Opciones de arquitectura de Azure Firewall Manager
Azure Firewall Manager puede proporcionar administración de seguridad para dos tipos de arquitectura de red:
Centro virtual protegido
Un centro de Azure Virtual WAN es un recurso administrado por Microsoft que permite crear fácilmente arquitecturas de tipo hub-and-spoke (centro y radio). Cuando las directivas de seguridad y enrutamiento se asocian a este centro, se conoce como un centro virtual protegido.
Red virtual de centro
Se trata de una red virtual estándar de Azure que crea y administra uno mismo. Cuando las directivas de seguridad están asociadas a este centro de conectividad, se conoce como una red virtual del centro. En este momento, solo se admite la directiva de Azure Firewall. Puede emparejar las redes virtuales de radio que contienen los servidores y servicios de carga de trabajo. También puede administrar los firewalls de redes virtuales independientes que no estén emparejadas con ningún radio.
De comparación
En la tabla siguiente se comparan estas dos opciones de arquitectura, lo que puede ayudarle a decidir cuál es la adecuada para los requisitos de seguridad de la organización:
| Red virtual de centro | Centro virtual protegido | |
|---|---|---|
| Recurso subyacente | Virtual network | Centro de Virtual WAN |
| Centro y radio | Usa emparejamiento de red virtual | Automatizado mediante conexión de red virtual de centro |
| Conectividad local | VPN Gateway de hasta 10 Gbps y 30 conexiones S2S; ExpressRoute | VPN Gateway más escalable de hasta 20 Gbps y 1000 conexiones S2S; ExpressRoute |
| Conectividad de rama automatizada mediante SDWAN | No compatible | Compatible |
| Centros por región | Varias redes virtuales por región | Varios centros virtuales por región |
| Azure Firewall: varias direcciones IP públicas | Proporcionado por el cliente | Generado automáticamente |
| Availability Zones de Azure Firewall | Compatible | Compatible |
| Seguridad avanzada de Internet con seguridad de terceros como asociados de servicio | Conectividad VPN administrada y establecida por el cliente con el servicio asociado que se prefiera | Automatizado a través de la experiencia de administración de asociados y el flujo de proveedor de asociados de seguridad |
| Administración de rutas centralizada para enrutar el tráfico al centro | Ruta definida por el usuario administrada por el cliente | Se admite con BGP |
| Compatibilidad con varios proveedores de seguridad | Compatible con la tunelización forzada configurada manualmente a firewalls de terceros | Compatibilidad automatizada con dos proveedores de seguridad: Azure Firewall para el filtrado de tráfico privado y de terceros para el filtrado de Internet |
| Firewall de aplicaciones web en Application Gateway | Se admite en Virtual Network | Actualmente se admite en redes de radio |
| Aplicación virtual de red | Se admite en Virtual Network | Actualmente se admite en redes de radio |
| Servicio Azure DDoS Protection | Sí | No |