Noções básicas sobre firewalls e segurança de rede

  • 10 minutos

Os invasores podem explorar uma rede vulnerável para roubar informações e renderizar serviços e recursos inacessíveis. Um ataque desse à sua organização pode causar perdas financeiras e danos à reputação.

Nesta unidade, obteremos uma visão geral da segurança de rede e de alguns dos diferentes tipos disponíveis. Também aprenderemos sobre zonas de segurança de rede e firewalls. Por fim, exploraremos as ferramentas de segurança de rede usadas para reforçar a proteção de rede no Azure.

Visão geral da segurança de rede

Você precisa ter uma segurança robusta para diagnosticar e impedir vulnerabilidades, ataques e eventos suspeitos na sua rede. Há muitos motivos pelos quais os problemas relacionados à segurança surgem, bem como várias maneiras de lidar com eles. Aqui, exploraremos os diferentes tipos de estratégias de segurança de rede que você poderá usar para lidar com esses problemas.

Controle de acesso

É possível usar o controle de acesso para examinar cada usuário e cliente a fim de determinar se eles têm permissão para acessar sua rede ou os recursos dela. Você implementa o controle de acesso configurando políticas de segurança que garantem que o usuário tenha o nível adequado de permissões atribuídas para realizar ações específicas na rede. Por exemplo, o ideal é negar o acesso de leitura para alguns recursos quando o usuário está se conectando externamente à sua localização.

Ferramentas antimalware

As ferramentas antimalware protegem a sua rede contra software mal-intencionado (malware). O malware é recebido de diferentes formas, incluindo:

  • Ransomware
  • Vírus
  • Spyware
  • Cavalos de troia

Você pode usar ferramentas antimalware e antivírus para monitorar e corrigir malware. Essas ferramentas podem detectar anomalias nos arquivos, executar ações para remover códigos mal-intencionados e reparar recursos e dispositivos afetados na rede.

Segurança de aplicativo

Os invasores podem comprometer aplicativos, sejam eles seus ou de terceiros. O software pode, inadvertidamente, conter vulnerabilidades de segurança que um invasor pode usar para acessar dispositivos e recursos de rede. Se um aplicativo for desenvolvido internamente, você precisará encontrar e corrigir ativamente as vulnerabilidades das quais os invasores poderiam se aproveitar. Uma solução é testar o aplicativo durante o ciclo de vida de desenvolvimento e implementar as alterações necessárias para corrigir uma vulnerabilidade em potencial. Se você utiliza um aplicativo desenvolvido em outro lugar, uma boa prática é aplicar as atualizações assim que elas estiverem disponíveis.

Análise comportamental

Você pode usar ferramentas de análise comportamental para estabelecer o comportamento e o uso regular na rede e identificar qualquer alteração suspeita.

Por exemplo, vamos supor que você detecte um usuário que começa a acessar a sua rede fora dos padrões de uso normais. Normalmente, o usuário acessa a rede em uma localização nos Estados Unidos durante o horário de trabalho. Se as credenciais dele forem repentinamente usadas para tentar acessá-la na Austrália à meia-noite, a tentativa será sinalizada como suspeita.

Para resolver esse problema, você poderá criar políticas de segurança baseadas nessas análises. Você pode negar o acesso com uma verificação adicional pendente, como um código secreto enviado ao dispositivo móvel de trabalho do usuário.

Segurança de email

Os invasores geralmente usam o email para acessar a rede. Um email com aparência genuína pode pedir aos usuários para selecionar um link e fornecer detalhes que o invasor usará para acessar recursos e dispositivos na rede. Os aplicativos de email, como o Microsoft Outlook, nos ajudam a identificar mensagens e remetentes suspeitos.

Screenshot of a suspicious email message in Outlook. The email has a header that reads This message authenticates but sent by a different responsible sender.

Detecção e prevenção de intrusões

Você deseja adotar uma postura proativa e preventiva em relação à sua rede. Quanto antes você puder identificar a intrusão, melhor. Você pode usar ferramentas de prevenção e detecção de intrusões em conjunto para monitorar todo o seu tráfego de rede.

Por exemplo, o Observador de Rede do Azure pode fornecer dados para um sistema de detecção de intrusão de código aberto. Nesse sistema, o tráfego é analisado na sua rede no Azure e você é alertado sobre as intrusões.

VPN

Uma VPN (rede virtual privada) pode estabelecer uma conexão criptografada de uma rede com outra na Internet. A VPN configura um túnel criptografado que usa TLS ou IPsec para fornecer funcionalidades de comunicação segura e acesso remoto nas redes.

Diagram that shows a VPN tunnel that's set up between two gateways across an internet connection.

Segurança da Web

Você pode empregar ferramentas que protegem a maneira como os seus colaboradores usam a Web. Por exemplo, é possível usar um filtro da Web para impedir que os usuários acessem determinados tipos de sites sinalizados como impróprios. Essas ferramentas de segurança da Web também permitem configurar políticas que ajudam você a decidir como deseja lidar com diferentes tipos de solicitações da Web na rede.

Segurança sem fio

As partes sem fio da rede não são tão seguras quanto as partes com fio. Uma rede sem fio pode ser acessada de fora da sua organização, dependendo da força do sinal sem fio. Diferentes ferramentas estão disponíveis para verificar e monitorar as atividades nas partes sem fio da rede. A primeira etapa para proteger uma rede sem fio é usar o tipo mais forte de criptografia disponível em dispositivos sem fio. Em segundo lugar, configure uma rede sem fio separada para convidados, o que impede que os visitantes usem a rede sem fio destinada aos usuários internos.

Zonas de segurança de rede

Uma zona de segurança de rede é um segmento de rede com políticas de segurança específicas aplicadas a ela e é geralmente separada dos outros segmentos de rede por firewalls. Há três tipos diferentes de zonas de segurança.

Zonas confiáveis ou privadas

Uma zona confiável ou privada contém os recursos e os dispositivos que nunca devem ser acessíveis a ninguém fora da sua organização. Entre os exemplos estão impressoras, estações de trabalho usadas por usuários internos e servidores internos. Nessa zona, você vai configurar os dispositivos com endereços IP privados.

Diagram that shows the inside and outside network security zones in relation to the perimeter network.

Zonas públicas

Uma zona pública contém tudo o que está fora da organização. Essa zona faz parte da Internet ou de outra rede e não está no controle da organização.

Rede de perímetro

A rede de perímetro (também conhecida como DMZ, zona desmilitarizada e sub-rede filtrada) é uma zona na qual os recursos e os serviços acessíveis fora da organização estão disponíveis. Por exemplo, você pode usar uma rede de perímetro para fornecer acesso a um aplicativo, uma organização de parceiros ou um fornecedor.

Políticas de filtragem de zona

As políticas de filtragem de zona lidam com o fluxo de tráfego conforme ele viaja entre as diferentes zonas. Essas políticas incluem:

  • De dentro para fora e De dentro para a rede de perímetro: este tipo de filtro examina todo o tráfego que se origina dentro e é direcionado para a rede de perímetro. Por exemplo, os membros de sua equipe interna podem querer acessar um site público. O tráfego é inspecionado para verificar se o site é confiável.

  • De fora para dentro: este tipo de filtro bloqueia o tráfego de fora para a rede. O único tráfego permitido é aquele que é uma resposta direta a uma solicitação originada na zona interna. Por exemplo, quando um membro da equipe interna solicita uma página da Web de um servidor, a resposta é permitida (em caso de origem confiável) e, portanto, o usuário pode navegar pelo site.

  • De fora para a rede de perímetro: este tipo de filtro inspeciona todo o tráfego que vem de fora para a rede de perímetro. O tráfego pode ter a permissão autorizada ou negada. Os tipos de tráfego que podem ser permitidos incluem email e tráfego HTTPS.

  • Rede de perímetro para fora. Esse tipo de filtro inspeciona o tráfego proveniente da rede de perímetro e que sai da rede. O tráfego tem permissão para viajar para fora da rede com base nas regras de firewall e no recurso ou no cliente que inicia a solicitação. Por exemplo, um servidor de email na rede de perímetro pode precisar ser sincronizado com outro servidor que está fora da rede. Nesse caso, você vai configurar regras de firewall para decidir o que deverá acontecer.

O que é um firewall de rede?

Um firewall de rede é um dispositivo de segurança que bloqueia ou corrige o acesso não autorizado à rede. Os firewalls de rede também monitoram e registram todo o tráfego na rede. É possível usar políticas de segurança para configurar os firewalls de rede, a fim de possibilitar que medidas apropriadas sejam tomadas em relação a todo o tráfego na rede. Os firewalls de rede podem ser implementações de hardware ou de software.

Um firewall de hardware pode ser um dispositivo físico autônomo ou fazer parte de outro dispositivo na rede. Os dispositivos físicos, como roteadores, já têm um firewall interno. Os firewalls de hardware são caros de operar e são normalmente encontrados em grandes organizações.

Um firewall de software é instalado e configurado em um dispositivo como uma estação de trabalho ou um servidor. Os firewalls de software têm recursos flexíveis e podem ser executados em muitos dispositivos de maneira mais econômica comparado aos firewalls de hardware. No entanto, algumas violações sofisticadas podem comprometer com mais facilidade esses tipos de firewalls.

Tipos de firewalls

Os firewalls podem executar várias funções diferentes na rede:

  • Os firewalls de camada de aplicativo podem ser dispositivos físicos ou baseados em software, como um plug-in ou um filtro. Esses tipos de firewalls são direcionados aos aplicativos. Por exemplo, eles podem afetar a maneira como as solicitações de conexões HTTP são inspecionadas em cada um dos aplicativos.

  • Os firewalls de filtragem de pacotes analisam cada pacote de dados conforme ele viaja pela rede. Com base nas regras que você configura, eles decidem se bloquearão ou não o pacote específico.

  • Os firewalls no nível do circuito verificam se as conexões TCP e UDP na rede são válidas antes que os dados sejam trocados. Por exemplo, esse tipo de firewall pode primeiro verificar se os endereços de origem e de destino, o usuário, o tempo e a data atendem a determinadas regras definidas. Quando essas verificações são aprovadas e uma sessão é iniciada, os dados são trocados entre as partes sem inspeção adicional.

  • Um firewall do servidor proxy controla as informações que entram em uma rede e saem dela. Os servidores proxy de firewall oferecem segurança e proteção fornecendo acesso à Internet a todos os dispositivos em uma rede. Essa capacidade significa que o servidor pode monitorar, filtrar e armazenar solicitações de dados em cache para a rede e dela.

    Diagram showing allowed traffic flow through a proxy server and all other traffic blocked.

  • Firewalls com estado inspecionam características sobre as conexões em sua rede. O firewall também monitora os pacotes ao longo do tempo e armazena uma combinação dessas informações em uma tabela de estado. Quando uma correspondência de conexão e pacote não é reconhecida com base nas informações contidas na tabela, o tráfego é bloqueado.

    Diagram showing how a stateful firewall blocks requests from an address that isn't allowed.

  • Os firewalls de próxima geração executam muitas das mesmas funções dos firewalls com estado, mas podem abranger mais funções de outros tipos de firewalls, como filtragem de pacotes e suporte a VPN. Esse tipo de firewall também investiga pacotes mais detalhadamente comparado aos firewalls com estado. Por exemplo, um firewall de última geração pode examinar o conteúdo de cada pacote e inspecioná-lo em busca de características suspeitas e malware.

A importância dos firewalls

Os firewalls ajudam a proteger a rede contra o mundo exterior. Se você não tiver um firewall configurado:

  • Um invasor poderá empregar um malware e se aproveitar da largura de banda para usá-la para si mesmo.
  • Informações confidenciais e privadas sobre funcionários e clientes poderão ser roubadas.
  • Seus recursos, dispositivos e toda a rede podem ser protegidos contra ransomware.

É importante posicionar os firewalls entre a rede e qualquer conexão externa. Você pode combinar diferentes tipos de firewalls para obter a segurança de rede mais robusta.

Ferramentas de segurança de rede do Azure

O Azure fornece várias ferramentas que você pode usar como parte da segurança de rede. Cada uma dessas ferramentas foi criada para abordar um aspecto diferente da segurança de rede.

Você pode criar suas próprias redes por meio da Rede Virtual do Azure. Use grupos de segurança de rede para filtrar o tráfego do Azure e dos recursos locais bidirecionalmente nos recursos que fazem parte das suas redes virtuais. Um grupo de segurança de rede filtra o tráfego por meio de regras de segurança especificadas para negar ou permitir diferentes tipos de tráfego nas redes.

Diagram of an Azure Network Security Group at work with an inbound rule configured to allow TCP and UDP traffic on port 80.

Registre em log também todo o tráfego que flui por meio dos grupos de segurança de rede para análise. Use o serviço Observador de Rede do Azure e habilite os logs de fluxo do NSG. Em seguida, os logs serão armazenados para uso em um arquivo JSON em uma conta de armazenamento.

O Firewall do Azure é um firewall totalmente gerenciado que pode ser usado para proteger os recursos que estão dentro das redes virtuais do Azure. Como o Firewall do Azure é baseado em nuvem, ele oferece algumas vantagens. Você não precisará se preocupar se o Firewall do Azure pode ser dimensionado para o número de recursos nas redes. Ele vem pré-configurado com alta disponibilidade para impedir que o seu firewall fique inativo.

Diagram showing how an Azure firewall blocks traffic.

Você pode conectar a rede local às redes virtuais do Azure configurando uma conexão VPN site a site com o Azure. Use um gateway de VPN (um dispositivo VPN do Azure), juntamente com o dispositivo VPN local, para estabelecer um túnel VPN para comunicação. Em seguida, os recursos locais e de nuvem se comunicarão por meio do túnel VPN.

Diagram showing an Azure site-to-site connection using an IPSec IKE S2S VPN tunnel.

Configure também uma conexão VPN ponto a site entre o Azure e a rede local. Aqui, usuários e clientes individuais podem se conectar aos os recursos do Azure por meio de um túnel seguro.

Diagram showing an Azure point-to-site connection using P2S SSTP tunnels.

Considerações sobre a segurança de rede do Azure

Há muito que você pode fazer para aprimorar a segurança de rede no Azure. Estes são alguns itens cuja implementação você deve considerar:

Use dispositivos de segurança de rede do Azure desenvolvidos por parceiros da Microsoft no Azure Marketplace para melhorar a segurança da rede. Essa variedade de dispositivos oferece diversas funções, incluindo:

  • Detecção de anomalias na rede
  • Identificação e retificação de vulnerabilidades
  • Filtragem da Web
  • Proteção antivírus

Configure os pontos de extremidade do serviço de rede virtual do Azure para que os serviços críticos do Azure se conectem apenas às suas redes virtuais do Azure e não à Internet pública. Esses serviços incluem:

  • Banco de Dados SQL do Azure
  • Armazenamento do Azure
  • Serviço de Aplicativo do Azure
  • Cofre de Chave do Azure

Desabilite o acesso SSH/RDP sempre que possível. Esses protocolos são usados para gerenciar as máquinas virtuais em uma localização remota, mas os invasores poderão tentar realizar ataques de força bruta se nenhuma proteção estiver em vigor. Crie uma conexão VPN ponto a site antes de habilitar o SSH/RDP para gerenciamento remoto.

Use o balanceamento de carga para aprimorar o desempenho e a disponibilidade da rede. Ao usar um balanceador de carga, você distribui o tráfego de rede entre os computadores da rede. Por exemplo, se você tiver dois servidores Web que cuidam de um site como parte da rede, poderá configurar um balanceador de carga para distribuir o tráfego entre eles. Dessa maneira, você aprimora o desempenho e a disponibilidade do site.

Um ataque de DDoS (negação de serviço distribuído) sobrecarrega recursos ou serviços na rede, de modo que eles fiquem inutilizáveis ou inacessíveis. A Proteção contra DDoS do Azure fornece monitoramento automático de tráfego e mitigação de ataques de DDoS. Você pode interagir com o serviço e habilitar mais recursos, como ter acesso a especialistas em DDoS, fazendo a atualização para o nível Standard.

Verificar seu conhecimento

1.

Quais das melhores práticas a seguir você deve implementar para a sua segurança de rede no Azure?

2.

Você precisa impedir que os dispositivos dos usuários solicitem diretamente páginas da Web da Internet. Qual ferramenta você usará para fazer isso?