota de saída padrão
• Configurar uma regra de aplicativo
• Configurar uma regra de rede
• Configurar uma regra DNAT (NAT de destino)
• Testar o firewall

Implantar um Firewall do Azure com Zonas de Disponibilidade

Um dos principais recursos do Firewall do Azure é Zonas de Disponibilidade.

Ao implantar o Firewall do Azure, você poderá configurá-lo para abranger várias Zonas de Disponibilidade para maior disponibilidade. Quando você configura o Firewall do Azure dessa forma, sua disponibilidade aumenta para 99,99% do tempo de atividade. O SLA de tempo de atividade de 99,99% é oferecido quando duas ou mais Zonas de Disponibilidade estão selecionadas.

Você também pode associar o Firewall do Azure a uma zona específica apenas por motivos de proximidade, usando o SLA de 99,95% padrão de serviço.

Para saber mais, confira SLA (Contrato de Nível de Serviço) do Firewall do Azure.

Não há custo adicional para um firewall implantado em uma Zona de Disponibilidade. No entanto, há custos adicionais para transferências de dados de entrada e saída associados com as Zonas de Disponibilidade.

Para saber mais, confira Detalhes de preços de largura de banda.

As Zonas de Disponibilidade do Firewall do Azure estão disponíveis apenas em regiões que suportam Zonas de Disponibilidade.

Zonas de Disponibilidade podem ser configuradas somente durante a implantação do firewall. Você não pode configurar um firewall existente para incluir Zonas de Disponibilidade.

Métodos para implantar um Firewall do Azure com Zonas de Disponibilidade

Você pode usar vários métodos para implantar seu Firewall do Azure usando Zonas de Disponibilidade.

• Portal do Azure
• Azure PowerShell – confira Implantar um Firewall do Azure com Zonas de Disponibilidade usando o Azure PowerShell
• Modelo do Azure Resource Manager – confira Início Rápido: implantar um Firewall do Azure com Zonas de Disponibilidade – modelo do Azure Resource Manager

Verificar seu conhecimento

1.

O Firewall do Azure dá suporte à filtragem em qual direção de tráfego?

Somente saída.

Somente entrada.

Entrada e Saída.

2.

Qual dos níveis de prioridade a seguir é considerado mais alto para uma regra de segurança?

0

100

110

É necessário responder a todas as perguntas antes de verificar o trabalho.