Quando usar o Firewall Premium do Azure
As organizações podem usar os recursos do Firewall Premium do Azure, como inspeção de IDPS e TLS, para impedir que malware e vírus se espalhem pelas redes em direções laterais e horizontais. Para atender às crescentes demandas de desempenho da inspeção de IDPS e TLS, o Firewall Premium do Azure usa uma SKU de máquina virtual mais poderosa. Como o SKU padrão, o SKU Premium pode ser dimensionado perfeitamente até 30 Gbps e integrar-se com zonas de disponibilidade para suportar o contrato de nível de serviço (SLA) de 99,99%. O SKU Premium está em conformidade com as necessidades do ambiente PCI DSS (Payment Card Industry Data Security Standard).
Para ajudá-lo a decidir se o Firewall Premium do Azure é adequado para sua organização, considere os seguintes cenários:
Você deseja inspecionar o tráfego de rede criptografado TLS de saída
A Inspeção TLS Premium do Firewall do Azure pode descriptografar o tráfego de saída, processar os dados e, em seguida, criptografar os dados e enviá-los para o destino.
O Firewall Premium do Azure encerra conexões TLS de saída e leste-oeste. A inspeção TLS de entrada é suportada com o Gateway de Aplicativo do Azure, permitindo criptografia de ponta a ponta. O Firewall do Azure executa as funções de segurança de valor agregado necessárias e criptografa novamente o tráfego enviado para o destino original.
Você deseja proteger sua rede usando a deteção de tráfego mal-intencionado baseada em assinatura
Um sistema de deteção e prevenção de intrusões na rede (IDPS) permite-lhe monitorizar a sua rede em busca de atividades maliciosas. Ele também permite que você registre informações sobre essa atividade, denuncie-a e, opcionalmente, tente bloqueá-la.
O Firewall Premium do Azure fornece IDPS baseados em assinatura para permitir a deteção rápida de ataques procurando padrões específicos, como sequências de bytes no tráfego de rede ou sequências de instruções maliciosas conhecidas usadas por malware. As assinaturas IDPS são aplicáveis ao tráfego de aplicativo e de rede (Camadas 4-7). Eles são totalmente gerenciados e atualizados continuamente. Você pode aplicar IDPS ao tráfego de entrada, falado a raio (Leste-Oeste) e de saída.
As assinaturas/conjuntos de regras do Firewall do Azure incluem:
- Uma ênfase na impressão digital de malware real, Comando e Controle, kits de exploração e, na natureza, atividade maliciosa perdida pelos métodos tradicionais de prevenção.
- Mais de 55.000 regras em mais de 50 categorias.
- As categorias incluem comando e controle de malware, ataques DoS, botnets, eventos informativos, exploits, vulnerabilidades, protocolos de rede SCADA, atividade do kit de exploração e muito mais.
- 20 a 40+ novas regras são lançadas a cada dia.
- Baixa classificação de falso positivo usando sandbox de malware de última geração e loop de feedback de rede de sensor global.
O IDPS permite detetar ataques em todas as portas e protocolos para tráfego não criptografado. No entanto, quando o tráfego HTTPS precisa ser inspecionado, o Firewall do Azure pode usar seu recurso de inspeção TLS para descriptografar o tráfego e detetar melhor atividades maliciosas.
A Lista de Desvio de IDPS permite que você não filtre o tráfego para nenhum dos endereços IP, intervalos e sub-redes especificados na lista de bypass.
Você também pode usar regras de assinatura quando o modo IDPS estiver definido como Alerta. No entanto, há uma ou mais assinaturas específicas que você deseja bloquear, incluindo o tráfego associado. Nesse caso, você pode adicionar novas regras de assinatura definindo o modo de Inspeção TLS como negar.
Você deseja estender o recurso de filtragem FQDN do Firewall do Azure para considerar uma URL inteira
O Firewall Premium do Azure pode filtrar uma URL inteira. Por exemplo, www.contoso.com/a/c em vez de www.contoso.com.
A Filtragem de URL pode ser aplicada no tráfego HTTP e HTTPS. Quando o tráfego HTTPS é inspecionado, o Firewall Premium do Azure pode usar seu recurso de inspeção TLS para descriptografar o tráfego e extrair a URL de destino para validar se o acesso é permitido. A inspeção TLS requer aceitação no nível da regra de aplicativo. Uma vez habilitado, você pode usar URLs para filtrar com HTTPS.
Você deseja permitir ou negar acesso com base em categorias
O recurso Categorias da Web permite que os administradores permitam ou neguem o acesso do usuário a categorias de sites, como sites de jogos, sites de mídia social e outros. As categorias da Web também estão incluídas no Azure Firewall Standard, mas são mais ajustadas no Azure Firewall Premium. Ao contrário do recurso de categorias da Web no SKU padrão que corresponde à categoria baseada em um FQDN, o SKU Premium corresponde à categoria de acordo com a URL inteira para o tráfego HTTP e HTTPS.
Por exemplo, se o Firewall do Azure intercetar uma solicitação HTTPS para www.google.com/news, a seguinte categorização será esperada:
- Firewall Standard – apenas a parte FQDN é examinada, portanto , www.google.com é categorizado como Search Engine.
- Firewall Premium – o URL completo é examinado, por isso www.google.com/news é categorizado como Notícias.
As categorias são organizadas com base na gravidade em Responsabilidade, Alta largura de banda, Uso comercial, Perda de produtividade, Navegação geral e Sem categoria.