Características de Azure Firewall Prémium
Azure Firewall Premium proporciona una protección contra amenazas avanzada que satisface las necesidades de entornos altamente confidenciales y regulados, como los sectores de pagos y atención sanitaria.
Las organizaciones pueden usar las características de la referencia de almacén (SKU) Premium, como la inspección de IDPS y TLS para evitar que el malware y los virus se propaguen entre redes en las direcciones lateral y horizontal. Para satisfacer las mayores demandas de rendimiento de la inspección de IDPS y TLS, Azure Firewall Premium usa una SKU de máquina virtual más eficaz. Al igual que la SKU Estándar, la SKU Premium se puede escalar verticalmente sin problemas hasta 100 Gbps e integrarse con zonas de disponibilidad para posibilitar un contrato de nivel de servicio (SLA) del 99,99 %. La SKU prémium cumple con las necesidades del entorno en cuanto al Estándar de seguridad de datos del sector de las tarjetas de pago (PCI DSS).
Azure Firewall Premium incluye las siguientes características:
- Inspección de TLS: descifra el tráfico saliente, procesa los datos y, luego, los cifra y los envía al destino.
- IDPS: sistema de detección y prevención de intrusiones en la red (IDPS) que permite supervisar la actividad malintencionada de la red, registrar información sobre esta actividad, notificarla y, opcionalmente, intentar bloquearla.
- Filtrado de direcciones URL: extiende la funcionalidad de filtrado de nombres de dominio completos de Firewall para que tenga en cuenta direcciones URL completas junto con cualquier ruta de acceso adicional. Por ejemplo,
www.contoso.com/a/cen lugar dewww.contoso.com. - Categorías web: los administradores pueden permitir o denegar el acceso de los usuarios a categorías de sitios web como, por ejemplo, sitios web de apuestas, de redes sociales u otros.
Para comparar las características de Azure Firewall para todas las SKU de firewall, consulte Elección de la SKU de Azure Firewall adecuada para satisfacer sus necesidades.
La inspección de TLS
El protocolo TLS (Seguridad de la capa de transporte) proporciona principalmente criptografía para lograr privacidad, integridad y autenticidad mediante certificados entre dos, o más, aplicaciones que hayan establecido comunicación. Se ejecuta en el nivel de aplicación y se usa profusamente para cifrar el protocolo HTTP.
El tráfico cifrado tiene un posible riesgo de seguridad y puede ocultar la actividad ilícita de los usuarios y el tráfico malintencionado. Azure Firewall sin la inspección de TLS (como se muestra en el diagrama siguiente) no tiene visibilidad sobre los datos que fluyen en el túnel TLS cifrado, por lo que no puede proporcionar una cobertura de protección completa.
El segundo diagrama muestra cómo Azure Firewall Premium finaliza e inspecciona las conexiones de TLS para detectar, alertar y mitigar actividades malintencionadas en HTTPS. El firewall crea realmente dos conexiones TLS dedicadas: una con el servidor web (contoso.com) y otra con el cliente. Mediante el certificado de entidad de certificación proporcionado por el cliente, se genera un certificado sobre la marcha que reemplaza el certificado de servidor web y lo comparte con el cliente para establecer la conexión TLS entre el firewall y el cliente.
Azure Firewall sin inspección de TLS: 
Azure Firewall con inspección de TLS: 
Los siguientes casos de uso son compatibles con Azure Firewall:
Inspección de TLS saliente
Para ofrecer protección contra el tráfico malintencionado que se envía desde un cliente interno hospedado en Azure a Internet.
Inspección de TLS este-oeste (incluye el tráfico que va desde o hacia una red local)
Para proteger las cargas de trabajo de Azure frente al tráfico malintencionado enviado desde dentro de Azure.
El siguiente caso de uso es compatible con Azure Web Application Firewall en Azure Application Gateway:
Inspección de TLS de entrada
Para proteger los servidores internos o las aplicaciones hospedadas en Azure frente a solicitudes malintencionadas procedentes de Internet o de cualquier red externa. Application Gateway proporciona cifrado de un extremo a otro.
Para obtener información relacionada, consulte:
Sugerencia
TLS 1.0 y 1.1 están en desuso y no tendrán soporte técnico. Se ha detectado que las versiones TLS 1.0 y 1.1 de TLS/Capa de sockets seguros (SSL) son vulnerables y, aunque todavía funcionan para permitir la compatibilidad con versiones anteriores, no se recomiendan. Migre a la versión TLS 1.2 lo antes posible.
Para más información sobre los requisitos de los certificados de la entidad de certificación intermedia de Azure Firewall Premium, consulte Certificados de Azure Firewall Premium.
Para más información sobre la inspección de TLS, consulte Creación de una prueba de concepto para la inspección de TLS en Azure Firewall.
IDPS
Sistema de detección y prevención de intrusiones en la red (IDPS) que permite supervisar la actividad malintencionada de la red, registrar información sobre esta actividad, notificarla y, opcionalmente, intentar bloquearla.
Azure Firewall Premium proporciona un IDPS basado en firma que permite detectar ataques rápidamente mediante la búsqueda de patrones específicos, como secuencias de bytes en el tráfico de red o las secuencias de instrucciones malintencionadas conocidas que utiliza el malware. Las firmas IDPS son aplicables para el tráfico de aplicación y de nivel de red (capas 3-7). Están totalmente administrados y se actualizan continuamente. IDPS se puede aplicar al tráfico entrante, de radio a radio (horizontal de derecha a izquierda) y saliente. Radio a radio (Horizontal de derecha a izquierda) incluye tráfico que va desde o hacia una red local. Puede configurar los intervalos de direcciones IP privadas de IDPS mediante la característica Intervalos IP privados. Para obtener más información, consulte Intervalos IP privados de IDPS.
Las firmas y los conjuntos de reglas de Azure Firewall incluyen:
- Énfasis en la aplicación de la huella digital al malware real, comando y control, kits de vulnerabilidad de seguridad y en la actividad malintencionada descontrolada que se omiten en los métodos de prevención tradicionales.
- Más de 67 000 reglas en más de 50 categorías.
- Las categorías incluyen comando y control de malware, suplantación de identidad (phishing), troyanos, redes de robots (botnets), eventos informativos, vulnerabilidades de seguridad, protocolos de red SCADA, actividad del kit de vulnerabilidades de seguridad, etc.
- Se publican entre 20 y 40 reglas nuevas o más cada día.
- Baja puntuación de falsos positivos mediante el uso de técnicas de detección de malware de última generación como el bucle de comentarios de red del sensor global.
IDPS permite detectar ataques en todos los puertos y protocolos para el tráfico no cifrado. Sin embargo, cuando hay que inspeccionar el tráfico HTTPS, Azure Firewall puede usar su funcionalidad de inspección de TLS para descifrar el tráfico y detectar mejor las actividades malintencionadas.
La lista de omisión de IDPS es una configuración que le permite no filtrar el tráfico a ninguna de las direcciones IP, los intervalos y las subredes especificados en la lista de omisión. La lista de omisión de IDPS no está pensada para mejorar el rendimiento, ya que el firewall sigue sujeto al rendimiento asociado a su caso de uso. Para más información, consulte Rendimiento de Azure Firewall.
Intervalos IP privados de IDPS
En Azure Firewall Premium IDPS, los intervalos de direcciones IP privadas se usan para identificar si el tráfico es entrante, saliente o interno (Este-Oeste). Cada firma se aplica en una dirección del tráfico específica, como se indica en la tabla de reglas de firma. De manera predeterminada, solo los intervalos definidos por IANA RFC 1918 se consideran direcciones IP privadas. Por lo tanto, el tráfico enviado desde un intervalo de direcciones IP privadas a un intervalo de direcciones IP privadas se considera interno. Para modificar las direcciones IP privadas, ahora puede editar, quitar o agregar intervalos fácilmente según sea necesario.
Reglas de firma de IDPS
Las reglas de firma de IDPS le permiten:
Personalice una o varias firmas, y cambie su modo a Deshabilitado, Alerta o Alertar y Denegar.
Por ejemplo, si recibe un falso positivo en el que una solicitud legítima es bloqueada por Azure Firewall debido a una firma con errores, puede utilizar el id. de la firma de los registros de reglas de red y establecer el modo IDPS en "off". Esto hace que la firma "defectuosa" se omita y resuelva el problema de falsos positivos.
Puede aplicar el mismo procedimiento de ajuste para las firmas que están creando demasiadas alertas de prioridad baja y, por lo tanto, interferir con la visibilidad de las alertas de prioridad alta.
Obtención de una visión holística de todas las 55 000 firmas
Búsqueda inteligente
Permite buscar en toda la base de datos de firmas por cualquier tipo de atributo. Por ejemplo, para buscar un CVE-ID concreto que detecte qué firmas se encargan de esta CVE, escriba el identificador en la barra de búsqueda.
Las reglas de firma de IDPS tienen las siguientes propiedades:
| Columna | Descripción |
|---|---|
| Id. de firma | Id. interno de cada firma. Este id. también se presenta en las reglas de red de Azure Firewall. |
| Modo | Indica si la firma está activa o no, y si el firewall elimina o alerta sobre el tráfico coincidente. El siguiente modo de firma puede invalidar el modo IDPS - Deshabilitada: la firma no está habilitada en el firewall. - Alertar: recibirá alertas cuando se detecte tráfico sospechoso. - Alerta y denegación: recibirá alertas y se bloquea el tráfico sospechoso. Algunas categorías de firmas están definidas como "Solo Alerta", por lo tanto, de forma predeterminada, el tráfico que coincide con sus firmas no se bloquea aunque el modo IDPS esté configurado como "Alerta y Denegación". Los clientes pueden invalidar esto personalizando estas firmas específicas en el modo Alertar y denegar. El modo de firma de IDPS viene determinado por uno de los siguientes motivos: 1. Definido por modo de directiva: el modo de firma se deriva del modo IDPS de la directiva existente. 2. Definido por la directiva primaria: el modo de firma se deriva del modo IDPS de la directiva primaria. 3. Invalidado: puede invalidar y personalizar el modo firma. 4. Definido por el sistema: el modo de firma se establece en Solo alertar por el sistema debido a su categoría. Puede invalidar este modo de firma. Nota: Las alertas de IDPS están disponibles en el portal a través de una consulta de registro de reglas de red. |
| severity | Cada firma tiene un nivel de gravedad asociado que indica la probabilidad de que la firma sea un ataque real. - Baja (prioridad 3): un evento anómalo es aquel que normalmente no se produce en una red o del que no se registran eventos informativos. La probabilidad de ataque es baja. - Medio (prioridad 2): la firma indica un ataque de naturaleza sospechosa. El administrador debe investigar más. - Alto (prioridad 1): las firmas de ataque indican que se está iniciando un ataque de naturaleza grave. Hay poca probabilidad de que los paquetes tengan un propósito legítimo. |
| Dirección | Dirección del tráfico a la que se aplica la firma. - Entrada: la firma solo se aplica al tráfico que llega desde Internet y se destina al intervalo de direcciones IP privadas configuradas. - Salida: la firma solo se aplica al tráfico que se envía desde el intervalo de direcciones IP privadas configuradas a Internet. - Interno: la firma solo se aplica al tráfico que se envía desde el intervalo de direcciones IP privadas configuradas a Internet. - Interna o entrante: la firma se aplica al tráfico que llega desde el intervalo de direcciones IP privadas configurado o desde Internet y está destinado al intervalo de direcciones IP privadas configurado. - Interna o saliente: la firma se aplica al tráfico enviado desde el intervalo de direcciones IP privadas configurado y destinado al intervalo de direcciones IP privadas configurado o a Internet. - Cualquiera: la firma siempre se aplica en cualquier dirección del tráfico. |
| Grupo | Nombre del grupo al que pertenece la firma. |
| Descripción | Estructurado a partir de las tres partes siguientes: - Nombre de categoría: el nombre de categoría al que pertenece la firma, tal y como se describe en Categorías de reglas de firma IDPS de Azure Firewall. - Descripción del alto nivel de la firma - CVE-ID (opcional) en el caso de que la firma esté asociada a una CVE específica. |
| Protocolo | Protocolo asociado a la firma. |
| Puertos de origen y destino | Puertos asociados a esta firma. |
| Última actualización | La última fecha en que se introdujo o modificó esta firma. |
Para obtener más información sobre IDPS, consulte Prueba de Azure Firewall IDPS.
Filtrado para direcciones URL
El filtrado de direcciones URL extiende la funcionalidad de filtrado de nombres de dominio completos de Azure Firewall para que tenga en cuenta direcciones URL completas. Por ejemplo, www.contoso.com/a/c en lugar de www.contoso.com.
El filtrado de direcciones URL se puede aplicar al tráfico HTTP y HTTPS. Cuando se inspecciona el tráfico HTTPS, Azure Firewall Premium puede usar su funcionalidad de inspección de TLS para descifrar el tráfico y extraer la dirección URL de destino para validar si se permite el acceso. La inspección de TLS requiere participación en el nivel de reglas de la aplicación. Una vez habilitada, puede usar las direcciones URL para filtrar con HTTPS.
Categorías web
Las categorías web hacen que los administradores puedan permitir o denegar el acceso de los usuarios a categorías de sitios web como, por ejemplo, sitios web de apuestas, de redes sociales u otros. Las categorías web también se incluyen en Azure Firewall Estándar, pero son más avanzadas en Azure Firewall Premium. Frente a la funcionalidad de categorías web de la SKU Estándar que coincide con la categoría basada en un nombre de dominio completo, la SKU Prémium coincide con la categoría según la dirección URL completa tanto para el tráfico HTTP como para el HTTPS.
Azure Firewall las categorías web Premium solo están disponibles en las directivas de firewall. Asegúrate de que la SKU de directiva coincida con la SKU de la instancia del firewall. Por ejemplo, si tienes una instancia de Firewall Premium, debes usar una directiva Firewall Premium.
Por ejemplo, si Azure Firewall intercepta una solicitud HTTPS para www.google.com/news, se espera la siguiente categorización:
Firewall Estándar: solo se examina la parte del nombre de dominio completo, por lo que
www.google.comse clasifica como Motor de búsqueda.Firewall Premium: se examina la dirección URL completa, por lo que se
www.google.com/newsclasifica como Noticias.
Las categorías se organizan en función de la gravedad en Responsabilidad, Ancho de banda alto, Uso empresarial, Pérdida de productividad, Navegación general y Sin categoría. Para obtener una descripción detallada de las categorías web, vea Categorías web de Azure Firewall.
Registro de categorías web
Puede ver el tráfico filtrado por Categorías web en los registros de aplicaciones. El campo Categorías web solo se muestra si se ha configurado explícitamente en las reglas de aplicación de directivas de firewall. Por ejemplo, si no dispone de una regla que deniegue explícitamente los motores de búsqueda y un usuario solicita ir a www.bing.com, solo se muestra un mensaje de denegación predeterminado en lugar de un mensaje de categorías web. Esto se debe a que la categoría web no se configuró explícitamente.
Excepciones de las categorías
Puede crear excepciones a las reglas de la categoría web. Cree una colección de reglas de permiso o denegación independiente con una prioridad más alta dentro del grupo de recopilación de reglas. Por ejemplo, puede configurar una colección de reglas que permita www.linkedin.com con prioridad 100, con una colección de reglas que deniegue las redes sociales con prioridad 200. Esto creará la excepción para la categoría web Redes sociales predefinida.
Búsqueda de categorías web
Puede identificar a qué categoría corresponden un FQDN o una dirección URL determinados mediante la característica de comprobación de categorías web. Para usarlo, seleccione la pestaña Categorías web en Configuración de directiva de firewall. Esto resulta útil al definir las reglas de aplicación del tráfico de destino.
Importante
Para usar la característica Comprobación de categorías web, el usuario debe tener acceso a Microsoft.Network/azureWebCategories/* para el nivel de suscripción, no el nivel de grupo de recursos.
Cambio de categoría
En la pestaña Web Categories (Categorías web) de Firewall Policy Settings (Configuración de directiva de firewall), puede solicitar un cambio de categoría si:
Cree que un FQDN o una dirección URL deben estar en otra categoría
o bien
Tiene una categoría sugerida para un FQDN o una dirección URL sin categoría
Una vez que envíe un informe de cambio de categoría, se le proporcionará un token en las notificaciones que indican que hemos recibido la solicitud de procesamiento. Puede comprobar si la solicitud está en curso, denegada o aprobada si escribe el token en la barra de búsqueda. Asegúrese de guardar el id. de token para hacerlo.
Categorías web que no admiten la terminación TLS
Debido a motivos de privacidad y cumplimiento, cierto tráfico web cifrado no se puede descifrar mediante la terminación TLS. Por ejemplo, los datos de estado de los empleados transmitidos a través del tráfico web mediante una red corporativa no deberían terminarse con TLS debido a motivos de privacidad.
Como resultado, las siguientes categorías web no admiten la terminación TLS:
- Education
- Finance
- Gobierno
- Salud y medicina
Como solución alternativa, si desea que una dirección URL específica admita la terminación TLS, puede agregar manualmente las direcciones URL con la terminación TLS en las reglas de aplicación. Por ejemplo, puede agregar www.princeton.edu a las reglas de aplicación para permitir este sitio web.
Regiones admitidas
Para ver las regiones admitidas para Azure Firewall, consulte Productos de Azure disponibles por región.