Proteja suas redes com o Gerenciador de Firewall do Azure

  • 7 minutos

Trabalhando com o Gerenciador de Firewall do Azure

O Azure Firewall Manager é um serviço de gestão de segurança que oferece gestão central de políticas de segurança e de rotas para perímetros de segurança com base na cloud.

Diagram of the Azure Firewall Manager that shows the secure hub and hub VNet deployment option.

O Azure Firewall Manager simplifica o processo de definição centralizada de regras de rede e de nível de aplicativo para filtragem de tráfego em várias instâncias do Firewall do Azure. Você pode abranger diferentes regiões e assinaturas do Azure em arquiteturas de hub e spoke para governança e proteção de tráfego.

Se você gerencia vários firewalls, sabe que a alteração contínua das regras de firewall dificulta mantê-los sincronizados. As equipes centrais de TI precisam de uma maneira de definir políticas básicas de firewall e aplicá-las em várias unidades de negócios. Ao mesmo tempo, as equipes de DevOps querem criar suas próprias políticas de firewall derivadas locais que são implementadas em todas as organizações. O Azure Firewall Manager pode ajudar a resolver esses problemas.

O Firewall Manager pode fornecer gestão de segurança para dois tipos de arquitetura de rede:

  • Hub Virtual Seguro - Este é o nome dado a qualquer Hub WAN Virtual do Azure quando as políticas de segurança e roteamento foram associadas a ele. Um Hub WAN Virtual do Azure é um recurso gerido pela Microsoft que lhe permite criar facilmente arquiteturas de interação com o administrador.
  • Rede Virtual de Hub - Este é o nome dado a qualquer rede virtual padrão do Azure quando as políticas de segurança estão associadas a ela. Uma rede virtual padrão do Azure é um recurso que você mesmo cria e gerencia. No momento, apenas a Política de Firewall do Azure é suportada. Você pode peer spoke redes virtuais que contêm sua carga de trabalho, servidores e serviços. Você também pode gerenciar firewalls em redes virtuais autônomas que não são emparelhadas para qualquer falado.

Recursos do Azure Firewall Manager

Os principais recursos oferecidos pelo Gerenciador de Firewall do Azure são:

  • Implantação e configuração do Firewall Central do Azure

    Você pode implantar e configurar centralmente várias instâncias do Firewall do Azure que abrangem diferentes regiões e assinaturas do Azure.

  • Políticas hierárquicas (globais e locais)

    Você pode usar o Gerenciador de Firewall do Azure para gerenciar centralmente as políticas do Firewall do Azure em vários hubs virtuais protegidos. Suas equipes centrais de TI podem criar políticas globais de firewall para aplicar a política de firewall em toda a organização entre as equipes. As políticas de firewall criadas localmente permitem um modelo de autosserviço de DevOps para maior agilidade.

  • Integrado com segurança como serviço de terceiros para segurança avançada

    Além do Firewall do Azure, você pode integrar provedores de segurança como serviço de terceiros para fornecer proteção de rede adicional para suas conexões de VNet e filiais com a Internet. Esse recurso está disponível apenas com implantações seguras de hub virtual (veja acima).

  • Gestão centralizada de rotas

    Você pode facilmente rotear o tráfego para seu hub seguro para filtragem e registro em log sem a necessidade de configurar manualmente as Rotas Definidas pelo Usuário (UDR) em redes virtuais faladas. Esse recurso está disponível apenas com implantações seguras de hub virtual (veja acima).

  • Disponibilidade por regiões

    Você pode usar as Políticas de Firewall do Azure entre regiões. Por exemplo, você pode criar uma política na região Oeste dos EUA e ainda usá-la na região Leste dos EUA.

  • Plano de proteção contra DDoS

    Você pode associar suas redes virtuais a um plano de proteção contra DDoS no Gerenciador de Firewall do Azure.

  • Gerenciar políticas do Web Application Firewall

    Você pode criar e associar centralmente políticas do WAF (Web Application Firewall) para suas plataformas de entrega de aplicativos, incluindo o Azure Front Door e o Azure Application Gateway.

Políticas do Azure Firewall Manager

Uma política de Firewall é um recurso do Azure que contém NAT, coleções de regras de rede e de aplicativos e configurações de Inteligência contra Ameaças. É um recurso global que pode ser usado em várias instâncias do Firewall do Azure em Hubs Virtuais Seguros e Redes Virtuais de Hub. Novas políticas podem ser criadas do zero ou herdadas de políticas existentes. A herança permite que o DevOps crie políticas de firewall locais sobre a política base obrigatória da organização. As políticas funcionam em todas as regiões e assinaturas.

Você pode criar a Política de Firewall e associações com o Gerenciador de Firewall do Azure. No entanto, você também pode criar e gerenciar uma política usando a API REST, modelos, o Azure PowerShell e a CLI do Azure. Depois de criar uma política, você pode associá-la a um firewall em um hub WAN virtual, tornando-o um Hub Virtual Seguro e/ou associá-lo a um firewall em uma rede virtual padrão do Azure, tornando-o uma Rede Virtual de Hub.

Diagram of Azure Firewall Manager with three firewalls deployed to different hub vnets with policies applied.

Implantando o Gerenciador de Firewall do Azure para Redes Virtuais de Hub

O processo recomendado para implantar o Gerenciador de Firewall do Azure para Redes Virtuais de Hub é o seguinte:

  1. Criar uma política de firewall

    Você pode criar uma nova política, derivar uma política base e personalizar uma política local ou importar regras de um Firewall do Azure existente. Certifique-se de remover as regras NAT das políticas que devem ser aplicadas em vários firewalls.

  2. Crie sua arquitetura de hub e spoke

    Faça isso criando uma Rede Virtual de Hub usando o Gerenciador de Firewall do Azure e emparelhando redes virtuais spoke a ela usando emparelhamento de rede virtual ou criando uma rede virtual e adicionando conexões de rede virtual e emparelhamento de redes virtuais spoke a ela usando emparelhamento de rede virtual.

  3. Selecione provedores de segurança e associe a política de firewall

    Atualmente, apenas o Firewall do Azure é um provedor com suporte. Isso pode ser feito durante a criação de uma Rede Virtual de Hub ou convertendo uma rede virtual existente em uma Rede Virtual de Hub. Também é possível converter várias redes virtuais.

  4. Configurar rotas definidas pelo usuário para rotear o tráfego para o firewall da RedeVirtual de Hub

Implantando o Gerenciador de Firewall do Azure para Hubs Virtuais Seguros

O processo recomendado para implantar o Gerenciador de Firewall do Azure para Hubs Virtuais Seguros é o seguinte:

  1. Crie sua arquitetura de hub e spoke

    Faça isso criando um Hub Virtual Protegido usando o Gerenciador de Firewall do Azure e adicionando conexões de rede virtual, ou criando um Hub WAN Virtual e adicionando conexões de rede virtual.

  2. Selecionar fornecedores de segurança

    Isso pode ser feito durante a criação de um Hub Virtual Seguro ou convertendo um Hub WAN Virtual existente em um Hub Virtual Seguro.

  3. Crie uma política de firewall e associe-a ao seu hub

    Isso é aplicável somente se você estiver usando o Firewall do Azure. As políticas de segurança como serviço de terceiros são configuradas por meio da experiência de gerenciamento de parceiros.

  4. Definir configurações de rota para rotear o tráfego para seu Hub Virtual Seguro

    Você pode facilmente rotear o tráfego para seu hub seguro para filtragem e registro sem UDR (Rotas Definidas pelo Usuário) em Redes Virtuais spoke usando a página Configuração de Rota de Hub Virtual Seguro.

Você não pode ter mais de um hub por WAN virtual por região, no entanto, você pode adicionar várias WANs virtuais na região para conseguir isso.

Não é possível ter espaços IP sobrepostos para hubs em uma vWAN.

Suas conexões de rede virtual de hub devem estar na mesma região que o hub.