funcionalidades Azure Firewall Premium
Azure Firewall Premium fornece proteção avançada contra ameaças que satisfaz as necessidades de ambientes altamente sensíveis e regulamentados, como as indústrias de pagamento e cuidados de saúde.
As organizações podem utilizar funcionalidades de unidades de manutenção de stock Premium (SKU), como a inspeção de IDPS e TLS, para impedir que software maligno e vírus se espalhem por redes em direções laterais e horizontais. Para satisfazer as exigências de desempenho crescentes da inspeção de IDPS e TLS, Azure Firewall Premium utiliza um SKU de máquina virtual mais potente. Tal como o SKU Standard, o SKU Premium pode aumentar verticalmente até 100 Gbps e integrar-se com zonas de disponibilidade para suportar o contrato de nível de serviço (SLA) de 99,99 por cento. O SKU Premium está em conformidade com as necessidades do ambiente PCI DSS (Payment Card Industry Data Security Standard).
Azure Firewall Premium inclui as seguintes funcionalidades:
- Inspeção TLS – desencripta o tráfego de saída, processa os dados e, em seguida, encripta os dados e envia-os para o destino.
- IDPS – um sistema de deteção e prevenção de intrusões de rede (IDPS) permite-lhe monitorizar atividades de rede para atividades maliciosas, registar informações sobre esta atividade, denunciá-la e, opcionalmente, tentar bloqueá-la.
- Filtragem de URL – expande a capacidade de filtragem FQDN do Azure Firewall para considerar um URL inteiro juntamente com qualquer caminho adicional. Por exemplo,
www.contoso.com/a/c
em vez dewww.contoso.com
. - Categorias Web – os administradores podem permitir ou negar o acesso dos utilizadores a categorias de sites, tais como sites de jogo, sites de redes sociais e outros.
Inspeção TLS
O protocolo TLS (Transport Layer Security) fornece principalmente criptografia para privacidade, integridade e autenticidade através de certificados entre duas ou mais aplicações de comunicação. É executado na camada da aplicação e é amplamente utilizado para encriptar o protocolo HTTP.
O tráfego encriptado tem um possível risco de segurança e pode ocultar atividades de utilizador ilegais e tráfego malicioso. Azure Firewall sem inspeção TLS (conforme mostrado no diagrama seguinte) não tem visibilidade sobre os dados que fluem no túnel TLS encriptado, pelo que não pode fornecer uma cobertura de proteção completa.
O segundo diagrama mostra como Azure Firewall Premium termina e inspeciona as ligações TLS para detetar, alertar e mitigar atividades maliciosas em HTTPS. Na verdade, a firewall cria duas ligações TLS dedicadas: uma com o Servidor Web (contoso.com) e outra ligação com o cliente. Com o certificado de AC fornecido pelo cliente, gera um certificado no local, que substitui o certificado do Servidor Web e o partilha com o cliente para estabelecer a ligação TLS entre a firewall e o cliente.
Azure Firewall sem inspeção TLS:
Azure Firewall com inspeção TLS:
Os seguintes casos de utilização são suportados com Azure Firewall:
Inspeção TLS de saída
Para proteger contra tráfego malicioso que é enviado de um cliente interno alojado no Azure para a Internet.
East-West Inspeção TLS (inclui tráfego que vai de/para uma rede no local)
Para proteger as cargas de trabalho do Azure contra potenciais tráfegos maliciosos enviados a partir do Azure.
O seguinte caso de utilização é suportado pelo Azure Firewall de Aplicações Web no Gateway de Aplicação do Azure:
Inspeção TLS de Entrada
Para proteger servidores internos ou aplicações alojadas no Azure contra pedidos maliciosos que chegam da Internet ou de uma rede externa. Gateway de Aplicação fornece encriptação ponto a ponto.
Dica
O TLS 1.0 e o 1.1 estão a ser preteridos e não serão suportados. As versões TLS 1.0 e 1.1 do TLS/Secure Sockets Layer (SSL) foram consideradas vulneráveis e, embora ainda trabalhem para permitir a retrocompatibilidade, não são recomendadas. Migrar para o TLS 1.2 o mais rapidamente possível.
Para saber mais sobre Azure Firewall requisitos de certificados da AC Intermédia Premium, veja Azure Firewall certificados Premium.
IDPS
Um sistema de deteção e prevenção de intrusões de rede (IDPS) permite-lhe monitorizar a sua rede para atividades maliciosas, registar informações sobre esta atividade, denunciá-la e, opcionalmente, tentar bloqueá-la.
Azure Firewall Premium fornece IDPS baseado em assinaturas para permitir a deteção rápida de ataques ao procurar padrões específicos, como sequências de bytes no tráfego de rede ou sequências de instruções maliciosas conhecidas utilizadas por software maligno. As assinaturas IDPS são aplicáveis ao tráfego de nível de aplicação e de rede (Camadas 3-7), são totalmente geridas e atualizadas continuamente. O IDPS pode ser aplicado ao tráfego de entrada, spoke-to-spoke (Este-Oeste) e de saída. O spoke-to-spoke (East-West) inclui tráfego que vai de/para uma rede no local. Pode configurar os intervalos de endereços IP privados do IDPS com a funcionalidade de pré-visualização intervalos de IP privados . Para obter mais informações, veja Intervalos de IP Privados do IDPS.
Os Azure Firewall assinaturas/conjuntos de regras incluem:
- Uma ênfase na impressão digital de software maligno real, Comando e Controlo, kits de exploração e na atividade maliciosa selvagem perdida pelos métodos de prevenção tradicionais.
- Mais de 58 000 regras em mais de 50 categorias.
- As categorias incluem comando e controlo de software maligno, phishing, trojans, botnets, eventos informativos, exploits, vulnerabilidades, protocolos de rede SCADA, atividade do exploit kit e muito mais.
- São lançadas 20 a 40 novas regras todos os dias.
- Baixa classificação de falsos positivos ao utilizar técnicas de deteção de software maligno de última geração, como o ciclo de feedback da rede de sensores global.
O IDPS permite-lhe detetar ataques em todas as portas e protocolos para tráfego não encriptado. No entanto, quando o tráfego HTTPS tem de ser inspecionado, Azure Firewall pode utilizar a sua capacidade de inspeção TLS para desencriptar o tráfego e detetar melhor atividades maliciosas.
A Lista de Bypass do IDPS permite-lhe não filtrar o tráfego para nenhum dos endereços IP, intervalos e sub-redes especificados na lista de bypass.
Intervalos de IP Privado do IDPS
No Azure Firewall IDPS Premium, os intervalos de endereços IP privados são utilizados para identificar se o tráfego é de entrada, saída ou interno (Este-Oeste). Cada assinatura é aplicada na direção do tráfego específica, conforme indicado na tabela de regras de assinatura. Por predefinição, apenas os intervalos definidos pelo IANA RFC 1918 são considerados endereços IP privados. Assim, o tráfego enviado de um intervalo de endereços IP privado para um intervalo de endereços IP privado é considerado interno. Para modificar os seus endereços IP privados, agora pode editar, remover ou adicionar intervalos facilmente conforme necessário.
Regras de assinatura do IDPS
As regras de assinatura do IDPS permitem-lhe:
Personalize uma ou mais assinaturas e altere o modo para Desativado, Alerta ou Alerta e Negar.
Por exemplo, se receber um falso positivo em que um pedido legítimo é bloqueado por Azure Firewall devido a uma assinatura com falhas, pode utilizar o ID de assinatura dos registos de regras de rede e definir o modo IDPS como desligado. Deste modo, faz com que a assinatura “com erros” seja ignorada e resolve o problema do falso positivo.
Pode aplicar o mesmo procedimento de ajuste para assinaturas que estão a criar muitos alertas de baixa prioridade e, portanto, a interferir com a visibilidade de alertas de alta prioridade.
Obter uma vista holística de 55 000 assinaturas inteiras
Pesquisa inteligente
Permite-lhe procurar em toda a base de dados de assinaturas por qualquer tipo de atributo. Por exemplo, pode procurar CVE-ID específico para descobrir que assinaturas estão a tratar deste CVE ao escrever o ID na barra de pesquisa.
As regras de assinatura do IDPS têm as seguintes propriedades:
Coluna | Descrição |
---|---|
ID de Assinatura | ID interno para cada assinatura. Este ID também é apresentado nos Azure Firewall registos de Regras de Rede. |
Modo | Indica se a assinatura está ativa ou não e se a firewall cai ou alertas após o tráfego correspondente. O modo de assinatura abaixo pode substituir o modo IDPS - Desativado: a assinatura não está ativada na firewall. - Alerta: recebe alertas quando é detetado tráfego suspeito. - Alerta e Negação: recebe alertas e o tráfego suspeito está bloqueado. Poucas categorias de assinaturas são definidas como "Apenas Alerta", pelo que, por predefinição, o tráfego correspondente às respetivas assinaturas não é bloqueado, apesar de o modo IDPS estar definido como "Alerta e Negar". Os clientes podem substituir esta opção ao personalizar estas assinaturas específicas para o modo "Alerta e Negar". Nota: os alertas de IDPS estão disponíveis no portal através da consulta de registo de regras de rede. |
Gravidade | Cada assinatura tem um nível de gravidade associado e uma prioridade atribuída que indica a probabilidade de a assinatura ser um ataque real. - Baixo (prioridade 3): um evento anormal é um evento que normalmente não ocorre numa rede ou os eventos informativos são registados. A probabilidade de ataque é baixa. - Médio (prioridade 2): a assinatura indica um ataque de natureza suspeita. O administrador deve investigar mais aprofundadamente. - Alta (prioridade 1): As assinaturas de ataque indicam que está a ser lançado um ataque de natureza grave. Há pouca probabilidade de os pacotes terem um propósito legítimo. |
Direção | A direção de tráfego para a qual a assinatura é aplicada. - Entrada: a assinatura é aplicada apenas no tráfego que chega da Internet e destina-se ao intervalo de endereços IP privado configurado. - Saída: a assinatura é aplicada apenas no tráfego enviado do intervalo de endereços IP privado configurado para a Internet. - Bidirecional: a assinatura é sempre aplicada em qualquer direção de tráfego. |
Group | O nome do grupo a que pertence a assinatura. |
Descrição | Estruturado a partir das três partes seguintes: - Nome da categoria: o nome da categoria a que a assinatura pertence, conforme descrito em Azure Firewall categorias de regras de assinatura de IDPS. - Descrição de alto nível da assinatura - CVE-ID (opcional) no caso em que a assinatura está associada a um CVE específico. |
Protocolo | O protocolo associado a esta assinatura. |
Portas de Origem/Destino | As portas associadas a esta assinatura. |
Última atualização | A última data em que esta assinatura foi introduzida ou modificada. |
Filtragem de URL
A filtragem de URL expande a capacidade de filtragem FQDN do Azure Firewall para considerar um URL inteiro. Por exemplo, www.contoso.com/a/c
em vez de www.contoso.com
.
A Filtragem de URL pode ser aplicada ao tráfego HTTP e HTTPS. Quando o tráfego HTTPS é inspecionado, o Azure Firewall Premium pode utilizar a respetiva capacidade de inspeção TLS para desencriptar o tráfego e extrair o URL de destino para validar se o acesso é permitido. A inspeção TLS requer a opção de ativação ao nível da regra da aplicação. Depois de ativado, pode utilizar URLs para filtrar com HTTPS.
Categorias Web
As categorias Web permitem aos administradores permitir ou negar o acesso dos utilizadores a categorias de sites como sites de jogo, sites de redes sociais e outros. As categorias Web também estão incluídas no Azure Firewall Standard, mas estão mais otimizadas no Azure Firewall Premium. Ao contrário da capacidade de categorias Web no SKU Standard que corresponde à categoria com base num FQDN, o SKU Premium corresponde à categoria de acordo com todo o URL para o tráfego HTTP e HTTPS.
Importante
A Microsoft está em transição para um novo feed de categorias de Filtragem de Conteúdos Web atualizado e novo nas próximas semanas. Isto conterá mais granularidade e subcategorias adicionais.
Como resultado, as seguintes categorias Web já não estão disponíveis:
- Criança inapropriada, cartões de saudação e batota escolar.
Além disso, as funcionalidades de verificação categoria e alteração de categoria estão temporariamente desativadas nos próximos meses. Este artigo será atualizado quando estas funcionalidades forem devolvidas.
Para mitigar, recomendamos que configure sites críticos (FQDNs e URLs) diretamente nas regras da aplicação através da portal do Azure/Azure PowerShell/CLI como uma cópia de segurança. Para obter mais informações, veja Implementar e configurar Azure Firewall com o portal do Azure.
O registo de Categorias Web continuará a funcionar conforme esperado. Não prevemos quaisquer outras alterações importantes ao comportamento de classificação, mas recomendamos que comunique quaisquer problemas de categorização ou pedido para efetuar uma Verificação de Categoria através da Microsoft suporte do Azure.
Por exemplo, se Azure Firewall intercetar um pedido HTTPS para www.google.com/news
, é esperada a seguinte categorização:
Firewall Standard – apenas a parte FQDN é examinada, pelo
www.google.com
que é categorizada como Motor de Busca.Firewall Premium – o URL completo é examinado, pelo
www.google.com/news
que é categorizado como Notícias.
As categorias são organizadas com base na gravidade em Responsabilidade, Largura de Banda Elevada, Utilização empresarial, Perda de Produtividade, Surf Geral e Não Categorizado. Para obter uma descrição detalhada das categorias Web, veja Azure Firewall categorias Web.
Registo de categorias Web
Pode ver o tráfego que foi filtrado por categorias Web nos Registos de aplicações. O campo Categorias Web só é apresentado se tiver sido explicitamente configurado nas regras de aplicação da política de firewall. Por exemplo, se não tiver uma regra que negue explicitamente Motores de Busca e um utilizador pedir para aceder a www.bing.com, apenas é apresentada uma mensagem de negação predefinida em oposição a uma mensagem de categorias Web. Isto deve-se ao facto de a categoria Web não ter sido explicitamente configurada.
Exceções de categoria
Pode criar exceções às regras de categoria Web. Crie uma coleção de regras de permissão ou negação separada com uma prioridade mais elevada no grupo de coleção de regras. Por exemplo, pode configurar uma coleção de regras que permite www.linkedin.com
com a prioridade 100, com uma coleção de regras que nega redes sociais com a prioridade 200. Isto cria a exceção para a categoria Web de redes sociais predefinida.
Pesquisa de categorias Web
Pode identificar a categoria de um determinado FQDN ou URL com a funcionalidade Verificação de Categorias Web . Para o utilizar, selecione o separador Categorias Web em Definições da Política de Firewall. Isto é útil ao definir as regras de aplicação para o tráfego de destino.
Importante
Para utilizar a funcionalidade Verificação de Categorias Web , o utilizador tem de ter acesso a Microsoft.Network/azureWebCategories/getwebcategory/action ao nível da subscrição e não ao nível do grupo de recursos.
Alteração de categoria
No separador Categorias Web nas Definições da Política de Firewall, pode pedir uma alteração de categoria se:
acha que um FQDN ou URL deve estar numa categoria diferente
ou
ter uma categoria sugerida para um FQDN ou URL não categorizado
Depois de submeter um relatório de alteração de categoria, é-lhe atribuído um token nas notificações que indicam que recebemos o pedido de processamento. Pode verificar se o pedido está em curso, negado ou aprovado ao introduzir o token na barra de pesquisa. Certifique-se de que guarda o ID do token para o fazer.
Regiões suportadas
Para as regiões suportadas para Azure Firewall, veja Produtos do Azure disponíveis por região.