Recursos do Azure Firewall Premium
O Firewall Premium do Azure fornece proteção avançada contra ameaças que atende às necessidades de ambientes altamente confidenciais e regulamentados, como os setores de pagamentos e saúde.
As organizações podem usar recursos de unidade de manutenção de estoque Premium (SKU), como IDPS e inspeção TLS, para evitar que malware e vírus se espalhem pelas redes em direções laterais e horizontais. Para atender às crescentes demandas de desempenho da inspeção de IDPS e TLS, o Firewall Premium do Azure usa uma SKU de máquina virtual mais poderosa. Como o SKU padrão, o SKU Premium pode ser dimensionado perfeitamente até 100 Gbps e integrado com zonas de disponibilidade para suportar o contrato de nível de serviço (SLA) de 99,99%. O SKU Premium está em conformidade com as necessidades do ambiente PCI DSS (Payment Card Industry Data Security Standard).
O Firewall Premium do Azure inclui os seguintes recursos:
- Inspeção TLS - descriptografa o tráfego de saída, processa os dados e, em seguida, criptografa os dados e os envia para o destino.
- IDPS - Um sistema de deteção e prevenção de intrusões de rede (IDPS) permite monitorar atividades de rede em busca de atividades maliciosas, registrar informações sobre essa atividade, denunciá-las e, opcionalmente, tentar bloqueá-las.
- Filtragem de URL - estende o recurso de filtragem FQDN do Firewall do Azure para considerar uma URL inteira junto com qualquer caminho adicional. Por exemplo,
www.contoso.com/a/cem vez dewww.contoso.com. - Categorias da Web - os administradores podem permitir ou negar o acesso do usuário a categorias de sites, como sites de jogos, sites de mídia social e outros.
Para comparar os recursos do Firewall do Azure para todas as SKUs de Firewall, consulte Escolha a SKU de Firewall do Azure certa para atender às suas necessidades.
Inspeção TLS
O protocolo TLS (Transport Layer Security) fornece principalmente criptografia para privacidade, integridade e autenticidade usando certificados entre dois ou mais aplicativos de comunicação. Ele é executado na camada de aplicativo e é amplamente utilizado para criptografar o protocolo HTTP.
O tráfego encriptado tem um possível risco de segurança e pode ocultar a atividade ilegal do utilizador e o tráfego malicioso. O Firewall do Azure sem inspeção TLS (conforme mostrado no diagrama a seguir) não tem visibilidade dos dados que fluem no túnel TLS criptografado, portanto, não pode fornecer cobertura de proteção total.
O segundo diagrama mostra como o Firewall Premium do Azure encerra e inspeciona conexões TLS para detetar, alertar e mitigar atividades maliciosas em HTTPS. O firewall cria duas conexões TLS dedicadas: uma com o servidor Web (contoso.com) e outra com o cliente. Usando o certificado de CA fornecido pelo cliente, ele gera um certificado on-the-fly, que substitui o certificado do servidor Web e o compartilha com o cliente para estabelecer a conexão TLS entre o firewall e o cliente.
Firewall do Azure sem inspeção TLS: 
Firewall do Azure com inspeção TLS: 
Os seguintes casos de uso são suportados com o Firewall do Azure:
Inspeção TLS de saída
Para proteger contra tráfego mal-intencionado enviado de um cliente interno hospedado no Azure para a Internet.
Inspeção TLS Leste-Oeste (inclui tráfego de/para uma rede local)
Para proteger suas cargas de trabalho do Azure contra possíveis tráfego mal-intencionado enviado de dentro do Azure.
O seguinte caso de uso é suportado pelo Firewall de Aplicativo Web do Azure no Gateway de Aplicativo do Azure:
Inspeção TLS de entrada
Para proteger servidores internos ou aplicativos hospedados no Azure contra solicitações mal-intencionadas que chegam da Internet ou de uma rede externa. O Application Gateway fornece criptografia de ponta a ponta.
Para obter informações relacionadas, consulte:
Gorjeta
TLS 1.0 e 1.1 estão sendo preteridos e não serão suportados. As versões TLS 1.0 e 1.1 do TLS/Secure Sockets Layer (SSL) foram consideradas vulneráveis e, embora ainda funcionem atualmente para permitir compatibilidade com versões anteriores, não são recomendadas. Migre para o TLS 1.2 o mais rápido possível.
Para saber mais sobre os requisitos de certificado de CA intermediária do Firewall Premium do Azure, consulte Certificados Premium do Firewall do Azure.
Para saber mais sobre a inspeção TLS, consulte Criando um POC para inspeção TLS no Firewall do Azure.
IDPS
Um sistema de deteção e prevenção de intrusões de rede (IDPS) permite que você monitore sua rede em busca de atividades maliciosas, registre informações sobre essa atividade, denuncie-a e, opcionalmente, tente bloqueá-la.
O Firewall Premium do Azure fornece IDPS baseados em assinatura para permitir a deteção rápida de ataques procurando padrões específicos, como sequências de bytes no tráfego de rede ou sequências de instruções maliciosas conhecidas usadas por malware. As assinaturas IDPS são aplicáveis ao tráfego no nível do aplicativo e da rede (Camadas 3-7). Eles são totalmente gerenciados e atualizados continuamente. O IDPS pode ser aplicado ao tráfego de entrada, de fala falada (Leste-Oeste) e de saída. Spoke-to-spoke (Leste-Oeste) inclui tráfego que vai de/para uma rede local. Você pode configurar seus intervalos de endereços IP privados IDPS usando o recurso Intervalos de IP privados. Para obter mais informações, consulte Intervalos de IP privados do IDPS.
As assinaturas/conjuntos de regras do Firewall do Azure incluem:
- Uma ênfase na impressão digital de malware real, Comando e Controle, kits de exploração e, na natureza, atividade maliciosa perdida pelos métodos tradicionais de prevenção.
- Mais de 67.000 regras em mais de 50 categorias.
- As categorias incluem comando e controle de malware, phishing, trojans, botnets, eventos informativos, exploits, vulnerabilidades, protocolos de rede SCADA, atividade do kit de exploração e muito mais.
- 20 a 40+ novas regras são lançadas a cada dia.
- Baixa classificação de falso positivo usando técnicas de deteção de malware de última geração, como loop de feedback de rede de sensor global.
O IDPS permite detetar ataques em todas as portas e protocolos para tráfego não criptografado. No entanto, quando o tráfego HTTPS precisa ser inspecionado, o Firewall do Azure pode usar seu recurso de inspeção TLS para descriptografar o tráfego e detetar melhor atividades maliciosas.
A Lista de Bypass de IDPS é uma configuração que permite não filtrar o tráfego para nenhum dos endereços IP, intervalos e sub-redes especificados na lista de bypass. A lista IDPS Bypass não pretende ser uma maneira de melhorar o desempenho da taxa de transferência, pois o firewall ainda está sujeito ao desempenho associado ao seu caso de uso. Para obter mais informações, consulte Desempenho do Firewall do Azure.
Intervalos de IP privados IDPS
No IDPS Premium do Firewall do Azure, os intervalos de endereços IP privados são usados para identificar se o tráfego é de entrada, de saída ou interno (Leste-Oeste). Cada assinatura é aplicada na direção do tráfego específica, conforme indicado na tabela de regras de assinatura. Por padrão, apenas os intervalos definidos pela IANA RFC 1918 são considerados endereços IP privados. Assim, o tráfego enviado de um intervalo de endereços IP privados para um intervalo de endereços IP privados é considerado interno. Para modificar seus endereços IP privados, agora você pode editar, remover ou adicionar intervalos facilmente, conforme necessário.
Regras de assinatura do IDPS
As regras de assinatura do IDPS permitem:
Personalize uma ou mais assinaturas e altere seu modo para Desativado, Alerta ou Alerta e Negar.
Por exemplo, se você receber um falso positivo em que uma solicitação legítima é bloqueada pelo Firewall do Azure devido a uma assinatura defeituosa, você pode usar a ID da assinatura dos logs de regras de rede e definir seu modo IDPS como desativado. Deste modo, faz com que a assinatura “com erros” seja ignorada e resolve o problema do falso positivo.
Pode aplicar o mesmo procedimento de ajuste para assinaturas que estão a criar muitos alertas de baixa prioridade e, portanto, a interferir com a visibilidade de alertas de alta prioridade.
Obtenha uma visão holística de todas as 55.000 assinaturas
Pesquisa inteligente
Esta ação permite pesquisar todo o banco de dados de assinaturas por qualquer tipo de atributo. Por exemplo, você pode pesquisar por CVE-ID específico para descobrir quais assinaturas estão cuidando dessa CVE digitando a ID na barra de pesquisa.
As regras de assinatura do IDPS têm as seguintes propriedades:
| Coluna | Description |
|---|---|
| ID da assinatura | ID interno para cada assinatura. Essa ID também é apresentada nos logs de Regras de Rede do Firewall do Azure. |
| Modo | Indica se a assinatura está ativa ou não e se o firewall cai ou alerta sobre o tráfego correspondente. O modo de assinatura abaixo pode substituir o modo IDPS - Desativado: a assinatura não está ativada no firewall. - Alerta: você recebe alertas quando tráfego suspeito é detetado. - Alerta e Negar: Você recebe alertas e o tráfego suspeito é bloqueado. Poucas categorias de assinatura são definidas como "Somente alerta", portanto, por padrão, o tráfego correspondente às suas assinaturas não é bloqueado, embora o modo IDPS esteja definido como "Alertar e negar". Os clientes podem substituir isso personalizando essas assinaturas específicas para o modo "Alerta e negação". O modo de assinatura IDPS é determinado por um dos seguintes motivos: 1. Definido pelo Modo de Política – O modo de assinatura é derivado do modo IDPS da política existente. 2. Definido pela política pai – O modo de assinatura é derivado do modo IDPS da política pai. 3. Substituído – Você pode substituir e personalizar o modo Assinatura. 4. Definido por sistema - O modo de assinatura é definido como Alerta apenas pelo sistema devido à sua categoria. Você pode substituir esse modo de assinatura. Nota: Os alertas IDPS estão disponíveis no portal através da consulta ao registo de regras de rede. |
| Gravidade | Cada assinatura tem um nível de gravidade associado e prioridade atribuída que indica a probabilidade de a assinatura ser um ataque real. - Baixo (prioridade 3): um evento anormal é aquele que normalmente não ocorre em uma rede ou eventos informativos são registrados. A probabilidade de ataque é baixa. - Médio (prioridade 2): A assinatura indica um ataque de natureza suspeita. O administrador deve investigar mais. - Alta (prioridade 1): As assinaturas de ataque indicam que um ataque de natureza grave está sendo lançado. Há pouca probabilidade de que os pacotes tenham um propósito legítimo. |
| Direção | A direção do tráfego para a qual a assinatura é aplicada. - Entrada: a assinatura é aplicada apenas ao tráfego que chega da Internet e se destina ao seu intervalo de endereços IP privados configurado. - Saída: a assinatura é aplicada apenas no tráfego enviado do intervalo de endereços IP privados configurado para a Internet. - Interna: a assinatura é aplicada apenas ao tráfego enviado e destinado ao seu intervalo de endereços IP privados configurado. - Interno/Entrada: A assinatura é aplicada ao tráfego que chega do intervalo de endereços IP privados configurado ou da Internet e destinado ao intervalo de endereços IP privados configurado. - Interno/De saída: A assinatura é aplicada ao tráfego enviado a partir do intervalo de endereços IP privados configurado e destinado ao intervalo de endereços IP privados configurado ou à Internet. - Qualquer: A assinatura é sempre aplicada em qualquer direção de tráfego. |
| Agrupar | O nome do grupo ao qual a assinatura pertence. |
| Description | Estruturado a partir das três partes seguintes: - Nome da categoria: o nome da categoria à qual a assinatura pertence, conforme descrito nas categorias de regra de regra de assinatura IDPS do Firewall do Azure. - Descrição de alto nível da assinatura - CVE-ID (opcional) no caso em que a assinatura está associada a uma CVE específica. |
| Protocolo | O protocolo associado a esta assinatura. |
| Portas de origem/destino | As portas associadas a esta assinatura. |
| Última atualização | A última data em que esta assinatura foi introduzida ou modificada. |
Para obter mais informações sobre IDPS, consulte Tomando IDPS do Firewall do Azure em um Test Drive.
Filtragem de URL
A filtragem de URL estende o recurso de filtragem FQDN do Firewall do Azure para considerar uma URL inteira. Por exemplo, www.contoso.com/a/c em vez de www.contoso.com.
A Filtragem de URL pode ser aplicada no tráfego HTTP e HTTPS. Quando o tráfego HTTPS é inspecionado, o Firewall Premium do Azure pode usar seu recurso de inspeção TLS para descriptografar o tráfego e extrair a URL de destino para validar se o acesso é permitido. A inspeção TLS requer aceitação no nível da regra de aplicativo. Uma vez habilitado, você pode usar URLs para filtrar com HTTPS.
Categorias Web
As categorias da Web permitem que os administradores permitam ou neguem o acesso do usuário a categorias de sites, como sites de jogos, sites de mídia social e outros. As categorias da Web também estão incluídas no Azure Firewall Standard, mas são mais ajustadas no Azure Firewall Premium. Ao contrário do recurso de categorias da Web no SKU padrão que corresponde à categoria baseada em um FQDN, o SKU Premium corresponde à categoria de acordo com a URL inteira para o tráfego HTTP e HTTPS.
As categorias da Web do Firewall do Azure Premium só estão disponíveis em políticas de firewall. Certifique-se de que o SKU da sua política corresponde ao SKU da sua instância de firewall. Por exemplo, se você tiver uma instância do Firewall Premium, deverá usar uma política do Firewall Premium.
Por exemplo, se o Firewall do Azure intercetar uma solicitação HTTPS para www.google.com/news, a seguinte categorização é esperada:
Firewall Standard – apenas a parte FQDN é examinada, por isso
www.google.comé categorizada como Search Engine.Firewall Premium – o URL completo é examinado, por isso
www.google.com/newsé categorizado como Notícias.
As categorias são organizadas com base na gravidade em Responsabilidade, Alta largura de banda, Uso comercial, Perda de produtividade, Navegação geral e Sem categoria. Para obter uma descrição detalhada das categorias da Web, consulte Categorias da Web do Firewall do Azure.
Registo de categorias Web
Você pode exibir o tráfego que foi filtrado por categorias da Web nos logs do aplicativo. O campo Categorias da Web só será exibido se tiver sido explicitamente configurado nas regras do aplicativo de diretiva de firewall. Por exemplo, se você não tiver uma regra que negue explicitamente os mecanismos de pesquisa e um usuário solicitar ir para www.bing.com, somente uma mensagem de negação padrão será exibida, em vez de uma mensagem de categorias da Web. Isso ocorre porque a categoria da Web não foi configurada explicitamente.
Exceções por categoria
Você pode criar exceções às suas regras de categoria da Web. Crie uma coleção separada de regras de permissão ou negação com uma prioridade mais alta dentro do grupo de coleta de regras. Por exemplo, você pode configurar uma coleção de regras que permite www.linkedin.com com prioridade 100, com uma coleção de regras que nega redes sociais com prioridade 200. Isso cria a exceção para a categoria predefinida da Web de redes sociais.
Pesquisa de categorias da Web
Você pode identificar qual categoria é um determinado FQDN ou URL usando o recurso Verificação de categoria da Web. Para usar isso, selecione a guia Categorias da Web em Configurações de Diretiva de Firewall. Isso é útil ao definir as regras do aplicativo para o tráfego de destino.
Importante
Para usar o recurso Verificação de Categoria da Web, o usuário deve ter um acesso de Microsoft.Network/azureWebCategories/* para o nível de assinatura, não para o nível de grupo de recursos.
Mudança de categoria
Na guia Categorias da Web em Configurações de Política de Firewall, você pode solicitar uma alteração de categoria se:
acha que um FQDN ou URL deve estar em uma categoria diferente
ou
ter uma categoria sugerida para um FQDN ou URL não categorizado
Depois de enviar um relatório de alteração de categoria, você receberá um token nas notificações que indicam que recebemos a solicitação de processamento. Você pode verificar se a solicitação está em andamento, negada ou aprovada inserindo o token na barra de pesquisa. Certifique-se de salvar seu ID de token para fazer isso.
Categorias da Web que não suportam terminação TLS
Devido a razões de privacidade e conformidade, determinado tráfego da Web que é criptografado não pode ser descriptografado usando a terminação TLS. Por exemplo, os dados de saúde dos funcionários transmitidos através do tráfego da Web através de uma rede corporativa não devem ser encerrados por motivos de privacidade.
Como resultado, as seguintes categorias da Web não suportam terminação TLS:
- Education
- Finance
- Administração Pública
- Saúde e medicina
Como solução alternativa, se desejar que uma URL específica ofereça suporte à terminação TLS, você poderá adicionar manualmente a(s) URL(s) com terminação TLS nas regras de aplicativo. Por exemplo, você pode adicionar www.princeton.edu regras de aplicativo para permitir este site.
Regiões suportadas
Para obter as regiões com suporte para o Firewall do Azure, consulte Produtos do Azure disponíveis por região.