Implementación de Azure Firewall y máquinas virtuales de IaaS de Windows
- 10 minutos
Como administrador del sistema de Contoso, se encarga de evaluar todas las posibles mitigaciones para proteger el tráfico de la empresa. Además de NSG y la Protección de red adaptable, está pensando en implementar Microsoft Azure Firewall.
¿Qué es Azure Firewall?
Azure Firewall es un servicio seguridad de red basado en la nube. Puede usar Azure Firewall para ayudar a proteger los recursos de Azure Virtual Network. Mediante el uso de Azure Firewall, puede crear y administrar de forma centralizada perfiles de conectividad de red en toda la organización.
Azure Firewall usa una dirección IP pública estática para los recursos de red virtual. Por lo tanto, los firewalls externos pueden identificar el tráfico que se origina en la red virtual de la organización. Azure Firewall también está totalmente integrado con Azure Monitor, lo que habilita la compatibilidad con el registro y el análisis.
Características clave de Azure Firewall
Azure Firewall es un firewall con estado como servicio y ofrece las características que se describen en la tabla siguiente.
| Característica | Descripción |
|---|---|
| Alta disponibilidad integrada | Dado que Azure Firewall tiene alta disponibilidad de manera predeterminada, no es necesario configurar equilibradores de carga. |
| Zonas de disponibilidad | Puede configurar Azure Firewall para abarcar varias regiones que admiten Availability Zones en Azure a fin de proporcionar una mayor disponibilidad. Esto proporciona un aumento del tiempo de actividad al 99,99 %. Nota: Solo puede configurar zonas de disponibilidad la primera vez que implemente Azure Firewall. |
| Escalabilidad a la nube sin restricciones | Azure Firewall escala verticalmente según sea necesario para dar cabida a los volúmenes de tráfico cambiante de la organización. |
| Reglas de filtrado de FQDN de aplicación | Mediante el uso de reglas de filtrado basadas en nombres de dominio completos (FQDN), puede limitar el tráfico de HTTP, HTTPS y de Azure SQL de salida a los FQDN designados. Nota: Se admiten los nombres con caracteres comodín. |
| Reglas de filtrado de tráfico de red | Puede crear reglas de filtrado de red de forma central para permitir o denegar mediante el uso de dirección IP de origen y destino, el puerto y el protocolo. Dado que Azure Firewall es con estado completo, puede distinguir los paquetes legítimos de diferentes tipos de conexiones. Las reglas se aplican y se registran en varias redes virtuales y, en caso necesario, en varias suscripciones. |
| Etiquetas FQDN | Las etiquetas FQDN ayudan a simplificar la creación de reglas que permiten el tráfico de red de servicios bien conocidos de Azure a través de tu firewall. Por ejemplo, puede crear una regla de aplicación para permitir el tráfico desde Windows Update al incluir la etiqueta Windows Update en la regla. Puede encontrar más información al respecto en Información general de las etiquetas FQDN. |
| Etiquetas de servicio | Puede usar Etiqueta de servicio de Azure Firewall para representar un grupo de prefijos de direcciones IP. Esto puede ayudar a reducir la complejidad al crear reglas de seguridad. Nota: No puede crear sus propias etiquetas de servicio ni definir qué prefijos de direcciones IP se incluyen en una etiqueta. Microsoft administra los prefijos de dirección y las etiquetas de servicio. |
| Información sobre amenazas | Para que le alerte sobre las direcciones IP y los dominios malintencionados conocidos (y para denegar el tráfico hacia y desde estos), puede habilitar el filtrado basado en la inteligencia sobre amenazas para el firewall. Para obtener más información, consulte Filtrado basado en inteligencia sobre amenazas de Azure Firewall. Nota: Microsoft proporciona detalles sobre las direcciones IP y los dominios potencialmente malintencionados a través de la fuente de Inteligencia sobre amenazas de Microsoft. |
| Compatibilidad con SNAT saliente | Azure Firewall traduce todas las direcciones IP de tráfico de red virtual de salida a la IP pública de Azure Firewall. Esta traducción se conoce como Traducción de direcciones de red de origen (SNAT). Puede identificar y permitir el tráfico procedente de la red virtual de la organización a destinos de Internet remotos. Si su organización usa un intervalo de IP públicas para las redes privadas, Azure Firewall aplicará SNAT al tráfico para una de las direcciones IP privadas de firewall en AzureFirewallSubnet. También puede configurar Azure Firewall de modo que no aplique SNAT al intervalo de IP públicas. Para obtener más información, consulte Intervalos de direcciones IP privadas de SNAT de Azure Firewall. Nota: Azure Firewall no realiza SNAT cuando la IP de destino es un intervalo de direcciones IP privadas definido en la Solicitud IANA para el comentario 1918. |
| Compatibilidad con DNAT entrante | Azure Firewall usa la Traducción de direcciones de red de destino (DNAT) para traducir todo el tráfico entrante de Internet que llegue a la IP pública del firewall. Azure Firewall filtra el tráfico a las direcciones IP privadas de las redes virtuales de la organización. |
| Varias direcciones IP públicas | Puede asociar hasta 250 direcciones IP públicas con Azure Firewall. |
| Registro de Azure Monitor | Todos los eventos de Azure Firewall se integran en Azure Monitor, lo que permite archivar registros en una cuenta de almacenamiento, transmitir eventos al centro de eventos o enviarlos a los registros de Azure Monitor. Para obtener más información, consulte el Tutorial: Supervisión de métricas y registros de Azure Firewall. |
| Tunelización forzada | Puede configurar Azure Firewall para enrutar todo el tráfico saliente de Internet a un próximo salto designado, como un servidor perimetral local u otra aplicación virtual de red (NVA). Para obtener más información, consulte Tunelización forzada de Azure Firewall. |
| Certificaciones | Azure Firewall es compatible con la industria de tarjetas de pago (PCI), los controles de organización de servicio (SOC), la Organización internacional de normalización (ISO) y con ICSA Labs. |
Nota:
Visite Preguntas frecuentes de Azure Firewall para obtener más información sobre Azure Firewall.
Modelo de implementación típico
Puede implementar Azure Firewall en cualquier red virtual. La mayoría de los suscriptores de Azure implementan Azure Firewall en un modelo de hub-and-spoke. La red virtual central –el concentrador– hospeda el firewall. Es posible configurar redes virtuales adicionales (los radios) para que se conecten con la red virtual del firewall del concentrador.
Sugerencia
El modelo de concentrador y radio permite a los administradores ejercer de forma centralizada el control en varias redes virtuales de radios, incluso en varias suscripciones.
Nota:
Para obtener el mejor rendimiento, debe implementar un firewall en cada región.
Control del acceso de red saliente
La administración y el control del acceso de red saliente es una parte fundamental del plan de seguridad de red de una organización. Los motivos para administrar el tráfico saliente pueden incluir el querer lo siguiente:
- Limitar el acceso a los sitios web.
- Limitar los puertos y las direcciones IP salientes a los que pueden acceder los usuarios.
Puede usar Azure Firewall para controlar el acceso de red saliente desde una subred de Azure. Con Azure Firewall, puede configurar:
- Reglas de aplicación que definen los FQDN a los que los usuarios pueden acceder desde una subred.
- Reglas de red que definen la dirección IP de origen, el protocolo, el puerto de destino y la dirección IP de destino.
Nota:
Las reglas que configures se aplican al tráfico de red cuando dirijas el tráfico de red al firewall como la puerta de enlace por defecto de la subred.
Control del acceso de red entrante
Puede usar las reglas de traducción de direcciones de red (NAT) para administrar el acceso de red entrante con Azure Firewall. De forma específica, DNAT de Azure Firewall se puede configurar para traducir y filtrar el tráfico de Internet entrante a las subredes.
Al configurar DNAT, la acción de colección de la regla NAT está establecida en DNAT. Luego, todas las reglas de la colección de reglas NAT pueden usarse para traducir la dirección IP y el puerto públicos del firewall a una dirección IP y puerto privados.
Las reglas DNAT agregan implícitamente una regla de red correspondiente para permitir el tráfico traducido. Para invalidar este comportamiento, agregue explícitamente una colección de reglas de red con reglas de denegación que coinciden con el tráfico traducido.
Nota:
Si tiene un inquilino de Azure de prueba y quiere probar Azure Firewall, revise el ejercicio práctico siguiente: Creación de un entorno de prueba de Azure Firewall.
Precaución
Hay una serie de incidencias conocidas con Azure Firewall. Para obtener más información sobre ellas, consulte ¿Qué es Azure Firewall?, Problemas conocidos.
¿Qué es el firewall de aplicaciones web de Azure?
Los ataques malintencionados tienen como destino las aplicaciones web de forma constante, que buscan aprovechar las vulnerabilidades de red comunes. Por ejemplo, el scripting entre sitios y las inyecciones de código SQL están entre los ataques más comunes.
Puede usar Azure Web Application Firewall para proporcionar protección centralizada de las aplicaciones web contra las vulnerabilidades de seguridad más habituales.
Un firewall de aplicaciones web centralizado permite simplificar la administración de la seguridad. También proporciona un mejor control de la protección contra amenazas e intrusiones.
Una solución de firewall de aplicaciones web puede reaccionar más rápido ante una amenaza de la seguridad mediante la aplicación centralizada de revisiones que aborden una vulnerabilidad conocida, en lugar de proteger de manera individual cada aplicación web.
Puede implementar una instancia de Azure Web Application Firewall con lo siguiente:
- Azure Application Gateway
- Azure Front Door
- Servicio Azure CDN de Microsoft