Recursos Standard do Firewall do Azure

O Firewall do Azure Standard é um serviço de segurança de rede gerenciado e baseado em nuvem que protege os recursos da rede virtual do Azure.

Recursos Standard do Firewall do Azure

O Firewall do Azure inclui os seguintes recursos:

  • Alta disponibilidade interna
  • Zonas de Disponibilidades
  • Escalabilidade de nuvem sem restrições
  • Regras de filtragem de FQDN de aplicativo
  • Regras de filtragem de tráfego de rede
  • Marcas de FQDN
  • Marcas de serviço
  • Inteligência contra ameaças
  • Proxy DNS
  • DNS Personalizado
  • Regras do FQDN na rede
  • Implantação sem endereço IP público no modo de túnel forçado
  • Suporte a SNAT de saída
  • Suporte a DNAT de entrada
  • Vários endereços IP públicos
  • Registro em log do Azure Monitor
  • Túnel forçado
  • Categorias da Web
  • Certificações

Para comparar os recursos do Firewall do Azure para todas as SKUs do Firewall, confira Escolher o SKU do Azure Firewall correto para atender às suas necessidades.

Alta disponibilidade interna

A alta disponibilidade é interna, portanto, nenhum balanceador de carga adicional é necessário e nenhuma configuração é necessária.

Zonas de Disponibilidades

O Firewall do Azure pode ser configurado durante a implantação para abranger várias Zonas de Disponibilidade para aumentar a disponibilidade. Com Zonas de Disponibilidade, a sua disponibilidade aumenta para um tempo de atividade de 99,99%. Para saber mais, confira o Contrato de Nível de Serviço (SLA) do Firewall do Azure. O SLA de tempo de atividade de 99,99% é oferecido quando duas ou mais Zonas de Disponibilidade estão selecionadas.

Você também pode associar o Firewall do Azure a uma zona específica apenas por motivos de proximidade, usando o SLA de 99,95% padrão de serviço.

Não há custo adicional para um firewall implantado em mais de uma Zona de Disponibilidade. Além disso, a Microsoft anunciou que o Azure não cobrará pela transferência de dados entre zonas de disponibilidade, independentemente de você usar IPs privados ou públicos nos seus Recursos do Azure.

À medida que o firewall escala, ele cria instâncias nas zonas em que está. Portanto, se o firewall estiver somente na Zona 1, novas instâncias serão criadas na Zona 1. Se o firewall estiver em todas as três zonas, ele criará instâncias nas três zonas conforme ele for escalando.

As Zonas de Disponibilidade do Firewall do Azure estão disponíveis nas regiões que dão suporte a Zonas de Disponibilidade. Para mais informações, consulte Regiões que dão suporte às Zonas de Disponibilidade no Azure.

Observação

As Zonas de Disponibilidade só podem ser configuradas durante a implantação. Você não pode configurar um firewall existente para incluir Zonas de Disponibilidade.

Para obter informações sobre Zonas de Disponibilidade, confira Regiões e Zonas de Disponibilidade no Azure.

Escalabilidade de nuvem sem restrições

O Firewall do Azure pode escalar horizontalmente o quanto você precisar, a fim de acomodar os fluxos de tráfego de rede cambiáveis para que você não precise de orçamento para o seu tráfego de pico.

Regras de filtragem de FQDN de aplicativo

Você pode limitar o tráfego HTTP/S de saída ou o tráfego SQL do Azure para uma lista especificada de FQDNs (nomes de domínio totalmente qualificados), incluindo caracteres curinga. Esse recurso não exige o encerramento de TLS.

O vídeo a seguir mostra como criar uma regra de aplicativo:

Regras de filtragem de tráfego de rede

Você pode criar centralmente regras de filtragem de rede para permitir ou negar por endereço IP de origem e destino, porta e protocolo. O Firewall do Azure é totalmente com estado, para que possa distinguir pacotes legítimos de diferentes tipos de conexões. As regras são impostas e registradas em várias assinaturas e redes virtuais.

O Firewall do Azure dá suporte à filtragem de estado dos protocolos de rede de Camada 3 e Camada 4. Os protocolos IP da Camada 3 podem ser filtrados selecionando Qualquer protocolo na Regra de rede e selecionando o curinga * para a porta.

Marcas de FQDN

As marcas de FQDN facilitam a permissão de tráfego de rede do serviço do Azure conhecido através do firewall. Por exemplo, digamos que você deseja permitir o tráfego de rede do Windows Update por meio de seu firewall. Você cria uma regra de aplicativo e inclui a marca do Windows Update. Agora o tráfego de rede do Windows Update pode fluir através do firewall.

Marcas de serviço

Uma marca de serviço representa um grupo de prefixos de endereço IP para ajudar a minimizar a complexidade da criação de regra de segurança. Você não pode criar sua própria marca de serviço ou especificar quais endereços IP estão incluídos em uma marca. A Microsoft gerencia os prefixos de endereço englobados pela marca de serviço e atualiza automaticamente a marca de serviço em caso de alteração de endereços.

Inteligência contra ameaças

A filtragem baseada em inteligência contra ameaças pode ser habilitada para o seu firewall para alertar e rejeitar o tráfego de/para endereços IP e domínios mal-intencionados. Os endereços IP e os domínios são originados do feed de inteligência de ameaças da Microsoft.

Proxy DNS

Com o proxy DNS habilitado, o Firewall do Azure pode processar e encaminhar consultas DNS de uma ou mais redes virtuais para o servidor DNS desejado. Essa funcionalidade é essencial e necessária para uma filtragem de FQDN confiável em regras de rede. Você pode habilitar o proxy DNS nas configurações da Política de Firewall e do Firewall do Azure. Para saber mais sobre o proxy DNS, confira Configurações de DNS do Firewall do Azure.

DNS Personalizado

O DNS personalizado permite configurar o Firewall do Azure para usar seu próprio servidor DNS, garantindo que as dependências de saída do firewall ainda sejam resolvidas com o DNS do Azure. Você pode configurar um único ou vários servidores DNS nas configurações de DNS da Política de Firewall e do Firewall do Azure. Para saber mais sobre o DNS personalizado, confira Configurações de DNS do Firewall do Azure.

O Firewall do Azure também pode resolver nomes usando o DNS privado do Azure. A rede virtual em que o Firewall do Azure reside deve estar vinculada à Zona Privada do Azure. Para saber mais, confira Usar o Firewall do Azure como um encaminhador DNS com o Link Privado.

Regras do FQDN na rede

Você pode usar FQDNs (nomes de domínio totalmente qualificados) em regras de rede com base na resolução de DNS no Firewall do Azure e na Política de Firewall.

Os FQDNs especificados em suas coleções de regras são convertidos em endereços IP com base nas configurações de DNS do firewall. Essa funcionalidade permite filtrar o tráfego de saída usando os FQDNs com qualquer protocolo TCP/UDP (incluindo NTP, SSH, RDP, entre outros). Como a funcionalidade é baseada na resolução DNS, é altamente recomendável habilitar o proxy DNS para garantir que a resolução de nomes seja consistente com o firewall e as máquinas virtuais protegidas.

Implantar o Firewall do Azure sem endereço IP público no modo de túnel forçado

O serviço do Firewall do Azure requer um endereço IP público para fins operacionais. Embora seja seguro, algumas implantações preferem não expor um endereço IP público diretamente à Internet.

Nesses casos, você pode implantar o Firewall do Azure no modo de túnel forçado. Essa configuração cria uma NIC de gerenciamento que é usada pelo Firewall do Azure para as operações dele. A rede de Caminho de Dados do Locatário pode ser configurada sem um endereço IP público e o tráfego da Internet pode ser forçado por túnel para outro firewall ou bloqueado.

O modo de túnel forçado não pode ser configurado durante o tempo de execução. É possível reimplantar o Firewall ou usar o recurso de parar e iniciar para reconfigurar um Firewall do Azure existente no modo de túnel forçado. A implantação dos firewalls nos Hubs Seguros sempre ocorre no modo de túnel forçado.

Suporte a SNAT de saída

Todos os endereços IP de tráfego de rede virtual de saída são convertidos no IP público do Firewall do Azure (conversão de endereço de rede de origem). Você pode identificar e permitir o tráfego proveniente de sua rede virtual para destinos de Internet remotos. Quando o Firewall do Azure tiver vários IPs públicos configurados para fornecer conectividade de saída, ele usará os IPs públicos conforme necessário com base nas portas disponíveis. Ele escolherá aleatoriamente o primeiro IP público e só usará o próximo IP público disponível depois que não for possível fazer mais conexões a partir do IP público atual devido à exaustão da porta SNAT.

Em cenários em que você tem alta taxa de transferência ou padrões de tráfego dinâmicos, é recomendável usar um Gateway da NAT do Azure. O Gateway da NAT do Azure seleciona dinamicamente IPs públicos para fornecer conectividade de saída. Para saber mais sobre como integrar o Gateway da NAT ao Firewall do Azure, consulte Dimensionar as portas SNAT com o Gateway da NAT do Azure.

O Gateway da NAT do Azure pode ser usado com o Firewall do Azure associando o Gateway da NAT à sub-rede do Firewall do Azure. Consulte o tutorial Integrar o gateway da NAT ao Firewall do Azure para obter diretrizes sobre essa configuração.

O Firewall do Azure não usa SNAT quando o IP de destino é um intervalo IP privado de acordo com o IANA RFC 1918.

Se sua organização usa um intervalo de endereços IP públicos para redes privadas, o Firewall do Azure usará SNAT para o tráfego de um dos endereços IP privados do firewall em AzureFirewallSubnet. Você pode configurar o Firewall do Azure para não realizar SNAT de seu intervalo de endereços IP públicos. Para obter mais informações, confira Intervalos de endereços IP privados do SNAT do Firewall do Azure.

Você pode monitorar a utilização da porta SNAT nas métricas do Firewall do Azure. Saiba mais e veja nossa recomendação sobre a utilização da porta SNAT em nossa documentação de logs e métricas de firewall.

Para obter informações mais detalhadas sobre os comportamentos da NAT do Firewall do Azure, consulte Comportamentos da NAT do Firewall do Azure.

Suporte a DNAT de entrada

O tráfego de rede da Internet de entrada para o seu endereço IP público do firewall é convertido (conversão de endereços de rede de destino) e filtrado para os endereços IP privados nas redes virtuais.

Vários endereços IP públicos

Você pode associar vários endereços IP públicos (até 250) com o seu firewall.

Isso permite os seguintes cenários:

  • DNAT: várias instâncias de porta padrão podem ser traduzidas em seus servidores de back-end. Por exemplo, se você tem dois endereços IP públicos, pode traduzir a porta TCP 3389 (RDP) para os dois endereços IP.
  • SNAT – mais portas estão disponíveis para conexões SNAT de saída, reduzindo a possibilidade de esgotamento da porta SNAT. Neste momento, o Firewall do Azure seleciona aleatoriamente o endereço IP público do código-fonte a ser usado para uma conexão. Se você tiver qualquer filtragem downstream em sua rede, precisará permitir todos os endereços IP públicos associados com seu firewall. Considere usar um prefixo de endereço IP público para simplificar essa configuração.

Para obter mais informações sobre os comportamentos da NAT, confira Comportamentos da NAT no Firewall do Azure.

Registro em log do Azure Monitor

Todos os eventos são integrados ao Azure Monitor, permitindo que você arquive logs em uma conta de armazenamento, transmita eventos ao hub de eventos ou envie-os aos logs do Azure Monitor. Para obter amostras de log do Azure Monitor, confira Logs do Azure Monitor do Firewall do Azure.

Para saber mais, confira Tutorial: Monitorar os logs e as métricas do Firewall do Azure.

O workbook do Firewall do Azure oferece uma tela flexível para análise de dados do Firewall do Azure. Você pode usá-la para criar relatórios visuais avançados no portal do Azure. Para obter mais informações, confira Monitorar logs usando o workbook do Firewall do Azure.

Túnel forçado

Você pode configurar o Firewall do Azure para rotear todo o tráfego vinculado à Internet para um próximo salto designado em vez de ir diretamente para a Internet. Por exemplo, você pode ter um firewall de borda local ou outra solução de virtualização de rede (NVA) para processar o tráfego de rede antes que ele seja passado para a Internet. Para obter mais informações, confira Túnel forçado do Firewall do Azure.

Categorias da Web

As categorias da Web possibilitam que os administradores permitam ou neguem o acesso do usuário a categorias de sites da Web, como sites de jogos de azar, sites de mídia social e outros. As categorias da Web estão incluídas no Firewall do Azure Standard, mas são mais ajustadas no Firewall do Azure Premium. Ao contrário do recurso de categorias da Web na SKU padrão que corresponde à categoria com base em um FQDN, a SKU Premium corresponde à categoria de acordo com a URL inteira para o tráfego HTTP e HTTPS. Para mais informações sobre os recursos do Firewall do Azure Premium, confira Firewall do Azure Premium.

Por exemplo, se o Firewall do Azure interceptar uma solicitação HTTPS para www.google.com/news, a seguinte categorização será esperada:

  • Firewall Standard – somente a parte FQDN será examinada e, portanto, www.google.com será categorizado como Mecanismo de pesquisa.

  • Firewall Premium – toda a URL será examinada, portanto, www.google.com/news será categorizado como Notícias.

As categorias são organizadas com base na gravidade em Responsabilidade, Alta largura de banda, Uso comercial, Perda de produtividade, Navegação geral e Não categorizado.

Exceções de categoria

Você pode criar exceções para suas regras de categoria da Web. Crie uma coleção de regras Permitir ou Negar separada com prioridade mais alta dentro do grupo de coleta de regras. Por exemplo, você pode configurar uma coleção de regras que permita www.linkedin.com com prioridade 100, com uma coleção de regras que nega Rede social com prioridade 200. Isso cria a exceção para a categoria da Web Rede social predefinida.

Certificações

O Firewall do Azure está em conformidade com PCI (Payment Card Industry), SOC (Service Organization Controls) e ISO (International Organization for Standardization). Para obter mais informações, confira Certificações de conformidade do Firewall do Azure.

Próximas etapas