Revisão do Azure Well-Architected Framework - Firewall do Azure
Este artigo fornece recomendações de arquitetura para o Firewall do Azure. As orientações baseiam-se nos cinco pilares da excelência arquitetónica:
- Fiabilidade
- Segurança
- Otimização de custos
- Excelência operacional
- Eficiência de desempenho
Supomos que você tenha conhecimento prático do Firewall do Azure e conheça bem seus recursos. Para obter mais informações, consulte Visão geral do Firewall do Azure.
Pré-requisitos
- Compreender os pilares do Azure Well-Architected Framework pode ajudar a produzir uma arquitetura de nuvem de alta qualidade, estável e eficiente. Revise sua carga de trabalho usando a avaliação de revisão do Well-Architected Framework.
- Use uma arquitetura de referência para revisar as considerações com base nas diretrizes fornecidas neste artigo. Comece com um aplicativo Web protegido pela rede com conectividade privada para armazenamentos de dados PaaS e implemente uma rede híbrida segura.
Fiabilidade
Para saber como o Firewall do Azure dá suporte a cargas de trabalho de forma confiável, consulte os seguintes artigos:
- Introdução ao Firewall do Azure
- Guia de início rápido: implantar o Firewall do Azure com zonas de disponibilidade
- Configurar o Azure Firewall num hub de WAN Virtual
Lista de verificação de estruturação
À medida que você faz escolhas de design para o Firewall do Azure, revise os princípios de design para confiabilidade.
- Implante o Firewall do Azure em redes virtuais de hub ou como parte de hubs WAN virtuais do Azure.
- Aproveite a resiliência das zonas de disponibilidade.
- Crie a estrutura da Política de Firewall do Azure.
- Analise a lista de Problemas conhecidos.
- Monitore o estado de integridade do Firewall do Azure.
Nota
Existem diferenças na disponibilidade de serviços de rede entre o modelo tradicional Hub & Spoke e os hubs seguros gerenciados pela WAN Virtual. Por exemplo, em um Hub WAN Virtual, o IP Público do Firewall do Azure não pode ser retirado de um Prefixo IP Público e não pode ter a Proteção contra DDoS habilitada. A seleção de um ou outro modelo deve considerar os requisitos em todos os cinco pilares do Well-Architected Framework.
Recomendações
Explore a tabela de recomendações a seguir para otimizar sua configuração do Firewall do Azure para confiabilidade.
| Recomendação | Benefício |
|---|---|
| Use o Gerenciador de Firewall do Azure com topologias de rede tradicionais de Hub & Spokes ou WAN Virtual do Azure para implantar e gerenciar instâncias do Firewall do Azure. | Crie facilmente arquiteturas hub-and-spoke e transitivas com serviços de segurança nativos para governança e proteção de tráfego. Para obter mais informações sobre topologias de rede, consulte a documentação do Azure Cloud Adoption Framework . |
| Crie Políticas de Firewall do Azure para controlar a postura de segurança em ambientes de rede global. Atribua políticas a todas as instâncias do Firewall do Azure. | As Políticas de Firewall do Azure podem ser organizadas em uma estrutura hierárquica para sobrepor uma política base central. Permita políticas granulares para atender aos requisitos de regiões específicas. Delegue políticas incrementais de firewall às equipes de segurança locais por meio do RBAC (controle de acesso baseado em função). Algumas configurações são específicas por instância, por exemplo, Regras DNAT e configuração de DNS, então várias políticas especializadas podem ser necessárias. |
| Migre as Regras Clássicas do Firewall do Azure para as Políticas do Gerenciador de Firewall do Azure para implantações existentes. | Para implantações existentes, migre as regras do Firewall do Azure para as políticas do Azure Firewall Manager. Use o Gerenciador de Firewall do Azure para gerenciar centralmente seus firewalls e políticas. Para obter mais informações, consulte Migrar para o Azure Firewall Premium. |
| Reveja a lista de Problemas Conhecidos da Firewall do Azure. | O Grupo de Produtos de Firewall do Azure mantém uma lista atualizada de problemas conhecidos neste local. Esta lista contém informações importantes relacionadas ao comportamento por projeto, correções em construção, limitações da plataforma, juntamente com possíveis soluções alternativas ou mitigação. |
| Certifique-se de que a sua Política de Firewall do Azure cumpre os limites e recomendações da Firewall do Azure. | Há limites na estrutura da política, incluindo o número de Regras e Grupos de Coleta de Regras, tamanho total da política, destinos de origem/destino. Certifique-se de compor sua política e ficar abaixo dos limites documentados. |
| Implante o Firewall do Azure em várias zonas de disponibilidade para obter um contrato de nível de serviço (SLA) mais alto. | O Firewall do Azure fornece SLAs diferentes quando é implantado em uma única zona de disponibilidade e quando é implantado em várias zonas. Para obter mais informações, consulte SLA para Firewall do Azure. Para obter informações sobre todos os SLAs do Azure, consulte Resumo do SLA para serviços do Azure. |
| Em ambientes de várias regiões, implante uma instância do Firewall do Azure por região. | Para arquiteturas tradicionais de Hub & Spokes, os detalhes de várias regiões são explicados neste artigo. Para hubs virtuais seguros (WAN Virtual do Azure), a Intenção e as Políticas de Roteamento devem ser configuradas para proteger as comunicações entre hubs e entre filiais. Para cargas de trabalho projetadas para serem resistentes a falhas e tolerantes a falhas, lembre-se de considerar essas instâncias do Firewall do Azure e da Rede Virtual do Azure como recursos regionais. |
| Monitore as métricas do Firewall do Azure e o estado de integridade dos recursos. | Monitore de perto os principais indicadores de métricas do estado de integridade do Firewall do Azure, como Taxa de Transferência, Estado de integridade do Firewall, Utilização da porta SNAT e métricas da Sonda de Latência AZFW. Além disso, o Firewall do Azure agora se integra ao Azure Resource Health. Com a verificação de Estado de Funcionamento dos Recursos da Firewall do Azure, pode agora ver o estado de funcionamento da Firewall do Azure e resolver problemas de serviço que possam afetar o recurso da Firewall do Azure. |
O Azure Advisor ajuda-o a garantir e melhorar a continuidade das suas aplicações críticas para os negócios. Analise as recomendações do Azure Advisor.
Segurança
A segurança é um dos aspetos mais importantes de qualquer arquitetura. O Firewall do Azure é um serviço de segurança de firewall inteligente que fornece proteção contra ameaças para suas cargas de trabalho de nuvem em execução no Azure.
Lista de verificação de estruturação
À medida que você faz escolhas de design para o Firewall do Azure, revise os princípios de design para segurança.
- Determine se você precisa de tunelamento forçado.
- Crie regras para Políticas com base em critérios de acesso de privilégios mínimos.
- Aproveite a inteligência de ameaças.
- Habilite o proxy DNS do Firewall do Azure.
- Tráfego de rede direto através do Firewall do Azure.
- Determine se você deseja usar provedores de segurança como serviço (SECaaS) de terceiros.
- Proteja seus endereços IP públicos do Firewall do Azure com DDoS.
Recomendações
Explore a tabela de recomendações a seguir para otimizar sua configuração do Firewall do Azure para segurança.
| Recomendação | Benefício |
|---|---|
| Se necessário para rotear todo o tráfego ligado à Internet para um próximo salto designado em vez de ir diretamente para a Internet, configure o Firewall do Azure no modo de encapsulamento forçado (não se aplica à WAN Virtual do Azure). | O Azure Firewall tem de ter conectividade à Internet direta. Se o AzureFirewallSubnet aprender uma rota padrão para sua rede local por meio do Protocolo de Gateway de Borda, você deverá configurar o Firewall do Azure no modo de encapsulamento forçado. Usando o recurso de encapsulamento forçado, você precisará de outro espaço de endereço /26 para a sub-rede Gerenciamento de Firewall do Azure. É necessário nomeá-lo AzureFirewallManagementSubnet. Se esta for uma instância existente do Firewall do Azure que não pode ser reconfigurada no modo de encapsulamento forçado, crie um UDR com uma rota 0.0.0.0/0. Defina o valor NextHopType como Internet. Associe-o ao AzureFirewallSubnet para manter a conectividade com a Internet. |
| Defina o endereço IP público como Nenhum para implantar um plano de dados totalmente privado ao configurar o Firewall do Azure no modo de encapsulamento forçado (não se aplica à WAN Virtual do Azure). | Ao implantar uma nova instância do Firewall do Azure, se você habilitar o modo de encapsulamento forçado, poderá definir o endereço IP público como Nenhum para implantar um plano de dados totalmente privado. No entanto, o plano de gerenciamento ainda requer um IP público apenas para fins de gerenciamento. O tráfego interno de redes virtuais e locais não usará esse IP público. Para obter mais informações sobre o túnel forçado, consulte Túnel forçado do Firewall do Azure. |
| Crie regras para Políticas de Firewall com base em critérios de acesso de privilégios mínimos. | As Políticas de Firewall do Azure podem ser organizadas em uma estrutura hierárquica para sobrepor uma política base central. Permita políticas granulares para atender aos requisitos de regiões específicas. Cada política pode conter diferentes conjuntos de regras de DNAT, Rede e Aplicação com prioridade, ação e ordem de processamento específicas. Crie suas regras com base no princípio Zero Trust de acesso com privilégios mínimos. Como as regras são processadas é explicado neste artigo. |
| Habilite o Threat Intelligence no Firewall do Azure no modo de alerta e negação . | Você pode habilitar a filtragem baseada em inteligência de ameaças para que seu firewall alerte e negue tráfego de ou para endereços IP e domínios desconhecidos. Os endereços IP e domínios são provenientes do Feed de Inteligência de Ameaças da Microsoft. O Gráfico de Segurança Inteligente alimenta a inteligência de ameaças da Microsoft e é usado por vários serviços, incluindo o Microsoft Defender for Cloud. |
| Habilite o IDPS no modo Alerta ou Alerta e negue . | O IDPS é um dos recursos de segurança mais poderosos do Firewall do Azure (Premium) e deve ser habilitado. Com base nos requisitos de segurança e do aplicativo, e considerando o impacto no desempenho (consulte a seção Custo abaixo), os modos Alerta ou Alerta e negação podem ser selecionados. |
| Habilite a configuração de proxy do Firewall do Azure (DNS). | A habilitação desse recurso aponta os clientes nas redes virtuais para o Firewall do Azure como um servidor DNS. Ele protegerá a infraestrutura DNS interna que não será acessada e exposta diretamente. O Firewall do Azure também deve ser configurado para usar DNS personalizado que será usado para encaminhar consultas DNS. |
| Configure rotas definidas pelo usuário (UDR) para forçar o tráfego por meio do Firewall do Azure. | Em uma arquitetura tradicional de Hub & Spokes, configure UDRs para forçar o tráfego por meio do Firewall do Azure para Spoke-to-Spoke, Spoke-to-Internete Spoke-to-Hybrid conectividade. Na WAN Virtual do Azure, em vez disso, configure a Intenção de Roteamento e as Políticas para redirecionar o tráfego privado e/ou da Internet por meio da instância do Firewall do Azure integrada ao hub. |
| Restringir o uso de endereços IP públicos diretamente ligados a máquinas virtuais | Para evitar que o tráfego contorne o firewall, a associação de endereços IP públicos a interfaces de rede VM deve ser restrita. No modelo CAF (Azure Cloud Adoption Framework), uma Política do Azure específica é atribuída ao Grupo de Gerenciamento CORP. |
| Se não for possível aplicar UDR e apenas o redirecionamento de tráfego da Web for necessário, considere usar o Firewall do Azure como um Proxy Explícito | Com o recurso de proxy explícito habilitado no caminho de saída, você pode definir uma configuração de proxy no aplicativo Web de envio (como um navegador da Web) com o Firewall do Azure configurado como proxy. Como resultado, o tráfego da Web chegará ao endereço IP privado do firewall e, portanto, sairá diretamente do firewall sem usar um UDR. Esse recurso também facilita o uso de vários firewalls sem modificar as rotas de rede existentes. |
| Configure os fornecedores de segurança de software como serviço (SaaS) de terceiros suportados no Firewall Manager se pretender utilizar estas soluções para proteger as ligações de saída. | Você pode usar suas ofertas SECaaS familiares e de terceiros para proteger o acesso à Internet para seus usuários. Esse cenário requer a WAN Virtual do Azure com um Gateway VPN S2S no Hub, pois ele usa um túnel IPSec para se conectar à infraestrutura do provedor. Os provedores de SECaaS podem cobrar taxas de licença adicionais e limitar a taxa de transferência em conexões IPSec. Soluções alternativas, como o ZScaler Cloud Connector, existem e podem ser mais adequadas. |
| Use a filtragem FQDN (nome de domínio totalmente qualificado) em regras de rede. | Você pode usar o FQDN com base na resolução DNS no Firewall do Azure e nas políticas de firewall. Esta capacidade permite-lhe filtrar o tráfego de saída com qualquer protocolo TCP/UDP (incluindo NTP, SSH, RDP e muito mais). Você deve habilitar a configuração do Proxy DNS do Firewall do Azure para usar FQDNs em suas regras de rede. Para saber como funciona, consulte Filtragem FQDN do Firewall do Azure em regras de rede. |
| Use Tags de Serviço em Regras de Rede para habilitar o acesso seletivo a serviços específicos da Microsoft. | As etiquetas de serviço representam um grupo de prefixos de endereços IP, que ajudam a minimizar a complexidade da criação de regras de segurança. Usando Tags de Serviço em Regras de Rede, é possível habilitar o acesso de saída a serviços específicos no Azure, Dynamics e Office 365 sem abrir grandes intervalos de endereços IP. O Azure manterá automaticamente o mapeamento entre essas tags e os endereços IP subjacentes usados por cada serviço. A lista de Tags de Serviço disponíveis para o Firewall do Azure está listada aqui: Az Firewall Service Tags. |
| Use marcas FQDN em regras de aplicativo para habilitar o acesso seletivo a serviços específicos da Microsoft. | Uma marca FQDN representa um grupo de nomes de domínio totalmente qualificados (FQDNs) associados a serviços conhecidos da Microsoft. Você pode usar uma marca FQDN nas regras do aplicativo para permitir o tráfego de rede de saída necessário por meio do firewall para alguns serviços específicos do Azure, Office 365, Windows 365 e Intune. |
| Use o Gerenciador de Firewall do Azure para criar e associar um plano de proteção contra DDoS à sua rede virtual de hub (não se aplica à WAN Virtual do Azure). | Um plano de proteção contra DDoS fornece recursos de mitigação aprimorados para defender seu firewall de ataques DDoS. O Azure Firewall Manager é uma ferramenta integrada para criar sua infraestrutura de firewall e planos de proteção contra DDoS. Para obter mais informações, consulte Configurar um plano de proteção contra DDoS do Azure usando o Gerenciador de Firewall do Azure. |
| Use uma PKI corporativa para gerar certificados para inspeção TLS. | Com o Firewall Premium do Azure, se o recurso Inspeção TLS for usado, é recomendável aproveitar uma Autoridade de Certificação (CA) corporativa interna para o ambiente de produção. Os certificados autoassinados devem ser usados apenas para fins de teste/PoC. |
| Revise o guia de configuração de Confiança Zero para o Firewall do Azure e o Gateway de Aplicativo | Se os seus requisitos de segurança exigirem a implementação de uma abordagem Zero-Trust para aplicações Web (inspeção e encriptação), recomenda-se seguir este guia. Neste documento, será explicado como integrar o Firewall do Azure e o Application Gateway nos cenários tradicionais de Hub & Spoke e WAN Virtual. |
O Azure Advisor ajuda-o a garantir e melhorar a continuidade das suas aplicações críticas para os negócios. Analise as recomendações do Azure Advisor.
Definições de política
As interfaces de rede não devem ter IPs públicos. Esta política nega as interfaces de rede configuradas com qualquer IP público. Os endereços IP públicos permitem que os recursos da Internet comuniquem a entrada para recursos do Azure e os recursos do Azure para comunicar a saída para a Internet.
Todo o tráfego da Internet deve ser roteado por meio do Firewall do Azure implantado. A Central de Segurança do Azure identificou que algumas de suas sub-redes não estão protegidas com um firewall de próxima geração. Proteja suas sub-redes contra ameaças potenciais restringindo o acesso a elas com o Firewall do Azure ou um firewall de próxima geração com suporte.
Todas as definições de política internas relacionadas à rede do Azure estão listadas em Políticas internas - Rede.
Otimização de custos
A otimização de custos consiste em procurar formas de reduzir despesas desnecessárias e melhorar a eficiência operacional.
Lista de verificação de estruturação
À medida que você faz escolhas de design para o Firewall do Azure, revise os princípios de design para otimização de custos.
- Selecione a SKU do Firewall do Azure a ser implantada.
- Determine se algumas instâncias não precisam de alocação permanente 24 horas por dia, 7 dias por semana.
- Determine onde você pode otimizar o uso do firewall em cargas de trabalho.
- Monitore e otimize o uso de instâncias de firewall para determinar a relação custo-benefício.
- Revise e otimize o número de endereços IP públicos necessários e as políticas usadas.
- Revise os requisitos de registro, estime o custo e controle ao longo do tempo.
Recomendações
Explore a tabela de recomendações a seguir para otimizar sua configuração do Firewall do Azure para otimização de custos.
| Recomendação | Benefício |
|---|---|
| Implante a SKU do Firewall do Azure adequada. | O Firewall do Azure pode ser implantado em três SKUs diferentes: Basic, Standard e Premium. O Firewall Premium do Azure é recomendado para proteger aplicativos altamente confidenciais (como processamento de pagamentos). O Firewall do Azure Standard é recomendado para clientes que procuram firewall de Camada 3 a Camada 7 e precisa de dimensionamento automático para lidar com períodos de pico de tráfego de até 30 Gbps. O Firewall do Azure Basic é recomendado para clientes SMB com necessidades de taxa de transferência de 250 Mbps. Se necessário, é possível fazer downgrade ou upgrade entre Standard e Premium, conforme documentado aqui. Para obter mais informações, consulte Escolha a SKU do Firewall do Azure certa para atender às suas necessidades. |
| Pare as implantações do Firewall do Azure que não precisam ser executadas 24 horas por dia, 7 dias por semana. | Você pode ter ambientes de desenvolvimento ou teste que são usados apenas durante o horário comercial. Para obter mais informações, consulte Desalocar e alocar o Firewall do Azure. |
| Partilhe a mesma instância da Firewall do Azure em várias cargas de trabalho e nas Redes Virtuais do Azure. | Você pode usar uma instância central do Firewall do Azure na rede virtual do hub ou no hub seguro da WAN Virtual e compartilhar o mesmo firewall em várias redes virtuais spoke conectadas ao mesmo hub da mesma região. Certifique-se de que não haja tráfego inesperado entre regiões como parte da topologia hub-spoke. |
| Analise regularmente o tráfego processado pelo Firewall do Azure e procure otimizações de carga de trabalho originárias | O log Top Flows (conhecido no setor como Fat Flows) mostra as principais conexões que estão contribuindo para a maior taxa de transferência através do firewall. É recomendável revisar regularmente o tráfego processado pelo Firewall do Azure e procurar possíveis otimizações para reduzir a quantidade de tráfego que atravessa o firewall. |
| Analise as instâncias subutilizadas do Firewall do Azure. Identifique e exclua implantações não utilizadas do Firewall do Azure. | Para identificar implantações do Firewall do Azure não utilizadas, comece analisando as métricas de monitoramento e UDRs associadas a sub-redes que apontam para o IP privado do firewall. Combine essas informações com outras validações, como se sua instância do Firewall do Azure tiver alguma regra (clássica) para NAT, Rede e Aplicativo, ou mesmo se a configuração de Proxy DNS estiver configurada como Desabilitada e com documentação interna sobre seu ambiente e implantações. Você pode detetar implantações que são econômicas ao longo do tempo. Para obter mais informações sobre o monitoramento de logs e métricas, consulte Monitorar logs e métricas do Firewall do Azure e utilização da porta SNAT. |
| Use o Gerenciador de Firewall do Azure e suas Políticas para reduzir custos operacionais, aumentar a eficiência e reduzir a sobrecarga de gerenciamento. | Analise cuidadosamente as políticas, associações e herança do Firewall Manager. As políticas são cobradas com base em associações de firewall. Uma política com zero ou uma associação de firewall é gratuita. Uma política com várias associações de firewall é cobrada a uma taxa fixa. Para obter mais informações, consulte Preços - Azure Firewall Manager. |
| Exclua endereços IP públicos não utilizados. | Valide se todos os endereços IP públicos associados estão em uso. Se não estiverem em uso, desassocie-os e exclua-os. Avalie a utilização da porta SNAT antes de remover quaisquer endereços IP. Você usará apenas o número de IPs públicos de que seu firewall precisa. Para obter mais informações, consulte Monitorar logs e métricas do Firewall do Azure e utilização da porta SNAT. |
| Revise os requisitos de registro. | A Firewall do Azure tem a capacidade de registar de forma abrangente metadados de todo o tráfego que vê, para Espaços de Trabalho do Log Analytics, Armazenamento ou soluções de terceiros através de Hubs de Eventos. No entanto, todas as soluções de registro incorrem em custos de processamento e armazenamento de dados. Em volumes muito grandes, esses custos podem ser significativos, uma abordagem econômica e uma alternativa ao Log Analytics devem ser consideradas e o custo estimado. Considere se é necessário registrar metadados de tráfego para todas as categorias de log e modificar nas Configurações de diagnóstico, se necessário. |
Para obter mais sugestões, consulte Lista de verificação de revisão de design para otimização de custos.
O Azure Advisor ajuda-o a garantir e melhorar a continuidade das suas aplicações críticas para os negócios. Analise as recomendações do Azure Advisor.
Excelência operacional
A monitorização e o diagnóstico são fundamentais. Você pode medir estatísticas e métricas de desempenho para solucionar e corrigir problemas rapidamente.
Lista de verificação de estruturação
À medida que você faz escolhas de design para o Firewall do Azure, revise os princípios de design para obter excelência operacional.
- Mantenha o inventário e o backup da configuração e das políticas do Firewall do Azure.
- Aproveite os logs de diagnóstico para monitoramento e solução de problemas do firewall.
- Aproveite a pasta de trabalho do Monitoramento do Firewall do Azure.
- Reveja regularmente as suas informações e análises sobre a Política.
- Integre o Firewall do Azure com o Microsoft Defender for Cloud e o Microsoft Sentinel.
Recomendações
Explore a tabela de recomendações a seguir para otimizar sua configuração do Firewall do Azure para excelência operacional.
| Recomendação | Benefício |
|---|---|
| Não use o Firewall do Azure para controle de tráfego intra-VNet. | O Firewall do Azure deve ser usado para controlar o tráfego entre redes virtuais, entre redes virtuais e redes locais, o tráfego de saída para a Internet e o tráfego de entrada não HTTP/s. Para controle de tráfego intra-VNet, recomenda-se o uso de Grupos de Segurança de Rede. |
| Mantenha backups regulares dos artefatos da Política do Azure. | Se a abordagem de Infraestrutura como Código (IaC) for usada para manter o Firewall do Azure e todas as dependências, o backup e o controle de versão das Políticas de Firewall do Azure já deverão estar em vigor. Caso contrário, um mecanismo complementar baseado em Logic App externo pode ser implantado para automatizar e fornecer uma solução eficaz. |
| Habilite os logs de diagnóstico para o Firewall do Azure. | Os Logs de Diagnóstico são um componente fundamental para muitas ferramentas e estratégias de monitoramento para o Firewall do Azure e devem ser habilitados. Você pode monitorar o Firewall do Azure usando logs ou pastas de trabalho do firewall. Você também pode usar logs de atividades para operações de auditoria em recursos do Firewall do Azure. |
| Use o formato de Logs de Firewall Estruturados . | Os Logs de Firewall Estruturados são um tipo de dados de log organizados em um novo formato específico. Eles usam um esquema predefinido para estruturar dados de log de uma forma que facilita a pesquisa, filtragem e análise. As ferramentas de monitoramento mais recentes são baseadas neste tipo de registros, portanto, muitas vezes é um pré-requisito. Use o formato de Logs de Diagnóstico anterior somente se houver uma ferramenta existente com um pré-requisito. Não habilite os dois formatos de log ao mesmo tempo. |
| Use a Pasta de Trabalho de Monitoramento do Firewall do Azure interna. | A experiência do portal do Firewall do Azure agora inclui uma nova pasta de trabalho na interface do usuário da seção Monitoramento , uma instalação separada não é mais necessária. Com a Pasta de Trabalho do Firewall do Azure, você pode extrair informações valiosas de eventos do Firewall do Azure, mergulhar em seu aplicativo e regras de rede e examinar estatísticas sobre atividades de firewall em URLs, portas e endereços. |
| Monitore as principais métricas e crie alertas para indicadores da utilização da capacidade do Firewall do Azure. | Os alertas devem ser criados para monitorar pelo menos a taxa de transferência, o estado de integridade do firewall, a utilização da porta SNAT e as métricas da sonda de latência AZFW. Para obter informações sobre como monitorar logs e métricas, consulte Monitorar logs e métricas do Firewall do Azure. |
| Configure a integração do Firewall do Azure com o Microsoft Defender for Cloud e o Microsoft Sentinel. | Se essas ferramentas estiverem disponíveis no ambiente, é recomendável aproveitar a integração com as soluções Microsoft Defender for Cloud e Microsoft Sentinel . Com a integração do Microsoft Defender for Cloud, você pode visualizar o status completo da infraestrutura de rede e da segurança de rede em um só lugar, incluindo a Segurança de Rede do Azure em todas as redes virtuais e Hubs Virtuais espalhados por diferentes regiões do Azure. A integração com o Microsoft Sentinel fornece recursos de deteção e prevenção de ameaças. |
| Analise regularmente o painel do Policy Analytics para identificar possíveis problemas. | O Policy Analytics é um novo recurso que fornece informações sobre o impacto de suas políticas de Firewall do Azure. Ele ajuda você a identificar possíveis problemas (atingir limites de política, regras de baixa utilização, regras redundantes, regras muito genéricas, recomendação de uso de Grupos IP) em suas políticas e fornece recomendações para melhorar sua postura de segurança e desempenho de processamento de regras. |
| Familiarize-se com as consultas KQL (Kusto Query Language) para permitir uma análise e solução de problemas rápidas usando logs do Firewall do Azure. | Consultas de exemplo são fornecidas para o Firewall do Azure. Isso permitirá que você identifique rapidamente o que está acontecendo dentro do seu firewall e verifique qual regra foi acionada ou qual regra está permitindo/bloqueando uma solicitação. |
O Azure Advisor ajuda-o a garantir e melhorar a continuidade das suas aplicações críticas para os negócios. Analise as recomendações do Azure Advisor.
Eficiência de desempenho
A eficiência de desempenho é a capacidade de dimensionamento da sua carga de trabalho para atender de forma eficiente às demandas impostas pelos usuários.
Lista de verificação de estruturação
À medida que você faz escolhas de design para o Firewall do Azure, revise os princípios de design para eficiência de desempenho.
- Analise e otimize regularmente as regras de firewall.
- Analise os requisitos da política e as oportunidades para resumir os intervalos de IP e a lista de URLs.
- Avalie os requisitos da porta SNAT.
- Planeje testes de carga para testar o desempenho de dimensionamento automático em seu ambiente.
- Não habilite as ferramentas de diagnóstico e o registro em log se não for necessário.
Recomendações
Explore a tabela de recomendações a seguir para otimizar sua configuração do Firewall do Azure para eficiência de desempenho.
| Recomendação | Benefício |
|---|---|
| Use o painel do Policy Analytics para identificar possíveis otimizações para Políticas de Firewall. | O Policy Analytics é um novo recurso que fornece informações sobre o impacto de suas políticas de Firewall do Azure. Ele ajuda você a identificar possíveis problemas (atingir limites de política, regras de baixa utilização, regras redundantes, regras muito genéricas, recomendação de uso de Grupos IP) em suas políticas e fornece recomendações para melhorar sua postura de segurança e desempenho de processamento de regras. |
| Para Políticas de Firewall com grandes conjuntos de regras, coloque as regras usadas com mais frequência no início do grupo para otimizar a latência. | As regras são processadas com base no tipo de regra, herança, prioridade do Grupo de Coleta de Regras e prioridade da Coleta de Regras. Os Grupos de Coleta de Regras de prioridade mais alta são processados primeiro. Dentro de um grupo de coleta de regras, as Coleções de Regras com prioridade mais alta são processadas primeiro. Colocar as regras mais usadas mais alto no conjunto de regras otimizará a latência do processamento. Como as regras são processadas e avaliadas é explicado neste artigo. |
| Use Grupos de IP para resumir intervalos de endereços IP. | Você pode usar Grupos de IP para resumir intervalos de IP, para não exceder o limite de regras de rede exclusivas de origem/destino. Para cada regra, o Azure multiplica portas por endereços IP. Portanto, se você tiver uma regra com quatro intervalos de endereços IP e cinco portas, consumirá 20 regras de rede. O Grupo IP é tratado como um único endereço com a finalidade de criar regras de rede. |
| Considere Categorias da Web para permitir ou negar acesso de saída em massa. | Em vez de criar e manter explicitamente uma longa lista de sites públicos da Internet, considere o uso das Categorias da Web do Firewall do Azure. Este recurso categorizará dinamicamente o conteúdo da Web e permitirá a criação de Regras de Aplicativo compactas. |
| Avalie o impacto no desempenho dos IDPS no modo de alerta e negação . | Se o Firewall do Azure for necessário para operar no modo IDPS Alertar e negar, considere cuidadosamente o impacto no desempenho, conforme documentado no desempenho do firewall. |
| Avalie o potencial problema de exaustão da porta SNAT. | Atualmente, o Firewall do Azure dá suporte a 2496 portas por endereço IP público por instância do Conjunto de Escala de Máquina Virtual de back-end. Por padrão, há duas instâncias do Conjunto de Dimensionamento de Máquina Virtual. Assim, existem 4992 portas por IP de destino de fluxo, porta de destino e protocolo (TCP ou UDP). O firewall pode ser dimensionado até um máximo de 20 instâncias. Você pode contornar os limites configurando implantações do Firewall do Azure com um mínimo de cinco endereços IP públicos para implantações suscetíveis à exaustão do SNAT. |
| Aqueça corretamente o Firewall do Azure antes de qualquer teste de desempenho. | Crie tráfego inicial que não faça parte dos testes de carga 20 minutos antes do teste. Use as configurações de diagnóstico para capturar eventos de aumento e redução de escala. Você pode usar o serviço de Teste de Carga do Azure para gerar o tráfego inicial. Permite que a instância do Firewall do Azure aumente suas instâncias ao máximo. |
| Configure uma sub-rede do Firewall do Azure (AzureFirewallSubnet) com um espaço de endereço /26. | O Firewall do Azure é uma implantação dedicada em sua rede virtual. Na sua rede virtual, é necessária uma sub-rede dedicada para a instância da Firewall do Azure. O Firewall do Azure provisiona mais capacidade à medida que é dimensionado. Um espaço de endereço /26 para suas sub-redes garante que o firewall tenha endereços IP suficientes disponíveis para acomodar o dimensionamento. O Firewall do Azure não precisa de uma sub-rede maior que /26. O nome da sub-rede do Firewall do Azure deve ser AzureFirewallSubnet. |
| Não habilite o registro avançado se não for necessário | O Firewall do Azure fornece alguns recursos avançados de registro em log que podem ser caros para manter sempre ativo. Em vez disso, eles devem ser usados apenas para fins de solução de problemas e de duração limitada, sendo desativados quando não forem mais necessários. Por exemplo, os principais fluxos e os logs de rastreamento de fluxo são caros e podem causar uso excessivo de CPU e armazenamento na infraestrutura do Firewall do Azure. |
O Azure Advisor ajuda-o a garantir e melhorar a continuidade das suas aplicações críticas para os negócios. Analise as recomendações do Azure Advisor.
Recomendações do Assistente do Azure
O Azure Advisor é um consultor de nuvem personalizado que ajuda você a seguir as práticas recomendadas para otimizar suas implantações do Azure. Ainda não há nenhuma recomendação específica do Consultor do Firewall do Azure. Algumas recomendações gerais podem ser aplicadas para ajudar a melhorar a confiabilidade, a segurança, a relação custo-benefício, o desempenho e a excelência operacional.
- Criar alertas de Estado de Funcionamento do Serviço do Azure para ser notificado quando problemas do Azure o afetarem
- Habilite a Análise de Tráfego para exibir informações sobre padrões de tráfego nos recursos do Azure
- Proteja seus recursos de rede com o Microsoft Defender for Cloud
Recursos adicionais
- Documentação do Firewall do Azure
- O que é o Azure Firewall Manager?
- Limites, cotas e restrições do serviço do Firewall do Azure
- Linha de base de segurança do Azure para o Firewall do Azure
Orientação do Centro de Arquitetura do Azure
- Visão geral da arquitetura do Firewall do Azure
- Usar o Firewall do Azure para ajudar a proteger um cluster do Serviço Kubernetes do Azure (AKS)
- Usar o Firewall do Azure para proteger implantações da Área de Trabalho Virtual do Azure (AVD)
- Usar o Firewall do Azure para proteger o Office 365
- Topologia de rede Hub-spoke no Azure
- Rede de confiança zero para aplicações Web com a Firewall do Azure e o Gateway de Aplicações
- Implementar uma rede híbrida segura
- Aplicação Web reforçada pela rede com conectividade privada para armazenamentos de dados PaaS
Próximo passo
Implante uma instância do Firewall do Azure para ver como ela funciona: