O que é o Azure Firewall?

Concluído

Aqui você aprende as noções básicas do Firewall do Azure e do Gerenciador do Firewall do Azure. Esta visão geral deve ajudá-lo a decidir se o Firewall do Azure e o Gerenciador de Firewall do Azure são adequados à estratégia de segurança de rede da Contoso.

Visão geral do Firewall do Azure

O Firewall do Azure é um serviço de segurança baseado em nuvem que protege seus recursos de rede virtual do Azure contra ameaças de entrada e saída. Nas próximas seções, você aprenderá os fundamentos e os principais recursos do Firewall do Azure.

O que é uma firewall?

Um firewall é um recurso de segurança de rede que fica entre uma rede confiável e uma rede não confiável, como a Internet. O trabalho do firewall é analisar todo o tráfego de rede de entrada e saída. Com base nessa análise, o firewall permite que o tráfego passe ou nega o tráfego. Idealmente, o firewall permite todo o tráfego legítimo, negando o tráfego malicioso, como malware e tentativas de intrusão.

Por padrão, a maioria dos firewalls nega todo o tráfego de entrada e saída. Quando um firewall analisa o tráfego de rede, ele verifica se determinadas condições devem ser atendidas antes de permitir a passagem do tráfego. Essas condições podem ser um endereço IP especificado, FQDN, porta de rede, protocolo de rede ou qualquer combinação.

Juntas, essas condições definem uma regra de firewall. Um firewall pode ter apenas uma única regra, mas a maioria dos firewalls é configurada com muitas regras. Apenas o tráfego de rede que atenda às condições das regras do firewall pode passar.

Alguns firewalls são baseados em hardware e residem dentro de dispositivos criados para atuar como firewalls. Outros firewalls são programas de software que são executados em dispositivos de computação de uso geral.

O que é o Azure Firewall?

O Firewall do Azure é um serviço de firewall baseado em nuvem. Na maioria das configurações, o Firewall do Azure é provisionado dentro de uma rede virtual de hub. O tráfego de e para as redes virtuais spoke e a rede local atravessa o firewall com a rede hub.

Todo o tráfego de e para a Internet é negado por padrão. O tráfego só é permitido se passar em vários testes, como as regras de firewall configuradas.

Network diagram of a hub virtual network, several spoke virtual networks, and an on-premises network. It shows all traffic to and from the internet passing through an Azure Firewall instance in the hub network.

Nota

O Firewall do Azure funciona não apenas para o tráfego de e para a Internet, mas também internamente. A filtragem de tráfego interno inclui tráfego spoke-to-spoke e tráfego de nuvem híbrida entre sua rede local e sua rede virtual do Azure.

Principais recursos do Firewall do Azure Standard

A tabela a seguir lista os principais recursos do Azure Firewall Standard.

Caraterística Description
Conversão de endereços de rede de origem (SNAT) Todo o tráfego de saída é enviado para o endereço IP privado da instância do Firewall do Azure. O endereço IP de cada máquina virtual de origem é convertido para o endereço IP público estático da instância do Firewall do Azure. Para todos os destinos externos, o tráfego de rede parece vir de um único endereço IP público.
Conversão de endereços de rede de destino (DNAT) Todo o tráfego de entrada de fontes externas é enviado para o endereço IP público da instância do Firewall do Azure. O tráfego permitido é convertido para o endereço IP privado do recurso de destino na sua rede virtual.
Regras de aplicação Regras que limitam o tráfego de saída a uma lista de FQDNs. Por exemplo, você pode permitir que o tráfego de saída acesse o FQDN de uma instância de banco de dados SQL especificada.
Regras de rede Regras para tráfego de entrada e saída com base em parâmetros de rede. Estes parâmetros incluem o endereço IP de destino ou de origem; a porta da rede; e o protocolo de rede.
Informações sobre ameaças Filtra o tráfego de entrada e saída com base nas regras de inteligência de ameaças da Microsoft, que definem endereços IP mal-intencionados conhecidos e nomes de domínio. Você pode configurar o Firewall do Azure com um dos dois modos de inteligência de ameaças: alertá-lo quando o tráfego falhar em uma regra de inteligência de ameaças ou alertá-lo e negar o tráfego.
Com monitorização de estado Examina os pacotes de rede no contexto, não apenas individualmente. Se um ou mais pacotes chegarem inesperadamente dado o tráfego atual, o Firewall do Azure tratará os pacotes como mal-intencionados e os negará.
Túnel forçado Permite que o Firewall do Azure roteie todo o tráfego de saída para um recurso de rede especificado em vez de diretamente para a Internet. O recurso de rede pode ser um firewall de hardware local ou um dispositivo virtual de rede que processa o tráfego antes de permitir que ele passe para a Internet.
Suporte a tags O Firewall do Azure dá suporte a tags de serviço e marcas FQDN para facilitar a configuração de regras. Uma marca de serviço é uma entidade de texto que representa um serviço do Azure. Por exemplo, AzureCosmosDB é a marca de serviço para o serviço Azure Cosmos DB. Uma marca FQDN é uma entidade de texto que representa um grupo de nomes de domínio associados a serviços populares da Microsoft. Por exemplo, WindowsVirtualDesktop é a marca FQDN para o tráfego da Área de Trabalho Virtual do Azure.
Proxy DNS Com o proxy DNS habilitado, o Firewall do Azure pode processar e encaminhar consultas DNS de uma Rede Virtual para o servidor DNS desejado.
DNS Personalizado Permite configurar o Firewall do Azure para usar seu próprio servidor DNS, garantindo que as dependências de saída do firewall ainda sejam resolvidas com o DNS do Azure.
Categorias Web O recurso Categorias da Web permite que os administradores permitam ou neguem o acesso do usuário a categorias de sites, como sites de jogos, sites de mídia social e outros.
Monitorização O Firewall do Azure registra todo o tráfego de rede de entrada e saída e você pode analisar os logs resultantes usando o Azure Monitor, Power BI, Excel e outras ferramentas.

O que é o Azure Firewall Premium?

O Firewall Premium do Azure fornece proteção avançada contra ameaças que atende às necessidades de ambientes altamente confidenciais e regulamentados, como os setores de pagamentos e saúde.

Firewall Premium architecture

Principais recursos do Firewall Premium do Azure

A tabela a seguir lista os principais recursos do Firewall Premium do Azure.

Caraterística Description
Inspeção TLS Desencripta o tráfego de saída, processa os dados e, em seguida, encripta os dados e envia-os para o destino.
IDPS Um sistema de deteção e prevenção de intrusões de rede (IDPS) permite monitorar atividades de rede em busca de atividades maliciosas, registrar informações sobre essa atividade, denunciá-las e, opcionalmente, tentar bloqueá-las.
Filtragem de URL Estende o recurso de filtragem FQDN do Firewall do Azure para considerar uma URL inteira. Por exemplo, www.contoso.com/a/c em vez de www.contoso.com.
Categorias Web Os administradores podem permitir ou negar o acesso do usuário a categorias de sites, como sites de jogos, sites de mídia social e outros. As categorias da Web podem ser mais ajustadas no Azure Firewall Premium.

O que é o Azure Firewall Basic?

O Firewall do Azure Basic destina-se a clientes de pequeno e médio porte (SMB) para proteger seus ambientes de nuvem do Azure. Ele fornece a proteção essencial que os clientes SMB precisam a um preço acessível.

Diagram showing Firewall Basic.

O Firewall do Azure Basic é semelhante ao Firewall Standard, mas tem as seguintes limitações principais:

  • Suporta apenas o modo de alerta Threat Intel.
  • Unidade de escala fixa para executar o serviço em duas instâncias de back-end de máquina virtual.
  • Recomendado para ambientes com uma taxa de transferência estimada de 250 Mbps.

Visão geral do Gerenciador de Firewall do Azure

O Gerenciador de Firewall do Azure fornece um ponto central de configuração e gerenciamento de várias instâncias do Firewall do Azure. O Azure Firewall Manager permite criar uma ou mais políticas de firewall e aplicá-las rapidamente a vários firewalls.

O que é uma política de firewall?

A configuração de um único Firewall do Azure pode ser complicada. Por exemplo, o firewall pode ser configurado com várias coleções de regras. Uma coleção é uma combinação de um ou de todos os seguintes itens:

  • Uma ou mais regras de conversão de endereços de rede (NAT)
  • Uma ou mais regras de rede
  • Uma ou mais regras de aplicação

Quando você inclui outras configurações de firewall, como DNS personalizado e regras de inteligência de ameaças, configurar apenas um único firewall pode ser um fardo. A acrescentar a essa carga estão dois cenários comuns de segurança de rede:

  • Suas arquiteturas de rede exigem vários firewalls.
  • Você deseja que cada firewall implemente um nível básico de regras de segurança que se aplicam a todos, além de regras especiais para grupos designados, como desenvolvedores, usuários de banco de dados e o departamento de marketing.

Para simplificar a complexidade do gerenciamento desses e de cenários de firewall semelhantes, você pode implementar políticas de firewall. Uma política de firewall é um recurso do Azure que contém uma ou mais coleções de regras de NAT, rede e aplicativo. Ele também contém configurações de DNS personalizadas, configurações de inteligência de ameaças e muito mais.

O ponto-chave é que o Azure oferece um recurso chamado Política de Firewall. Uma política de firewall que você cria é uma instância desse recurso. Como um recurso separado, você pode aplicar rapidamente a política a vários firewalls usando o Gerenciador de Firewall do Azure. Você pode criar uma política para ser a política base e, em seguida, fazer com que políticas mais especializadas herdem as regras da política base.

Principais recursos do Gerenciador de Firewall do Azure

A tabela a seguir lista os principais recursos do Gerenciador de Firewall do Azure.

Caraterística Description
Gestão centralizada Gerencie todas as configurações de firewall em toda a rede.
Gerencie vários firewalls Implante, configure e monitore qualquer número de firewalls a partir de uma única interface.
Suporta várias arquiteturas de rede Protege as redes virtuais padrão do Azure e os Hubs WAN Virtuais do Azure.
Roteamento de tráfego automatizado O tráfego de rede é roteado automaticamente para o firewall (quando usado apenas com o Hub Virtual WAN do Azure).
Políticas hierárquicas Permite criar as chamadas políticas de firewall pai e filho. Uma política pai contém as regras e configurações que você deseja aplicar globalmente. Uma política filho herda todas as regras e configurações de seu pai.
Suporte para provedores de segurança terceirizados Permite integrar soluções de segurança como serviço (SECaaS) de terceiros para proteger a ligação à Internet da sua rede.
Plano de proteção contra DDoS Você pode associar suas redes virtuais a um plano de proteção contra DDoS no Gerenciador de Firewall do Azure.
Gerenciar políticas do Web Application Firewall Você pode criar e associar centralmente políticas do Web Application Firewall (WAF) para suas plataformas de entrega de aplicativos, incluindo o Azure Front Door e o Azure Application Gateway.

Nota

Ao permitir que você integre soluções SECaaS de terceiros, sua estratégia de segurança de rede pode ser usar o Firewall do Azure para monitorar o tráfego de rede local enquanto usa o provedor SECaaS de terceiros para monitorar o tráfego da Internet.

Opções de arquitetura

O Azure Firewall Manager fornece gerenciamento de segurança para as duas arquiteturas de rede a seguir:

  • Rede virtual do Hub. Uma rede virtual padrão do Azure onde uma ou mais políticas de firewall são aplicadas.
  • Hub virtual seguro. Um Hub WAN Virtual do Azure onde uma ou mais políticas de firewall são aplicadas.