O que é o Azure Firewall Manager?
O Azure Firewall Manager é um serviço de gestão de segurança que oferece gestão central de políticas de segurança e de rotas para perímetros de segurança com base na cloud.
O Firewall Manager pode fornecer gestão de segurança para dois tipos de arquitetura de rede:
Hub virtual seguro
Um Hub WAN Virtual do Azure é um recurso gerido pela Microsoft que lhe permite criar facilmente arquiteturas de interação com o administrador. Quando as políticas de segurança e roteamento são associadas a esse hub, ele é chamado de hub virtual seguro.
Rede virtual do hub
Trata-se de uma rede virtual do Azure padrão criada e gerida por si. Quando as políticas de segurança são associadas a esse hub, ele é chamado de rede virtual de hub. No momento, apenas a Política de Firewall do Azure é suportada. Você pode peer spoke redes virtuais que contêm sua carga de trabalho, servidores e serviços. Você também pode gerenciar firewalls em redes virtuais autônomas que não são emparelhadas para nenhum falado.
Para obter uma comparação detalhada das arquiteturas de rede virtual de hube hub virtual seguras, consulte Quais são as opções de arquitetura do Gerenciador de Firewall do Azure?.
Recursos do Azure Firewall Manager
O Azure Firewall Manager oferece os seguintes recursos:
Implantação e configuração do Firewall Central do Azure
Você pode implantar e configurar centralmente várias instâncias do Firewall do Azure que abrangem diferentes regiões e assinaturas do Azure.
Políticas hierárquicas (globais e locais)
Você pode usar o Gerenciador de Firewall do Azure para gerenciar centralmente as políticas do Firewall do Azure em vários hubs virtuais protegidos. Suas equipes centrais de TI podem criar políticas globais de firewall para aplicar a política de firewall em toda a organização entre as equipes. As políticas de firewall criadas localmente permitem um modelo de autosserviço de DevOps para maior agilidade.
Integrado com segurança como serviço de parceiros para segurança avançada
Além do Firewall do Azure, você pode integrar provedores de segurança como serviço (SECaaS) de parceiros para fornecer mais proteção de rede para suas conexões de rede virtual e de filiais com a Internet.
Esse recurso está disponível apenas com implantações seguras de hub virtual.
Filtragem de tráfego de rede virtual para Internet (V2I)
- Filtre o tráfego de rede virtual de saída com o seu fornecedor de segurança de parceiro preferido.
- Use a proteção avançada da Internet com reconhecimento do usuário para suas cargas de trabalho na nuvem em execução no Azure.
Filtragem de tráfego de ramificação para Internet (B2I)
Use sua conectividade do Azure e distribuição global para adicionar facilmente filtragem de parceiros para cenários de ramificação à Internet.
Para obter mais informações sobre provedores de parceiros de segurança, consulte O que são provedores de parceiros de segurança do Azure Firewall Manager?
Gestão centralizada de rotas
Encaminhe facilmente o tráfego para o seu hub seguro para filtragem e registro em log sem a necessidade de configurar manualmente as Rotas Definidas pelo Usuário (UDR) em redes virtuais faladas.
Esse recurso está disponível apenas com implantações seguras de hub virtual.
Você pode usar provedores parceiros para filtragem de tráfego de Branch to Internet (B2I), lado a lado com o Firewall do Azure para Branch para rede virtual (B2V), rede virtual para rede virtual (V2V) e rede virtual para Internet (V2I).
Plano de proteção contra DDoS
Você pode associar suas redes virtuais a um plano de proteção contra DDoS no Gerenciador de Firewall do Azure. Para obter mais informações, consulte Configurar um plano de proteção contra DDoS do Azure usando o Gerenciador de Firewall do Azure.
Gerenciar políticas do Web Application Firewall
Você pode criar e associar centralmente políticas do WAF (Web Application Firewall) para suas plataformas de entrega de aplicativos, incluindo o Azure Front Door e o Azure Application Gateway. Para obter mais informações, consulte Gerenciar políticas do Web Application Firewall.
Disponibilidade da região
As Políticas de Firewall do Azure podem ser usadas entre regiões. Por exemplo, você pode criar uma política no oeste dos EUA e usá-la no leste dos EUA.
Problemas conhecidos
O Azure Firewall Manager tem os seguintes problemas conhecidos:
| Problema | Description | Mitigação |
|---|---|---|
| Divisão de tráfego | A divisão de tráfego do Microsoft 365 e do Azure Public PaaS não é suportada no momento. Como tal, selecionar um fornecedor parceiro para V2I ou B2I também envia todo o tráfego PaaS Público do Azure e Microsoft 365 através do serviço de parceiro. | Investigando a divisão de tráfego no hub. |
| As políticas de base devem situar-se na mesma região que a política local | Crie todas as suas políticas locais na mesma região que a política base. Você ainda pode aplicar uma política que foi criada em uma região em um hub seguro de outra região. | A investigar |
| Filtrando o tráfego entre hubs em implantações seguras de hub virtual | A filtragem de comunicação do Hub Virtual Seguro para o Hub Virtual Seguro é suportada com o recurso Intenção de Roteamento. | Habilite a Intenção de Roteamento em seu Hub WAN Virtual definindo Interhub como Habilitado no Gerenciador de Firewall do Azure. Consulte a documentação de intenção de roteamento para obter mais informações sobre esse recurso. A única configuração de roteamento de WAN virtual que permite a filtragem de tráfego entre hubs é a intenção de roteamento. |
| Tráfego de ramificação para filial com filtragem de tráfego privado ativada | O tráfego de ramificação para ramificação pode ser inspecionado pelo Firewall do Azure em cenários de hub seguros se a Intenção de Roteamento estiver habilitada. | Habilite a Intenção de Roteamento em seu Hub WAN Virtual definindo Interhub como Habilitado no Gerenciador de Firewall do Azure. Consulte a documentação de intenção de roteamento para obter mais informações sobre esse recurso. A única configuração de roteamento de WAN virtual que permite o tráfego privado de ramificação para ramificação é a intenção de roteamento. |
| Todos os Hubs Virtuais Seguros que compartilham a mesma WAN virtual devem estar no mesmo grupo de recursos. | Esse comportamento está alinhado com os Hubs WAN Virtuais atualmente. | Crie várias WANs virtuais para permitir que Hubs Virtuais Seguros sejam criados em diferentes grupos de recursos. |
| Falha na adição de endereço IP em massa | O firewall de hub seguro entra em um estado de falha se você adicionar vários endereços IP públicos. | Adicione incrementos menores de endereços IP públicos. Por exemplo, adicione 10 de cada vez. |
| Proteção contra DDoS não suportada com hubs virtuais seguros | A Proteção contra DDoS não está integrada com vWANs. | A investigar |
| Logs de atividades não totalmente suportados | Atualmente, a política de firewall não suporta logs de atividades. | A investigar |
| Descrição das regras não totalmente suportadas | A política de firewall não exibe a descrição das regras em uma exportação ARM. | A investigar |
| O Gerenciador de Firewall do Azure substitui rotas estáticas e personalizadas, causando tempo de inatividade no hub WAN virtual. | Você não deve usar o Gerenciador de Firewall do Azure para gerenciar suas configurações em implantações configuradas com rotas personalizadas ou estáticas. As atualizações do Firewall Manager podem substituir configurações de rota estáticas ou personalizadas. | Se você usar rotas estáticas ou personalizadas, use a página WAN Virtual para gerenciar as configurações de segurança e evitar a configuração por meio do Gerenciador de Firewall do Azure. Para obter mais informações, consulte Cenário: Firewall do Azure - personalizado. |