Projetar e implementar o Firewall do Azure

  • 12 minutos

O Azure Firewall é um serviço de segurança de rede gerido e com base na cloud que protege os recursos da Rede Virtual do Azure. É uma firewall com total monitoração de estado como um serviço com elevada disponibilidade incorporada e escalabilidade da cloud sem restrições.

Diagrama da configuração do firewall do Azure.

Funcionalidades do Azure Firewall

O Firewall do Azure inclui esses recursos.

  • Alta disponibilidade integrada. A alta disponibilidade é integrada, portanto, não são necessários balanceadores de carga extras e não há nada que você precise configurar.

  • Escalabilidade irrestrita na nuvem. O Firewall do Azure pode expandir tanto quanto você precisa para acomodar fluxos de tráfego de rede variáveis, para que você não precise fazer orçamento para seu pico de tráfego.

  • Regras de filtragem FQDN do aplicativo. Você pode limitar o tráfego HTTP/S de saída ou o tráfego SQL do Azure a uma lista especificada de nomes de domínio totalmente qualificados (FQDN), incluindo curingas. Esse recurso não requer terminação TLS.

  • Regras de filtragem de tráfego de rede. Pode criar centralmente regras de filtragem de rede de permissão ou negação por endereço IP de origem e destino, porta e protocolo. O Azure Firewall tem total monitoração de estado, para conseguir distinguir pacotes legítimos para diferentes tipos de ligações. As regras são impostas e registadas em várias subscrições e redes virtuais.

  • Tags FQDN. Essas tags facilitam a permissão de tráfego de rede de serviço do Azure bem conhecido por meio de seu firewall. Por exemplo, digamos que deseja permitir tráfego de rede do Windows Update através da firewall. Crie uma regra de aplicação e inclua a etiqueta do Windows Update. Agora o tráfego de rede do Windows Update pode fluir através da firewall.

  • Etiquetas de serviço. As etiquetas de serviço representam um grupo de prefixos de endereços IP, que ajudam a minimizar a complexidade da criação de regras de segurança. Você não pode criar sua própria tag de serviço, nem especificar quais endereços IP estão incluídos em uma tag. A Microsoft gere os prefixos de endereço englobados pela etiqueta de serviço e atualiza automaticamente a etiqueta de serviço à medida que os endereços mudam.

  • Informações sobre ameaças. A filtragem baseada em inteligência de ameaças (IDPS) pode ser ativada para que seu firewall alerte e negue tráfego de/para endereços IP e domínios mal-intencionados conhecidos. Os domínios e endereços IP são obtidos a partir do feed das Informações sobre Ameaças da Microsoft.

  • Inspeção TLS. O firewall pode descriptografar o tráfego de saída, processa os dados e, em seguida, criptografa os dados e os envia para o destino.

  • Suporte SNAT de saída. Todos os endereços IP de tráfego de rede virtual de saída são convertidos para o IP público do Firewall do Azure (SNAT (Tradução de Endereço de Rede de Origem)). Pode identificar e permitir tráfego com origem na sua rede virtual para destinos de Internet remotos.

  • Suporte DNAT de entrada. O tráfego de entrada da rede da Internet para o endereço IP público do firewall é traduzido (Tradução de Endereço de Rede de Destino) e filtrado para os endereços IP privados em suas redes virtuais.

  • Vários endereços IP públicos. Você pode associar vários endereços IP públicos (até 250) ao seu firewall, para habilitar cenários específicos de DNAT e SNAT.

  • Registo do Azure Monitor. Todos os eventos são integrados ao Azure Monitor, permitindo que você arquive logs em uma conta de armazenamento, transmita eventos para seus Hubs de Eventos ou envie-os para logs do Azure Monitor.

  • Túnel forçado. Você pode configurar o Firewall do Azure para rotear todo o tráfego vinculado à Internet para um próximo salto designado em vez de ir diretamente para a Internet. Por exemplo, você tem um firewall de borda local ou outro dispositivo virtual de rede (NVA) para processar o tráfego da rede da Internet.

  • Categorias da Web. As categorias da Web permitem que os administradores permitam ou neguem o acesso do usuário a categorias de sites, como sites de jogos, sites de mídia social e outros. As categorias da Web estão incluídas no Azure Firewall Standard, mas são mais ajustadas no Azure Firewall Premium Preview. Ao contrário do recurso de categorias da Web no SKU padrão que corresponde à categoria baseada em um FQDN, o SKU Premium corresponde à categoria de acordo com a URL inteira para o tráfego HTTP e HTTPS.

  • Certificações. O Firewall do Azure é compatível com PCI (Indústria de Cartões de Pagamento), Controles de Organização de Serviços (SOC), Organização Internacional de Padronização (ISO) e ICSA Labs.

Processamento de regras no Firewall do Azure

No Firewall do Azure, você pode configurar regras NAT, regras de rede e regras de aplicativos. Um Firewall do Azure nega todo o tráfego por padrão, até que as regras sejam configuradas manualmente para permitir o tráfego.

Processamento de regras com regras clássicas

Com as regras clássicas, as coleções de regras são processadas de acordo com o tipo de regra em ordem de prioridade, números mais baixos para números mais altos de 100 a 65.000. Um nome de coleção de regras pode ter apenas letras, números, sublinhados, pontos ou hífenes. Também deve começar com uma letra ou um número, e deve terminar com uma letra, um número ou um sublinhado. O comprimento máximo do nome é de 80 caracteres. É uma prática recomendada inicialmente espaçar os números de prioridade da coleção de regras em incrementos de 100. Os incrementos dão espaço para adicionar mais coleções de regras quando necessário.

Processamento de regras com a Política de Firewall

Com a Política de Firewall, as regras são organizadas dentro de Coleções de Regras contidas em Grupos de Coleta de Regras. As coleções de regras podem ser dos seguintes tipos:

  • DNAT (Tradução de Endereço de Rede de Destino)
  • Rede
  • Aplicação

Você pode definir vários tipos de Coleção de Regras em um único Grupo de Coleta de Regras. Você pode definir zero ou mais Regras em uma Coleção de Regras, mas as regras dentro de uma Coleção de Regras devem ser do mesmo tipo.

Com a Política de Firewall, as regras são processadas com base na prioridade do Grupo de Recolha de Regras e na prioridade da Recolha de Regras. Prioridade é qualquer número entre 100 (prioridade mais alta) e 65.000 (prioridade mais baixa). Os Grupos de Coleta de Regras de prioridade mais alta são processados primeiro e, dentro de um Grupo de Coleta de Regras, as Coleções de Regras com a prioridade mais alta são processadas primeiro.

As regras de aplicativo são sempre processadas após as regras de rede, que são sempre processadas após as regras DNAT, independentemente da prioridade e herança de políticas do Grupo de Coleta de Regras ou da Coleção de Regras.

Implantando e configurando o Firewall do Azure

Considere esses fatores ao implantar o Firewall do Azure.

  • O firewall pode criar, impor e registrar centralmente políticas de conectividade de aplicativos e redes em assinaturas e redes virtuais.
  • O firewall usa um endereço IP público estático para seus recursos de rede virtual.
  • O firewall é totalmente integrado ao Azure Monitor para registro em log e análise.

As principais etapas para implantar e configurar o Firewall do Azure são:

  1. Crie um grupo de recursos.
  2. Crie uma rede virtual e sub-redes.
  3. Crie uma VM de carga de trabalho em uma sub-rede.
  4. Implante o firewall e a política na rede virtual.
  5. Crie uma rota de saída padrão.
  6. Configure uma regra de aplicativo.
  7. Configure uma regra de rede.
  8. Configure uma regra de NAT de destino (DNAT).
  9. Teste o firewall.

Verifique o seu conhecimento

1.

Filtragem de qual direção de tráfego o Firewall do Azure suporta?

2.

Qual é o nível de prioridade mais alto para uma regra de segurança?