Quando usar o Firewall do Azure

Concluído

Você sabe o que é o Firewall do Azure e como ele funciona. Agora, você precisa de alguns critérios que ajudarão a avaliar se o Firewall do Azure e o Gerenciador de Firewall do Azure são opções adequadas para sua empresa. Para ajudar você a decidir, vamos considerar os seguintes cenários:

  • Você quer proteger sua rede contra infiltração.
  • Você quer proteger sua rede contra erros do usuário.
  • Sua empresa inclui comércio eletrônico ou pagamentos com cartão de crédito.
  • Você quer configurar a conectividade spoke a spoke.
  • Você quer monitorar o tráfego de entrada e de saída.
  • Sua rede requer vários firewalls.
  • Você quer implementar políticas de firewall hierárquicas.

Como parte da avaliação do Firewall do Azure e do Gerenciador de Firewall do Azure, você sabe que a Contoso enfrentou vários desses cenários. Leia as seções correspondentes a seguir para obter mais detalhes.

Você quer proteger sua rede contra infiltração

Um objetivo comum de muitos atores mal-intencionados é infiltrar sua rede. Esses intrusos podem querer usar seus recursos de rede ou examinar, roubar ou destruir dados confidenciais ou proprietários.

O Firewall do Azure foi criado para ajudar a evitar tais intrusões. Por exemplo, um hacker mal-intencionado pode tentar infiltrar a rede solicitando acesso a um recurso de rede. O Firewall do Azure usa a inspeção com estado dos pacotes de rede para examinar o contexto dessas solicitações. Se uma solicitação for uma resposta a atividades legítimas anteriores, o firewall provavelmente a permitirá; se uma solicitação vier aparentemente do nada, como uma solicitação enviada por um suposto infiltrado, o firewall a negará.

Você quer proteger sua rede contra erros do usuário

Talvez o método mais comum para infiltrar uma rede ou instalar malware em um computador da rede seja induzir um usuário da rede a clicar em um link em uma mensagem de email. Esse link leva o usuário a um site mal-intencionado controlado por hackers que instala o malware ou que induz o usuário a inserir as credenciais de rede.

O Firewall do Azure impede esses ataques usando a inteligência contra ameaças para negar o acesso a endereços IP e domínios mal-intencionados conhecidos.

Sua empresa inclui comércio eletrônico ou pagamentos com cartão de crédito

Sua empresa tem um componente de comércio eletrônico ou processa pagamentos com cartão de crédito online? Se for o caso, talvez ela precise cumprir o PCI DSS (Padrão de Segurança de Dados do Setor de Cartão de Pagamento). O PCI DSS é um conjunto de padrões de segurança criado e mantido pelo Conselho de Padrões de Segurança da PCI. Para obter a conformidade com o PCI, o PCI DSS lista uma dúzia de requisitos. Este é o primeiro requisito:

  • Instalar e manter uma configuração de firewall para proteger os dados do titular do cartão.

O PCI DSS especifica que você precisa definir uma configuração de firewall que restringe todo o tráfego de entrada e de saída de hosts e redes não confiáveis. O firewall também deve negar todos os outros tráfegos, exceto pelos protocolos necessários para processar os cartões de pagamento.

Você quer configurar a conectividade spoke a spoke

Uma topologia de rede hub e spoke típica tem as seguintes características:

  • Uma rede virtual que atua como um ponto de conexão central – o hub.
  • Uma ou mais redes virtuais emparelhadas ao hub – os spokes. Uma rede local conectada por meio de um circuito da ExpressRoute ou de um gateway VPN também pode ser considerada um spoke nessa topologia.

As redes spoke podem trocar dados com o hub, mas os spokes não podem se comunicar diretamente entre si. Talvez seja necessária uma conexão direta. Por exemplo, uma rede spoke pode hospedar uma API (interface de programação de aplicativo) que requer informações de um Banco de Dados SQL implantado em um spoke diferente.

Uma solução é emparelhar as redes spoke entre si. Isso funciona para algumas dessas conexões, mas pode crescer rapidamente à medida que o número de conexões aumenta.

Uma solução mais fácil e mais segura é usar o Firewall do Azure para configurar a conectividade direta entre spokes. Você atinge essa conectividade primeiro implantando uma instância do Firewall do Azure no hub. Em seguida, você configura as redes virtuais spoke com UDRs (rotas definidas pelo usuário) que roteiam dados especificamente através do firewall e para o outro spoke.

Diagrama de rede de uma conexão spoke a spoke entre uma máquina virtual e um Banco de Dados SQL por meio do Firewall do Azure.

Você quer monitorar o tráfego de entrada e de saída

Sua empresa pode querer analisar relatórios detalhados sobre o tráfego de rede de entrada e de saída. Há muitas razões para exigir tais relatórios, que incluem conformidade regulatória, aplicação de políticas da empresa sobre o uso da Internet e solução de problemas.

Você pode configurar o Firewall do Azure para manter logs de diagnóstico de quatro tipos de atividade de firewall:

  • Regras de aplicativo
  • Regras de rede
  • Inteligência contra ameaças
  • Proxy DNS

Por exemplo, o log das regras de aplicativo do firewall pode incluir entradas como a seguinte para uma solicitação de saída:

  • Solicitação HTTP de 10.1.0.20:24352 para somewebsite.com:443. Ação: Permitir. Coleção de regras: collection100. Regra: rule105

De maneira semelhante, o log das regras de rede do firewall pode incluir entradas como a seguinte para uma solicitação de entrada:

  • Solicitação TCP de 73.121.236.17:12354 para 10.0.0.30:3389. Ação: Negar

Depois de habilitar o log de diagnóstico, você pode monitorar e analisar os logs das seguintes maneiras:

  • Você pode examinar os logs diretamente no formato JSON nativo.
  • Você pode examinar os logs no Azure Monitor.
  • Você pode examinar e analisar os logs na pasta de trabalho do Firewall do Azure.

Sua rede requer vários firewalls

Se o volume de memória do Azure de sua empresa abranger várias regiões do Azure, você terá várias conexões com a Internet, o que significa que precisará ter uma instância de firewall implantada para cada uma dessas conexões. Você pode configurar e gerenciar esses firewalls separadamente, mas isso cria vários problemas:

  • Gerenciar vários firewalls é uma grande quantidade de trabalho.
  • Alterações em configurações e regras globais devem ser propagadas para todos os firewalls.
  • É difícil manter a consistência entre todos os firewalls.

O Gerenciador de Firewall do Azure resolve esses problemas fornecendo a você uma interface de gerenciamento central para cada instância do Firewall do Azure em todas as suas regiões e assinaturas do Azure. Você pode criar políticas de firewall e aplicá-las a todos os firewalls para manter a consistência. Alterações em uma política são propagadas automaticamente para todas as instâncias do firewall.

Você quer implementar políticas de firewall hierárquicas

Muitas empresas menores podem usar uma política de firewall de tamanho único. Ou seja, empresas pequenas geralmente podem criar apenas uma política de firewall que se aplica a todos os usuários e recursos na rede.

No entanto, para empresas maiores, uma abordagem mais elaborada e detalhada é necessária. Por exemplo, considere os dois seguintes cenários:

  • Uma oficina de DevOps pode ter uma rede virtual para desenvolver um aplicativo, outra para preparar o aplicativo e uma terceira para a versão de produção do aplicativo.
  • Uma grande empresa pode ter equipes separadas para usuários de banco de dados, engenharia e vendas. Cada uma dessas equipes tem o próprio conjunto de aplicativos em execução em redes virtuais separadas.

Embora existam regras de firewall comuns a todos, os usuários e recursos em cada rede virtual exigem regras de firewall específicas. Sendo assim, empresas maiores quase sempre exigem políticas de firewall hierárquicas. Políticas de firewall hierárquicas são compostas pelos dois seguintes componentes:

  • Uma política de firewall de base que implementa as regras que precisam ser impostas em toda a empresa.
  • Uma ou mais políticas de firewall locais que implementam regras específicas para um aplicativo, uma equipe ou um serviço específico. As políticas locais herdam a política de firewall de base e adicionam regras relacionadas ao aplicativo, à equipe ou ao serviço subjacente.

Usando o Gerenciador de Firewall do Azure, você pode configurar uma política de firewall de base e criar políticas locais que herdam a política de base e implementam regras específicas projetadas para o recurso subjacente.