Planejar, implementar e gerenciar um Firewall do Azure, o Gerenciador de Firewall do Azure e políticas de firewall

Concluído

O Firewall do Azure é um serviço de segurança de firewall de rede inteligente e nativo da nuvem que fornece a melhor proteção contra ameaças para suas cargas de trabalho de nuvem em execução no Azure. É uma firewall com total monitoração de estado como um serviço com elevada disponibilidade incorporada e escalabilidade da cloud sem restrições. Fornece inspeção de tráfego leste-oeste e norte-sul.

O Firewall do Azure é oferecido em três SKUs: Standard, Premium e Basic.

Azure Firewall Standard

O Azure Firewall Standard fornece filtragem de camada 3 a camada 7 (L3-L7) e feeds de inteligência de ameaças diretamente do Microsoft Cyber Security. A filtragem baseada em inteligência de ameaças pode alertar e negar tráfego de/para endereços IP e domínios maliciosos conhecidos que são atualizados em tempo real para proteger contra ataques novos e emergentes.

Azure Firewall Premium

O Firewall Premium do Azure fornece recursos avançados que incluem o sistema de deteção e prevenção de intrusões (IDPS) baseado em assinatura para permitir a deteção rápida de ataques procurando padrões específicos. Esses padrões podem incluir sequências de bytes no tráfego de rede ou sequências de instruções maliciosas conhecidas usadas por malware. Existem mais de 67.000 assinaturas em mais de 50 categorias que são atualizadas em tempo real para proteger contra exploits novos e emergentes. As categorias de exploração incluem malware, phishing, mineração de moedas e ataques de Trojan.

Azure Firewall Basic

O Firewall do Azure Basic destina-se a clientes de pequeno e médio porte (SMB) para proteger seus ambientes de nuvem do Azure. Ele fornece a proteção essencial que os clientes SMB precisam a um preço acessível.

O Firewall do Azure Basic é como o Firewall Standard, mas tem as seguintes limitações principais:

• Suporta apenas o modo de alerta Threat Intel
  
• Unidade de escala fixa para executar o serviço em duas instâncias de back-end de máquina virtual
• Recomendado para ambientes com uma taxa de transferência estimada de 250 Mbps

Azure Firewall Manager

O Azure Firewall Manager é um serviço de gestão de segurança que oferece gestão central de políticas de segurança e de rotas para perímetros de segurança com base na cloud.

O Firewall Manager pode fornecer gestão de segurança para dois tipos de arquitetura de rede:

• Hub virtual seguro
  Um Hub WAN Virtual do Azure é um recurso gerido pela Microsoft que lhe permite criar facilmente arquiteturas de interação com o administrador. Quando as políticas de encaminhamento e segurança são associadas a um hub deste tipo, é designado por hub virtual seguro.
  
• Rede virtual do hub
  Trata-se de uma rede virtual do Azure padrão criada e gerida por si. Quando as políticas de segurança são associadas a esse hub, ele é chamado de rede virtual de hub. No momento, apenas a Política de Firewall do Azure é suportada. Você pode peer spoke redes virtuais que contêm sua carga de trabalho, servidores e serviços. Você também pode gerenciar firewalls em redes virtuais autônomas que não são emparelhadas para nenhum falado.

Recursos do Azure Firewall Manager

O Azure Firewall Manager oferece os seguintes recursos:

Implantação e configuração do Firewall Central do Azure

Você pode implantar e configurar centralmente várias instâncias do Firewall do Azure que abrangem diferentes regiões e assinaturas do Azure.

Políticas hierárquicas (globais e locais)

Você pode usar o Gerenciador de Firewall do Azure para gerenciar centralmente as políticas do Firewall do Azure em vários hubs virtuais protegidos. Suas equipes centrais de TI podem criar políticas globais de firewall para aplicar a política de firewall em toda a organização entre as equipes. As políticas de firewall criadas localmente permitem um modelo de autosserviço de DevOps para maior agilidade.

Integrado com segurança como serviço de terceiros para segurança avançada

Além do Firewall do Azure, você pode integrar provedores de segurança como serviço (SECaaS) de terceiros para fornecer proteção de rede adicional para suas conexões VNet e de filial com a Internet.

Esse recurso está disponível apenas com implantações seguras de hub virtual.

• Filtragem de tráfego VNet to Internet (V2I)

  • Filtre o tráfego de rede virtual de saída com o seu fornecedor de segurança de terceiros preferido.
    
  • Aproveite a proteção avançada da Internet com reconhecimento do usuário para suas cargas de trabalho na nuvem em execução no Azure.

• Filtragem de tráfego de ramificação para Internet (B2I) Aproveite sua conectividade do Azure e distribuição global para adicionar facilmente filtragem de terceiros para cenários de ramificação para Internet.
  

Gestão centralizada de rotas

Encaminhe facilmente o tráfego para o seu hub seguro para filtragem e registro em log sem a necessidade de configurar manualmente as Rotas Definidas pelo Usuário (UDR) em redes virtuais faladas.

Esse recurso está disponível apenas com implantações seguras de hub virtual.

Você pode usar provedores de terceiros para filtragem de tráfego Branch to Internet (B2I), lado a lado com o Firewall do Azure para Branch to VNet (B2V), VNet to VNet (V2V) e VNet to Internet (V2I).

Plano de proteção contra DDoS

Você pode associar suas redes virtuais a um plano de proteção contra DDoS no Gerenciador de Firewall do Azure. Para obter mais informações, consulte Configurar um plano de proteção contra DDoS do Azure usando o Gerenciador de Firewall do Azure.

Gerenciar políticas do Web Application Firewall

Você pode criar e associar centralmente políticas do WAF (Web Application Firewall) para suas plataformas de entrega de aplicativos, incluindo o Azure Front Door e o Azure Application Gateway. Para obter mais informações, consulte Gerenciar políticas do Web Application Firewall.

Disponibilidade da região

As Políticas de Firewall do Azure podem ser usadas entre regiões. Por exemplo, você pode criar uma política no oeste dos EUA e usá-la no leste dos EUA.