Proteger suas redes com o Gerenciador de Firewall do Azure

  • 7 minutos

Trabalhar com o Gerenciador de Firewall do Azure

O Gerenciador de Firewall do Azure é um serviço de gerenciamento de segurança que fornece gerenciamento central de rotas e políticas de segurança para os parâmetros de segurança baseados em nuvem.

Diagrama do Gerenciador de Firewall do Azure que mostra a opção de implantação da VNet de hub e hub seguro.

O Gerenciador de Firewall do Azure simplifica o processo de definição central de regras no nível de rede e aplicativo para a filtragem de tráfego entre várias instâncias do Firewall do Azure. Você pode abranger diferentes regiões e assinaturas do Azure em arquiteturas hub e spoke para a governança e a proteção do tráfego.

Se você gerencia vários firewalls, sabe que a alteração contínua das regras de firewall dificulta a manutenção deles. As equipes de TI centrais precisam definir as políticas básicas de firewall e aplicá-las em várias unidades de negócios. Ao mesmo tempo, as equipes de DevOps desejam criar suas próprias políticas de firewall derivadas locais implementadas nas organizações. O Gerenciador de Firewall do Azure ajuda a resolver esses problemas.

O Gerenciador de Firewall pode fornecer gerenciamento de segurança para dois tipos de arquitetura de rede:

  • Hub Virtual Seguro – será o nome fornecido para qualquer Hub de WAN Virtual do Azure quando as políticas de segurança e roteamento forem associadas a ele. Um Hub de WAN Virtual do Azure é um recurso gerenciado pela Microsoft que possibilita criar arquiteturas de hub e spoke facilmente.
  • Rede Virtual do Hub – será o nome dado a qualquer rede virtual do Azure padrão quando as políticas de segurança forem associadas a ele. Uma rede virtual do Azure padrão é um recurso que você cria e gerencia por conta própria. Neste momento, apenas a Política de Firewall do Azure é compatível. Você pode emparelhar redes virtuais que contêm os serviços e servidores da sua carga de trabalho. Você também pode gerenciar firewalls em redes virtuais autônomas que não são emparelhadas com nenhum spoke.

Recursos do Gerenciador de Firewall do Azure

Os principais recursos oferecidos pelo Gerenciador de Firewall do Azure são:

  • Implantação e configuração do Firewall Central do Azure

    Você pode implantar e configurar centralmente várias instâncias do Firewall do Azure que abrangem diferentes regiões e assinaturas do Azure.

  • Políticas hierárquicas (globais e locais)

    Use o Gerenciador de Firewall do Azure para gerenciar de maneira centralizada as políticas do Firewall do Azure em vários hubs virtuais seguros. Suas equipes de TI centralizadas podem criar políticas globais de firewall para impor políticas de firewall em toda a organização entre as equipes. As políticas de firewall criadas localmente proporcionam um modelo de autoatendimento do DevOps para oferecer maior agilidade.

  • Integrado com segurança como serviço de terceiros para segurança avançada

    Além do Firewall do Azure, você pode integrar provedores de segurança como serviço de terceiros para fornecer proteção de rede adicional para suas conexões de Internet da VNet e da ramificação. Este recurso está disponível somente com implantações de hub virtual seguro (confira acima).

  • Gerenciamento de rotas centralizado

    É possível rotear facilmente o tráfego para o hub protegido para filtragem e registro em logs sem a necessidade de configurar manualmente as Rotas Definidas pelo Usuário (UDR) nos sistemas de redes virtuais spoke. Este recurso está disponível somente com implantações de hub virtual seguro (confira acima).

  • Disponibilidade de região

    Você pode usar as Políticas de Firewall do Azure em várias regiões. Por exemplo, você pode criar uma política na região Oeste dos EUA e ainda usá-la na região Leste dos EUA.

  • Plano de proteção contra DDoS

    Você pode associar suas redes virtuais a um Plano de Proteção contra DDoS no Gerenciador de Firewall do Azure.

  • Gerenciar políticas de Firewall de Aplicativo Web

    Você pode criar e associar políticas de WAF (Firewall de Aplicativo Web) de maneira centralizada para as plataformas de entrega de aplicativos, incluindo o Azure Front Door e o Gateway de Aplicativo do Azure.

Políticas do Gerenciador de Firewall do Azure

A política de Firewall é um recurso do Azure que contém coleções de regra de aplicativo, de rede e de NAT, além de configurações de inteligência contra ameaças. É um recurso global que pode ser usado em várias instâncias do Firewall do Azure em Hubs Virtuais Seguros e Redes Virtuais de Hub. Políticas podem ser criadas do zero ou herdadas de políticas existentes. A herança permite que o DevOps crie políticas de firewall locais sobre a política base obrigatória da organização. As políticas funcionam em regiões e assinaturas diferentes.

Você pode criar uma política de firewall e associações com o Gerenciador de Firewall do Azure. No entanto, você também pode criar e gerenciar políticas usando a API REST, os modelos, o Azure PowerShell e a CLI do Azure. Depois de criar uma política, você pode associá-la a um firewall em um hub de WAN virtual, criando um hub virtual seguro, e/ou a um firewall em uma rede virtual do Azure padrão, criando uma rede virtual de hub.

Diagrama do Gerenciador de Firewall do Azure com três firewalls implantados em VNets de hub diferentes com políticas aplicadas.

Implantar o Gerenciador de Firewall do Azure em Redes Virtuais do Hub

O processo recomendado para implantar o Gerenciador de Firewall do Azure para Redes Virtuais do Hub é o seguinte:

  1. Criar uma política de firewall

    Você pode criar uma nova política, derivar uma política base e personalizar uma política local ou importar regras de um Firewall do Azure existente. Remova as regras NAT de políticas que devem ser aplicadas a vários firewalls.

  2. Criar sua arquitetura de hub e spoke

    Faça isso criando uma Rede Virtual do Hub usando o Gerenciador de Firewall do Azure e redes virtuais spoke de emparelhamento para usar o emparelhamento de rede virtual ou criando uma rede virtual e adicionando conexões de rede virtual e redes virtuais spoke de emparelhamento a ela usando o emparelhamento de rede virtual.

  3. Selecione os provedores de segurança e associe a política de firewall

    Atualmente, somente o Firewall do Azure é um provedor compatível. Isso pode ser feito durante a criação de uma Rede Virtual do Hub ou convertendo uma rede virtual existente em uma Rede Virtual do Hub. Também é possível converter várias redes virtuais.

  4. Configure Rotas Definidas pelo Usuário para rotear o tráfego para o firewall da Rede Virtual do Hub

Implantar o Gerenciador de Firewall do Azure em Hubs Virtuais Seguros

O processo recomendado para implantar o Gerenciador de Firewall do Azure para Hubs Virtuais Seguros é o seguinte:

  1. Criar sua arquitetura de hub e spoke

    Faça isso criando um Hub Virtual Seguro usando o Gerenciador de Firewall do Azure e adicionando conexões de rede virtual ou criando um Hub de WAN Virtual e adicionando conexões de rede virtual.

  2. Selecionar os provedores de segurança

    Isso pode ser feito durante a criação de um Hub Virtual Seguro ou convertendo um Hub de WAN Virtual existente em um Hub Virtual Seguro.

  3. Crie uma política de firewall e associe-a a seu hub

    Poderá ser aplicada apenas se você estiver usando o Firewall do Azure. As políticas de segurança como serviço de terceiros são configuradas por meio da experiência de gerenciamento de parceiros.

  4. Definir as configurações de rota para rotear o tráfego para seu hub virtual protegido

    Você pode rotear facilmente o tráfego para o hub seguro para filtragem e registro sem as UDR (Rotas Definidas pelo Usuário) em redes virtuais spoke usando a página de Configuração de Rota de Hub Virtual Seguro.

Você não pode ter mais de um hub por WAN virtual por região. No entanto, você pode adicionar várias WANs virtuais na região para conseguir isso.

Não é possível ter espaços IP sobrepostos para hubs em uma vWAN.

As conexões de VNet do Hub devem estar na mesma região que o hub.