Compartir a través de


Características de Azure Firewall Prémium

Logotipo de la certificación PCI

Azure Firewall Premium proporciona una protección contra amenazas avanzada que satisface las necesidades de entornos altamente confidenciales y regulados, como los sectores de pagos y atención sanitaria.

Las organizaciones pueden usar las características de la referencia de almacén (SKU) Premium, como la inspección de IDPS y TLS para evitar que el malware y los virus se propaguen entre redes en las direcciones lateral y horizontal. Para satisfacer las mayores demandas de rendimiento de la inspección de IDPS y TLS, Azure Firewall Premium usa una SKU de máquina virtual más eficaz. Al igual que la SKU Estándar, la SKU Premium se puede escalar verticalmente sin problemas hasta 100 Gbps e integrarse con zonas de disponibilidad para posibilitar un contrato de nivel de servicio (SLA) del 99,99 %. La SKU prémium cumple con las necesidades del entorno en cuanto al Estándar de seguridad de datos del sector de las tarjetas de pago (PCI DSS).

Diagrama de información general de Azure Firewall Prémium

Azure Firewall Premium incluye las siguientes características:

  • Inspección de TLS: descifra el tráfico saliente, procesa los datos y, luego, los cifra y los envía al destino.
  • IDPS: sistema de detección y prevención de intrusiones en la red (IDPS) que permite supervisar la actividad malintencionada de la red, registrar información sobre esta actividad, notificarla y, opcionalmente, intentar bloquearla.
  • Filtrado de direcciones URL: extiende la funcionalidad de filtrado de nombres de dominio completos de Firewall para que tenga en cuenta direcciones URL completas junto con cualquier ruta de acceso adicional. Por ejemplo, www.contoso.com/a/c en lugar de www.contoso.com.
  • Categorías web: los administradores pueden permitir o denegar el acceso de los usuarios a categorías de sitios web como, por ejemplo, sitios web de apuestas, de redes sociales u otros.

Para comparar las características de Azure Firewall para todas las SKU de firewall, consulte Elección de la SKU de Azure Firewall adecuada para satisfacer sus necesidades.

La inspección de TLS

El protocolo TLS (Seguridad de la capa de transporte) proporciona principalmente criptografía para lograr privacidad, integridad y autenticidad mediante certificados entre dos, o más, aplicaciones que hayan establecido comunicación. Se ejecuta en el nivel de aplicación y se usa profusamente para cifrar el protocolo HTTP.

El tráfico cifrado tiene un posible riesgo de seguridad y puede ocultar la actividad ilícita de los usuarios y el tráfico malintencionado. Azure Firewall sin la inspección de TLS (como se muestra en el diagrama siguiente) no tiene visibilidad sobre los datos que fluyen en el túnel TLS cifrado, por lo que no puede proporcionar una cobertura de protección completa.

El segundo diagrama muestra cómo Azure Firewall Premium finaliza e inspecciona las conexiones de TLS para detectar, alertar y mitigar actividades malintencionadas en HTTPS. El firewall crea realmente dos conexiones TLS dedicadas: una con el servidor web (contoso.com) y otra con el cliente. Mediante el certificado de entidad de certificación proporcionado por el cliente, se genera un certificado sobre la marcha que reemplaza el certificado de servidor web y lo comparte con el cliente para establecer la conexión TLS entre el firewall y el cliente.

Azure Firewall sin inspección de TLS: TLS de un extremo a otro para la versión estándar de Azure Firewall

Azure Firewall con inspección de TLS: TLS con Azure Firewall Premium

Los siguientes casos de uso son compatibles con Azure Firewall:

  • Inspección de TLS saliente

    Para ofrecer protección contra el tráfico malintencionado que se envía desde un cliente interno hospedado en Azure a Internet.

  • Inspección de TLS este-oeste (incluye el tráfico que va desde o hacia una red local)

    Para proteger las cargas de trabajo de Azure frente al tráfico malintencionado enviado desde dentro de Azure.

El siguiente caso de uso es compatible con Azure Web Application Firewall en Azure Application Gateway:

Sugerencia

TLS 1.0 y 1.1 están en desuso y no tendrán soporte técnico. Se ha detectado que las versiones TLS 1.0 y 1.1 de TLS/Capa de sockets seguros (SSL) son vulnerables y, aunque todavía funcionan para permitir la compatibilidad con versiones anteriores, no se recomiendan. Migre a la versión TLS 1.2 lo antes posible.

Para más información sobre los requisitos de los certificados de la entidad de certificación intermedia de Azure Firewall Premium, consulte Certificados de Azure Firewall Premium.

Para más información sobre la inspección de TLS, consulte Creación de una prueba de concepto para la inspección de TLS en Azure Firewall.

IDPS

Sistema de detección y prevención de intrusiones en la red (IDPS) que permite supervisar la actividad malintencionada de la red, registrar información sobre esta actividad, notificarla y, opcionalmente, intentar bloquearla.

Azure Firewall Premium proporciona un IDPS basado en firma que permite detectar ataques rápidamente mediante la búsqueda de patrones específicos, como secuencias de bytes en el tráfico de red o las secuencias de instrucciones malintencionadas conocidas que utiliza el malware. Las firmas IDPS son aplicables para el tráfico de aplicación y de nivel de red (capas 3-7). Están totalmente administrados y se actualizan continuamente. IDPS se puede aplicar al tráfico entrante, de radio a radio (horizontal de derecha a izquierda) y saliente. Radio a radio (Horizontal de derecha a izquierda) incluye tráfico que va desde o hacia una red local. Puede configurar los intervalos de direcciones IP privadas de IDPS mediante la característica Intervalos IP privados. Para obtener más información, consulte Intervalos IP privados de IDPS.

Las firmas y los conjuntos de reglas de Azure Firewall incluyen:

  • Énfasis en la aplicación de la huella digital al malware real, comando y control, kits de vulnerabilidad de seguridad y en la actividad malintencionada descontrolada que se omiten en los métodos de prevención tradicionales.
  • Más de 67 000 reglas en más de 50 categorías.
    • Las categorías incluyen comando y control de malware, suplantación de identidad (phishing), troyanos, redes de robots (botnets), eventos informativos, vulnerabilidades de seguridad, protocolos de red SCADA, actividad del kit de vulnerabilidades de seguridad, etc.
  • Se publican entre 20 y 40 reglas nuevas o más cada día.
  • Baja puntuación de falsos positivos mediante el uso de técnicas de detección de malware de última generación como el bucle de comentarios de red del sensor global.

IDPS permite detectar ataques en todos los puertos y protocolos para el tráfico no cifrado. Sin embargo, cuando hay que inspeccionar el tráfico HTTPS, Azure Firewall puede usar su funcionalidad de inspección de TLS para descifrar el tráfico y detectar mejor las actividades malintencionadas.

La lista de omisión de IDPS es una configuración que le permite no filtrar el tráfico a ninguna de las direcciones IP, los intervalos y las subredes especificados en la lista de omisión. La lista de omisión de IDPS no está pensada para mejorar el rendimiento, ya que el firewall sigue sujeto al rendimiento asociado a su caso de uso. Para más información, consulte Rendimiento de Azure Firewall.

Captura de pantalla en la que se muestra la pantalla de la lista de omisión de IDPS.

Intervalos IP privados de IDPS

En Azure Firewall Premium IDPS, los intervalos de direcciones IP privadas se usan para identificar si el tráfico es entrante, saliente o interno (Este-Oeste). Cada firma se aplica en una dirección del tráfico específica, como se indica en la tabla de reglas de firma. De manera predeterminada, solo los intervalos definidos por IANA RFC 1918 se consideran direcciones IP privadas. Por lo tanto, el tráfico enviado desde un intervalo de direcciones IP privadas a un intervalo de direcciones IP privadas se considera interno. Para modificar las direcciones IP privadas, ahora puede editar, quitar o agregar intervalos fácilmente según sea necesario.

Captura de pantalla que muestra intervalos IP privados de IDPS.

Reglas de firma de IDPS

Las reglas de firma de IDPS le permiten:

  • Personalice una o varias firmas, y cambie su modo a Deshabilitado, Alerta o Alertar y Denegar. El número máximo de reglas IDPS personalizadas no debe superar 10 000.

    Por ejemplo, si recibe un falso positivo en el que una solicitud legítima es bloqueada por Azure Firewall debido a una firma con errores, puede utilizar el id. de la firma de los registros de reglas de red y establecer el modo IDPS en "off". Esto hace que la firma "defectuosa" se omita y resuelva el problema de falsos positivos.

  • Puede aplicar el mismo procedimiento de ajuste para las firmas que están creando demasiadas alertas de prioridad baja y, por lo tanto, interferir con la visibilidad de las alertas de prioridad alta.

  • Obtención de una vista holística de más de 67 000 firmas

  • Búsqueda inteligente

    Permite buscar en toda la base de datos de firmas por cualquier tipo de atributo. Por ejemplo, para buscar un CVE-ID concreto que detecte qué firmas se encargan de esta CVE, escriba el identificador en la barra de búsqueda.

Las reglas de firma de IDPS tienen las siguientes propiedades:

Columna Descripción
Id. de firma Id. interno de cada firma. Este id. también se presenta en las reglas de red de Azure Firewall.
Modo Indica si la firma está activa o no, y si el firewall elimina o alerta sobre el tráfico coincidente. El siguiente modo de firma puede invalidar el modo IDPS
- Deshabilitada: la firma no está habilitada en el firewall.
- Alertar: recibirá alertas cuando se detecte tráfico sospechoso.
- Alerta y denegación: recibirá alertas y se bloquea el tráfico sospechoso. Algunas categorías de firmas están definidas como "Solo Alerta", por lo tanto, de forma predeterminada, el tráfico que coincide con sus firmas no se bloquea aunque el modo IDPS esté configurado como "Alerta y Denegación". Es posible invalidar esto personalizando estas firmas específicas en el modo Alertar y denegar.

El modo de firma de IDPS viene determinado por uno de los siguientes motivos:

1. Definido por modo de directiva: el modo de firma se deriva del modo IDPS de la directiva existente.
2. Definido por la directiva primaria: el modo de firma se deriva del modo IDPS de la directiva primaria.
3. Invalidado: puede invalidar y personalizar el modo firma.
4. Definido por el sistema: el modo de firma se establece en Solo alertar por el sistema debido a su categoría. Es posible invalidar este modo de firma.

Nota: Las alertas de IDPS están disponibles en el portal a través de una consulta de registro de reglas de red.
severity Cada firma tiene un nivel de gravedad asociado que indica la probabilidad de que la firma sea un ataque real.
- Baja (prioridad 3): un evento anómalo es aquel que normalmente no se produce en una red o del que no se registran eventos informativos. La probabilidad de ataque es baja.
- Medio (prioridad 2): la firma indica un ataque de naturaleza sospechosa. El administrador debe investigar más.
- Alto (prioridad 1): las firmas de ataque indican que se está iniciando un ataque de naturaleza grave. Hay poca probabilidad de que los paquetes tengan un propósito legítimo.
Dirección Dirección del tráfico a la que se aplica la firma.

- Entrada: la firma solo se aplica al tráfico que llega desde Internet y se destina al intervalo de direcciones IP privadas configuradas.
- Salida: la firma solo se aplica al tráfico que se envía desde el intervalo de direcciones IP privadas configuradas a Internet.
- Interno: la firma solo se aplica al tráfico que se envía desde el intervalo de direcciones IP privadas configuradas a Internet.
- Interna o entrante: la firma se aplica al tráfico que llega desde el intervalo de direcciones IP privadas configurado o desde Internet y está destinado al intervalo de direcciones IP privadas configurado.
- Interna o saliente: la firma se aplica al tráfico enviado desde el intervalo de direcciones IP privadas configurado y destinado al intervalo de direcciones IP privadas configurado o a Internet.
- Cualquiera: la firma siempre se aplica en cualquier dirección del tráfico.
Grupo Nombre del grupo al que pertenece la firma.
Descripción Estructurado a partir de las tres partes siguientes:
- Nombre de categoría: el nombre de categoría al que pertenece la firma, tal y como se describe en Categorías de reglas de firma IDPS de Azure Firewall.
- Descripción del alto nivel de la firma
- CVE-ID (opcional) en el caso de que la firma esté asociada a una CVE específica.
Protocolo Protocolo asociado a la firma.
Puertos de origen y destino Puertos asociados a esta firma.
Última actualización La última fecha en que se introdujo o modificó esta firma.

Captura de pantalla que muestra las columnas de la regla de signatura de IDPS.

Para obtener más información sobre IDPS, consulte Prueba de Azure Firewall IDPS.

Filtrado para direcciones URL

El filtrado de direcciones URL extiende la funcionalidad de filtrado de nombres de dominio completos de Azure Firewall para que tenga en cuenta direcciones URL completas. Por ejemplo, www.contoso.com/a/c en lugar de www.contoso.com.

El filtrado de direcciones URL se puede aplicar al tráfico HTTP y HTTPS. Cuando se inspecciona el tráfico HTTPS, Azure Firewall Premium puede usar su funcionalidad de inspección de TLS para descifrar el tráfico y extraer la dirección URL de destino para validar si se permite el acceso. La inspección de TLS requiere participación en el nivel de reglas de la aplicación. Una vez habilitada, puede usar las direcciones URL para filtrar con HTTPS.

Categorías web

Las categorías web hacen que los administradores puedan permitir o denegar el acceso de los usuarios a categorías de sitios web como, por ejemplo, sitios web de apuestas, de redes sociales u otros. Las categorías web también se incluyen en Azure Firewall Estándar, pero son más avanzadas en Azure Firewall Premium. Frente a la funcionalidad de categorías web de la SKU Estándar que coincide con la categoría basada en un nombre de dominio completo, la SKU Prémium coincide con la categoría según la dirección URL completa tanto para el tráfico HTTP como para el HTTPS.

Azure Firewall las categorías web Premium solo están disponibles en las directivas de firewall. Asegúrate de que la SKU de directiva coincida con la SKU de la instancia del firewall. Por ejemplo, si tienes una instancia de Firewall Premium, debes usar una directiva Firewall Premium.

Por ejemplo, si Azure Firewall intercepta una solicitud HTTPS para www.google.com/news, se espera la siguiente categorización:

  • Firewall Estándar: solo se examina la parte del nombre de dominio completo, por lo que www.google.com se clasifica como Motor de búsqueda.

  • Firewall Premium: se examina la dirección URL completa, por lo que se www.google.com/news clasifica como Noticias.

Las categorías se organizan en función de la gravedad en Responsabilidad, Ancho de banda alto, Uso empresarial, Pérdida de productividad, Navegación general y Sin categoría. Para obtener una descripción detallada de las categorías web, vea Categorías web de Azure Firewall.

Registro de categorías web

Puede ver el tráfico filtrado por Categorías web en los registros de aplicaciones. El campo Categorías web solo se muestra si se ha configurado explícitamente en las reglas de aplicación de directivas de firewall. Por ejemplo, si no dispone de una regla que deniegue explícitamente los motores de búsqueda y un usuario solicita ir a www.bing.com, solo se muestra un mensaje de denegación predeterminado en lugar de un mensaje de categorías web. Esto se debe a que la categoría web no se configuró explícitamente.

Excepciones de las categorías

Puede crear excepciones a las reglas de la categoría web. Cree una colección de reglas de permiso o denegación independiente con una prioridad más alta dentro del grupo de recopilación de reglas. Por ejemplo, puede configurar una colección de reglas que permita www.linkedin.com con prioridad 100, con una colección de reglas que deniegue las redes sociales con prioridad 200. Esto creará la excepción para la categoría web Redes sociales predefinida.

Puede identificar a qué categoría corresponden un FQDN o una dirección URL determinados mediante la característica de comprobación de categorías web. Para usarlo, seleccione la pestaña Categorías web en Configuración de directiva de firewall. Esto resulta útil al definir las reglas de aplicación del tráfico de destino.

Cuadro de diálogo de búsqueda de categorías de firewall

Importante

Para usar la característica Comprobación de categorías web, el usuario debe tener acceso a Microsoft.Network/azureWebCategories/* para el nivel de suscripción, no el nivel de grupo de recursos.

Cambio de categoría

En la pestaña Web Categories (Categorías web) de Firewall Policy Settings (Configuración de directiva de firewall), puede solicitar un cambio de categoría si:

  • Cree que un FQDN o una dirección URL deben estar en otra categoría

    o bien

  • Tiene una categoría sugerida para un FQDN o una dirección URL sin categoría

Una vez que envíe un informe de cambio de categoría, se le proporcionará un token en las notificaciones que indican que hemos recibido la solicitud de procesamiento. Puede comprobar si la solicitud está en curso, denegada o aprobada si escribe el token en la barra de búsqueda. Asegúrese de guardar el id. de token para hacerlo.

Cuadro de diálogo de informe de categoría de firewall

Categorías web que no admiten la terminación TLS

Debido a motivos de privacidad y cumplimiento, cierto tráfico web cifrado no se puede descifrar mediante la terminación TLS. Por ejemplo, los datos de estado de los empleados transmitidos a través del tráfico web mediante una red corporativa no deberían terminarse con TLS debido a motivos de privacidad.

Como resultado, las siguientes categorías web no admiten la terminación TLS:

  • Education
  • Finance
  • Gobierno
  • Salud y medicina

Como solución alternativa, si desea que una dirección URL específica admita la terminación TLS, agregue manualmente una o más direcciones URL con la terminación TLS en las reglas de aplicación. Por ejemplo, puede agregar www.princeton.edu a las reglas de aplicación para permitir este sitio web.

Regiones admitidas

Para ver las regiones admitidas para Azure Firewall, consulte Productos de Azure disponibles por región.

Pasos siguientes