Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
O Azure Firewall é um serviço gerido de segurança de rede baseado na cloud que protege os recursos da Azure Virtual Network. É um serviço de firewall com monitoração de estado que inclui alta disponibilidade integrada e escalabilidade irrestrita na nuvem.
Quando você usa o Azure, a confiabilidade é uma responsabilidade compartilhada. A Microsoft fornece uma variedade de recursos para oferecer suporte à resiliência e à recuperação. Você é responsável por entender como esses recursos funcionam em todos os serviços que você usa e selecionar os recursos necessários para atender aos seus objetivos de negócios e metas de tempo de atividade.
Este artigo descreve como tornar o Azure Firewall resiliente a uma variedade de potenciais falhas e problemas, incluindo falhas transitórias, falhas em zonas de disponibilidade e interrupções regionais. Descreve também a resiliência durante a manutenção do serviço e destaca algumas informações-chave sobre o acordo de nível de serviço (SLA) do Firewall.
Recomendações de implantação de produção
Para saber como implantar o Firewall do Azure para dar suporte aos requisitos de confiabilidade da sua solução e como a confiabilidade afeta outros aspetos da sua arquitetura, consulte Práticas recomendadas de arquitetura para o Firewall do Azure no Azure Well-Architected Framework.
Visão geral da arquitetura de confiabilidade
Uma instância refere-se a uma unidade de nível de máquina virtual (VM) do firewall. Cada instância representa a infraestrutura que lida com o tráfego e executa verificações de firewall.
Para obter alta disponibilidade de um firewall, o Firewall do Azure fornece automaticamente pelo menos duas instâncias, sem exigir sua intervenção ou configuração. O firewall se expande automaticamente quando a taxa de transferência média, o consumo de CPU e o uso da conexão atingem limites predefinidos. Para obter mais informações, consulte Desempenho do Firewall do Azure. A plataforma gerencia automaticamente a criação de instâncias, o monitoramento de integridade e a substituição de instâncias não íntegras.
Para obter proteção contra falhas de servidor e rack de servidor, o Firewall do Azure distribui automaticamente instâncias entre vários domínios de falha em uma região.
O diagrama a seguir mostra um firewall com duas instâncias:
Para aumentar a redundância e a disponibilidade durante falhas no datacenter, você pode habilitar a redundância de zona para distribuir instâncias em várias zonas de disponibilidade.
Resiliência a falhas transitórias
Falhas transitórias são falhas curtas e intermitentes em componentes. Eles ocorrem com frequência em um ambiente distribuído, como a nuvem, e são uma parte normal das operações. As falhas transitórias corrigem-se após um curto período de tempo. É importante que seus aplicativos possam lidar com falhas transitórias, geralmente tentando novamente as solicitações afetadas.
Todos os aplicativos hospedados na nuvem devem seguir as diretrizes de tratamento de falhas transitórias do Azure quando se comunicam com quaisquer APIs, bancos de dados e outros componentes hospedados na nuvem. Para obter mais informações, consulte Recomendações para o tratamento de falhas transitórias.
Para aplicativos que se conectam por meio do Firewall do Azure, implemente a lógica de repetição com backoff exponencial para lidar com possíveis problemas de conexão transitórios. A natureza stateful do Firewall do Azure garante que as conexões legítimas sejam mantidas durante breves interrupções de rede.
Durante as operações de dimensionamento, que levam de 5 a 7 minutos para serem concluídas, as conexões existentes são preservadas enquanto novas instâncias de firewall são adicionadas para lidar com o aumento da carga.
Resiliência a falhas na zona de disponibilidade
As zonas de disponibilidade são grupos fisicamente separados de centros de dados dentro de uma região Azure. Quando uma zona falha, os serviços podem ser transferidos para uma das zonas restantes.
O Firewall do Azure é implantado automaticamente em zonas de disponibilidade em regiões com suporte quando criado por meio do portal do Azure. Para opções avançadas de configuração de zona, você deve usar o Azure PowerShell, a CLI do Azure, o Bíceps ou os modelos do Azure Resource Manager (modelos ARM).
O Firewall do Azure dá suporte aos modelos de implantação zonal e com redundância de zona:
Zona redundante: Quando habilitado para redundância de zona, o Azure distribui instâncias de firewall em várias zonas de disponibilidade na região. O Azure gerencia o balanceamento de carga e o failover entre zonas automaticamente.
Os firewalls com redundância de zona alcançam o SLA (contrato de nível de serviço) de tempo de atividade mais alto. Eles são recomendados para cargas de trabalho de produção que exigem disponibilidade máxima.
O diagrama a seguir mostra um firewall com redundância de zona com três instâncias distribuídas em três zonas de disponibilidade:
Observação
Se você criar seu firewall usando o portal do Azure, a redundância de zona será habilitada automaticamente.
Zonal: Se sua solução for excepcionalmente sensível à latência entre zonas, você poderá associar o Firewall do Azure a uma zona de disponibilidade específica. Você pode usar uma implantação zonal para implantar em maior proximidade com seus servidores back-end. Todas as instâncias de um firewall zonal são implantadas nessa zona.
O diagrama a seguir mostra um firewall zonal com três instâncias implantadas na mesma zona de disponibilidade:
Importante
Recomendamos que você fixe em uma única zona de disponibilidade somente quando a latência entre zonas exceder os limites aceitáveis e tiver confirmado que a latência não atende aos seus requisitos. Um firewall zonal por si só não fornece resiliência a uma interrupção da zona de disponibilidade. Para melhorar a resiliência de uma implantação zonal do Firewall do Azure, você deve implantar manualmente firewalls separados em várias zonas de disponibilidade e configurar o roteamento e o failover de tráfego.
Se você não configurar um firewall para ser redundante de zona ou zonal, ele será considerado não zonal ou regional. Os firewalls não zonais podem ser colocados em qualquer zona de disponibilidade dentro da região. Se uma zona de disponibilidade na região sofrer uma interrupção, firewalls não zonais podem estar na zona afetada e podem enfrentar tempo de inatividade.
Suporte de região
O Firewall do Azure dá suporte a zonas de disponibilidade em todas as regiões que oferecem suporte a zonas de disponibilidade, onde o serviço Firewall do Azure está disponível.
Requerimentos
- Todas as camadas do Firewall do Azure suportam zonas de disponibilidade.
- Para firewalls com redundância de zona, você deve usar endereços IP públicos padrão e configurá-los para serem redundantes de zona.
- Para firewalls zonais, você deve usar endereços IP públicos padrão e pode configurá-los para serem redundantes de zona ou zonais na mesma zona que o firewall.
Custo
Não há custo extra para um firewall implantado em mais de uma zona de disponibilidade.
Configurar o suporte à zona de disponibilidade
Esta seção explica como configurar o suporte à zona de disponibilidade para seus firewalls.
Crie um novo firewall com suporte à zona de disponibilidade: A abordagem que você usa para configurar zonas de disponibilidade depende se você deseja criar um firewall zonal ou com redundância de zona e as ferramentas usadas.
Importante
A redundância de zona é habilitada automaticamente quando você implanta por meio do portal do Azure. Para configurar zonas específicas, você deve usar outra ferramenta, como os modelos CLI do Azure, Azure PowerShell, Bíceps ou ARM.
Zona redundante: Quando você implanta um novo firewall usando o portal do Azure, seu firewall é redundante de zona por padrão. Para obter mais informações, consulte Implantar o Firewall do Azure usando o portal do Azure.
Ao usar a CLI do Azure, Azure PowerShell, Bicep, modelos ARM ou Terraform, você pode, opcionalmente, especificar as zonas de disponibilidade para implantação. Para implantar um firewall com redundância de zona, especifique duas ou mais zonas. Recomendamos que você selecione todas as zonas para que seu firewall possa usar todas as zonas de disponibilidade, a menos que você tenha um motivo específico para excluir uma zona.
Para mais informações sobre a implementação de um ZR Firewall, consulte Deploy an Azure Firewall com zonas de disponibilidade.
Observação
Quando você seleciona quais zonas de disponibilidade usar, na verdade está selecionando a zona de disponibilidade lógica. Se você implantar outros componentes de carga de trabalho em uma assinatura diferente do Azure, eles poderão usar um número de zona de disponibilidade lógica diferente para acessar a mesma zona de disponibilidade física. Para obter mais informações, consulte Zonas de disponibilidade física e lógica.
Habilite o suporte à zona de disponibilidade em um firewall existente: Você pode habilitar zonas de disponibilidade em um firewall existente se ele atender a critérios específicos. O processo requer que você pare (desaloque) o firewall e o reconfigure. Espere algum tempo de inatividade. Para obter mais informações, consulte Configurar zonas de disponibilidade após a implantação.
Altere a configuração da zona de disponibilidade de um firewall existente: Para alterar a configuração da zona de disponibilidade, você precisa primeiro parar (deslocalizar) o firewall, um processo que envolve algum tempo de inatividade. Para obter mais informações, consulte Configurar zonas de disponibilidade após a implantação.
Desative o suporte à zona de disponibilidade: Você pode alterar as zonas de disponibilidade usadas por um firewall, mas não pode converter um firewall zonal ou com redundância de zona em uma configuração não zonal.
Comportamento quando todas as zonas estão íntegras
Esta seção descreve o que esperar quando o Firewall do Azure é configurado com suporte à zona de disponibilidade e todas as zonas de disponibilidade estão operacionais.
Roteamento de tráfego entre zonas: O comportamento de roteamento de tráfego depende da configuração da zona de disponibilidade usada pelo firewall.
Zona redundante: O Firewall do Azure distribui automaticamente as solicitações de entrada entre instâncias em todas as zonas usadas pelo firewall. Esta configuração ativa-ativa garante um desempenho ideal e uma distribuição de carga em condições normais de operação.
Zonal: Se você implantar várias instâncias zonais em zonas diferentes, deverá configurar o roteamento de tráfego usando soluções de balanceamento de carga externas, como o Azure Load Balancer ou o Azure Traffic Manager.
Gerenciamento de instâncias: A plataforma gerencia automaticamente o posicionamento de instâncias nas zonas usadas pelo firewall, substituindo instâncias com falha e mantendo a contagem de instâncias configuradas. O monitoramento de integridade garante que apenas instâncias íntegras recebam tráfego.
Replicação de dados entre zonas: O Firewall do Azure não precisa sincronizar o estado da conexão entre zonas de disponibilidade. A instância que processa a solicitação mantém o estado de cada conexão.
Comportamento durante uma falha de zona
Esta seção descreve o que esperar quando o Firewall do Azure é configurado com suporte à zona de disponibilidade e uma ou mais zonas de disponibilidade não estão disponíveis.
Deteção e resposta: A responsabilidade pela deteção e resposta depende da configuração da zona de disponibilidade usada pelo firewall.
Zona redundante: Para instâncias configuradas para usar redundância de zona, a plataforma de Firewall do Azure deteta e responde a uma falha em uma zona de disponibilidade. Não é necessário iniciar um failover de zona.
Zonal: Para firewalls configurados para serem zonais, você precisa detetar a perda de uma zona de disponibilidade e iniciar um failover para um firewall secundário criado em outra zona de disponibilidade.
- Notificação: a Microsoft não o notifica automaticamente quando uma zona está inativa. No entanto, você pode usar a Integridade do Serviço do Azure para entender a integridade geral do serviço, incluindo quaisquer falhas de zona, e pode configurar alertas de Integridade do Serviço para notificá-lo sobre problemas.
Ligações ativas: Quando uma zona de disponibilidade não está disponível, as solicitações em andamento conectadas a uma instância de firewall na zona de disponibilidade defeituosa podem ser encerradas e exigir tentativas.
Perda de dados esperada: Nenhuma perda de dados é esperada durante o failover de zona porque o Firewall do Azure não armazena dados persistentes do cliente.
Tempo de inatividade esperado: O tempo de inatividade depende da configuração da zona de disponibilidade usada pelo firewall.
Zona redundante: Espere um tempo de inatividade mínimo (normalmente alguns segundos) durante uma interrupção da zona de disponibilidade. Os aplicativos cliente devem seguir práticas para tratamento de falhas transitórias, incluindo a implementação de políticas de repetição com backoff exponencial.
Zonal: Quando uma zona não está disponível, o firewall permanece indisponível até que a zona de disponibilidade se recupere.
Reencaminhamento do tráfego: O comportamento de redirecionamento de tráfego depende da configuração da zona de disponibilidade usada pelo firewall.
Zona redundante: O tráfego redireciona automaticamente para zonas de disponibilidade íntegras. Se necessário, a plataforma cria novas instâncias de firewall em zonas íntegras.
Zonal: Quando uma zona não está disponível, o firewall zonal também não está disponível. Se você tiver um firewall secundário em outra zona de disponibilidade, será responsável por redirecionar o tráfego para esse firewall.
Failback
O comportamento de failback depende da configuração da zona de disponibilidade usada pelo firewall.
Zona redundante: Depois que a zona de disponibilidade se recupera, o Firewall do Azure redistribui automaticamente as instâncias em todas as zonas que o firewall usa e restaura o balanceamento de carga normal entre zonas.
Zonal: Depois que a zona de disponibilidade se recuperar, você será responsável por redirecionar o tráfego para o firewall na zona de disponibilidade original.
Teste de falhas de zona
As opções para teste de falha de zona dependem da configuração da zona de disponibilidade do firewall.
Zona redundante: A plataforma de Firewall do Azure gerencia roteamento de tráfego, failover e failback para recursos de firewall com redundância de zona. Esse recurso é totalmente gerenciado, portanto, você não precisa iniciar ou validar processos de falha na zona de disponibilidade.
Zonal: Você pode simular aspetos da falha de uma zona de disponibilidade interrompendo um firewall. Use essa abordagem para testar como outros sistemas e balanceadores de carga lidam com uma interrupção no firewall. Para obter mais informações, consulte Parar e iniciar o Firewall do Azure.
Resiliência a falhas em toda a região
O Firewall do Azure é um serviço de região única. Se a região não estiver disponível, o seu recurso de Firewall também está indisponível.
Soluções personalizadas de várias regiões para resiliência
Para implementar uma arquitetura de várias regiões, use firewalls separados. Esta abordagem exige que implemente um firewall independente em cada região, encaminhe o tráfego para o firewall regional apropriado e implemente uma lógica de failover personalizada. Considere os seguintes pontos:
Use o Gerenciador de Firewall do Azure para gerenciamento centralizado de políticas em vários firewalls. Use o método de Diretiva de Firewall para gerenciamento centralizado de regras em várias instâncias de firewall.
Implemente o roteamento de tráfego usando o Gerenciador de Tráfego ou o Azure Front Door.
Para obter um exemplo de arquitetura que ilustra arquiteturas de segurança de rede de várias regiões, consulte Balanceamento de carga de várias regiões usando o Gerenciador de Tráfego, o Firewall do Azure e o Gateway de Aplicativos.
Resiliência à manutenção de serviços
O Firewall do Azure executa atualizações regulares de serviço e outras formas de manutenção.
Você pode configurar janelas de manutenção diárias para alinhar os cronogramas de atualização com suas necessidades operacionais. Para obter mais informações, consulte Configurar a manutenção controlada pelo cliente para o Firewall do Azure.
Contrato de nível de serviço
O contrato de nível de serviço (SLA) para serviços do Azure descreve a disponibilidade esperada de cada serviço e as condições que sua solução deve atender para atingir essa expectativa de disponibilidade. Para obter mais informações, consulte Acordos de Nível de Serviço (SLAs) para serviços online.
O Firewall do Azure fornece um SLA de maior disponibilidade para firewalls implantados em duas ou mais zonas de disponibilidade.