Perspetiva do Azure Well-Architected Framework no Firewall do Azure

O Firewall do Azure é um serviço de segurança de firewall de rede inteligente e nativo da nuvem que fornece a melhor proteção contra ameaças para suas cargas de trabalho de nuvem executadas no Azure. É um serviço de firewall gerenciado e com monitoração de estado que tem alta disponibilidade integrada e escalabilidade irrestrita na nuvem. O Firewall do Azure fornece inspeção de tráfego leste-oeste e norte-sul.

Este artigo pressupõe que, como arquiteto, você tenha revisado as opções de segurança de rede virtual e escolhido o Firewall do Azure como o serviço de segurança de rede para sua carga de trabalho. As diretrizes neste artigo fornecem recomendações de arquitetura mapeadas para os princípios dos pilares do Azure Well-Architected Framework.

Importante

Como usar este guia

Cada seção tem uma lista de verificação de projeto que apresenta áreas arquitetônicas de preocupação, juntamente com estratégias de projeto localizadas para o escopo da tecnologia.

Também estão incluídas recomendações sobre as capacidades tecnológicas que podem ajudar a materializar essas estratégias. As recomendações não representam uma lista exaustiva de todas as configurações disponíveis para o Firewall do Azure e suas dependências. Em vez disso, eles listam as principais recomendações mapeadas para as perspetivas de design. Use as recomendações para criar sua prova de conceito ou otimizar seus ambientes existentes.

Arquitetura fundamental que demonstra as principais recomendações: topologia de rede Hub-spoke no Azure.

Âmbito da tecnologia

Esta análise concentra-se nas decisões inter-relacionadas para os seguintes recursos do Azure:

  • Azure Firewall
  • Azure Firewall Manager

Fiabilidade

O objetivo do pilar Confiabilidade é fornecer funcionalidade contínua, construindo resiliência suficiente e a capacidade de se recuperar rapidamente de falhas.

Os princípios de projeto de confiabilidade fornecem uma estratégia de projeto de alto nível aplicada a componentes individuais, fluxos do sistema e o sistema como um todo.

Lista de verificação de estruturação

Inicie sua estratégia de design com base na lista de verificação de revisão de projeto para Confiabilidade. Determine sua relevância para seus requisitos de negócios, tendo em mente as políticas e o tipo de arquitetura que você usa. Alargar a estratégia de modo a incluir mais abordagens, conforme necessário.

  • Analise a lista de problemas conhecidos do Firewall do Azure. Os produtos de Firewall do Azure mantêm uma lista atualizada de problemas conhecidos. Esta lista contém informações importantes sobre o comportamento por projeto, correções em construção, limitações da plataforma e possíveis soluções alternativas ou estratégias de mitigação.

  • Certifique-se de que sua política de Firewall do Azure esteja de acordo com os limites e recomendações do Firewall do Azure. A estrutura de política tem limites, incluindo o número de regras e grupos de coleta de regras, tamanho total da política, destinos de origem e destinos de destino. Certifique-se de compor sua política e ficar abaixo dos limites documentados.

  • Implante o Firewall do Azure em várias zonas de disponibilidade para obter um SLA (contrato de nível de serviço) mais alto. O Firewall do Azure fornece SLAs diferentes, dependendo se você implanta o serviço em uma única zona de disponibilidade ou em várias zonas. Para obter mais informações, consulte SLAs para serviços online.

  • Implante uma instância do Firewall do Azure em cada região em ambientes de várias regiões. Para arquiteturas tradicionais de hub-and-spoke, consulte Considerações sobre várias regiões. Para hubs WAN virtuais do Azure seguros, configure a intenção de roteamento e as políticas para proteger as comunicações entre hubs e filiais. Para cargas de trabalho resistentes a falhas e tolerantes a falhas, considere instâncias do Firewall do Azure e da Rede Virtual do Azure como recursos regionais.

  • Monitore as métricas do Firewall do Azure e o estado de integridade do recurso. O Firewall do Azure integra-se ao Azure Resource Health. Use a verificação de integridade do recurso para exibir o status de integridade do Firewall do Azure e resolver problemas de serviço que possam afetar seu recurso do Firewall do Azure.

  • Implante o Firewall do Azure em redes virtuais de hub ou como parte de hubs WAN virtuais.

Nota

A disponibilidade dos serviços de rede difere entre o modelo tradicional de hub-and-spoke e o modelo de hubs seguros gerenciados pela WAN virtual. Por exemplo, em um hub WAN Virtual, o IP público do Firewall do Azure não pode vir de um prefixo IP público e não pode ter a Proteção contra DDoS do Azure habilitada. Ao escolher seu modelo, considere seus requisitos em todos os cinco pilares do Well-Architected Framework.

Recomendações

Recomendação Benefício
Implante o Firewall do Azure em várias zonas de disponibilidade. Implante o Firewall do Azure em várias zonas de disponibilidade para manter um nível específico de resiliência. Se uma zona sofrer uma interrupção, outra zona continuará a servir o tráfego.
Monitore as métricas do Firewall do Azure em um espaço de trabalho do Log Analytics. Monitore de perto as métricas que indicam o estado de integridade do Firewall do Azure, como taxa de transferência, estado de integridade do Firewall, utilização da porta SNAT e métricas de teste de latência AZFW.

Use a Integridade do Serviço do Azure para monitorar a integridade do Firewall do Azure.
Monitore as métricas de recursos e a integridade do serviço para que você possa detetar quando um estado de serviço se degrada e tomar medidas proativas para evitar falhas.

Segurança

O objetivo do pilar Segurança é fornecer garantias de confidencialidade, integridade e disponibilidade para a carga de trabalho.

Os princípios de design de segurança fornecem uma estratégia de design de alto nível para atingir essas metas, aplicando abordagens ao design técnico do Firewall do Azure.

Lista de verificação de estruturação

Inicie sua estratégia de design com base na lista de verificação de revisão de design para Segurança. Identificar vulnerabilidades e controles para melhorar a postura de segurança. Alargar a estratégia de modo a incluir mais abordagens, conforme necessário.

  • Envie todo o tráfego da Internet da sua carga de trabalho através de um firewall ou de um dispositivo virtual de rede (NVA) para detetar e bloquear ameaças. Configure rotas definidas pelo usuário (UDRs) para forçar o tráfego por meio do Firewall do Azure. Para tráfego da Web, considere usar o Firewall do Azure como um proxy explícito.

    Configure os fornecedores de segurança de software como serviço (SaaS) de parceiros suportados no Firewall Manager se pretender utilizar estes fornecedores para proteger as ligações de saída.

    Restrinja o uso de endereços IP públicos diretamente vinculados a máquinas virtuais para que o tráfego não possa ignorar o firewall. O modelo do Azure Cloud Adoption Framework atribui uma política específica do Azure ao grupo de gerenciamento CORP.

    Siga o guia de configuração Zero Trust para o Firewall do Azure e o Application Gateway se suas necessidades de segurança exigirem que você implemente uma abordagem Zero Trust para aplicativos Web, como adicionar inspeção e criptografia. Siga este guia para integrar o Firewall do Azure e o Application Gateway para cenários tradicionais de hub-and-spoke e WAN virtual.

    Para obter mais informações, consulte Aplicar firewalls na borda.

  • Estabeleça perímetros de rede como parte de sua estratégia de segmentação de carga de trabalho para controlar o raio de explosão, ofuscar os recursos da carga de trabalho e bloquear acessos inesperados, proibidos e inseguros. Crie regras para políticas de Firewall do Azure com base nos critérios de acesso de privilégios mínimos.

    Defina o endereço IP público como Nenhum para implantar um plano de dados totalmente privado ao configurar o Firewall do Azure no modo de encapsulamento forçado. Essa abordagem não se aplica à WAN Virtual.

    Use nomes de domínio totalmente qualificados (FQDN) e tags de serviço ao definir regras de rede para simplificar o gerenciamento.

  • Use mecanismos de deteção para monitorar diligentemente ameaças e sinais de abuso. Aproveite os mecanismos e medidas de deteção fornecidos pela plataforma. Habilite o sistema de deteção e prevenção de intrusões (IDPS). Associe um plano de Proteção contra DDoS do Azure à sua rede virtual de hub.

    Para obter mais informações, consulte Detetar abuso.

Recomendações

Recomendação Benefício
Configure o Firewall do Azure no modo de encapsulamento forçado se precisar rotear todo o tráfego ligado à Internet para um próximo salto designado em vez de diretamente para a Internet. Esta recomendação não se aplica à WAN Virtual.

O Azure Firewall tem de ter conectividade à Internet direta. Se o AzureFirewallSubnet aprender uma rota padrão para sua rede local por meio do Protocolo de Gateway de Borda, você deverá configurar o Firewall do Azure no modo de encapsulamento forçado. Você pode usar o recurso de encapsulamento forçado para adicionar outro espaço de endereço /26 para a sub-rede Gerenciamento de Firewall do Azure. Nomeie a sub-rede AzureFirewallManagementSubnet. Se você tiver uma instância existente do Firewall do Azure que não pode reconfigurar no modo de encapsulamento forçado, crie um UDR com uma rota 0.0.0.0/0. Defina o valor NextHopType como Internet. Para manter a conectividade com a Internet, associe o UDR ao AzureFirewallSubnet.

Defina o endereço IP público como Nenhum para implantar um plano de dados totalmente privado ao configurar o Firewall do Azure no modo de encapsulamento forçado. Mas o plano de gerenciamento ainda requer um IP público apenas para fins de gerenciamento. O tráfego interno de redes virtuais e locais não usa esse IP público.
Use o túnel forçado para não expor seus recursos do Azure diretamente à Internet. Essa abordagem reduz a superfície de ataque e minimiza o risco de ameaças externas. Para aplicar políticas corporativas e requisitos de conformidade de forma mais eficaz, encaminhe todo o tráfego ligado à Internet por meio de um firewall local ou de um NVA.
Crie regras para políticas de Firewall em uma estrutura hierárquica para sobrepor uma política base central. Para obter mais informações, consulte Usar políticas do Firewall do Azure para processar regras.

Crie suas regras com base no princípio Zero Trust de acesso com privilégios mínimos
Organize regras em uma estrutura hierárquica para que políticas granulares possam atender aos requisitos de regiões específicas. Cada política pode conter diferentes conjuntos de DNAT (Tradução de Endereços de Rede de Destino), rede e regras de aplicativo que têm prioridades, ações e ordens de processamento específicas.
Configure os fornecedores de parceiros de segurança suportados no Firewall Manager para proteger as ligações de saída.

Esse cenário requer WAN Virtual com um gateway VPN S2S no hub porque ele usa um túnel IPsec para se conectar à infraestrutura do provedor. Os provedores de serviços de segurança gerenciados podem cobrar taxas de licença extras e limitar a taxa de transferência em conexões IPsec. Também pode utilizar soluções alternativas, como o Zscaler Cloud Connector.
Habilite os provedores de parceiros de segurança no Firewall do Azure para aproveitar as melhores ofertas de segurança na nuvem, que fornecem proteção avançada para seu tráfego da Internet. Esses provedores oferecem filtragem especializada e sensível ao usuário e recursos abrangentes de deteção de ameaças que aprimoram sua postura geral de segurança.
Habilite a configuração de proxy DNS do Firewall do Azure.

Configure também o Firewall do Azure para usar DNS personalizado para encaminhar consultas DNS.
Habilite esse recurso para apontar clientes nas redes virtuais para o Firewall do Azure como um servidor DNS. Esse recurso protege a infraestrutura DNS interna que não é acessada e exposta diretamente.
Configure UDRs para forçar o tráfego através do Firewall do Azure em uma arquitetura tradicional de hub-and-spoke para conectividade spoke-to-spoke, spoke-to-internet e spoke-to-hybrid .

Na WAN Virtual, configure a intenção de roteamento e as políticas para redirecionar o tráfego privado ou o tráfego da Internet por meio da instância do Firewall do Azure integrada ao hub.

Se você não puder aplicar um UDR e precisar apenas do redirecionamento de tráfego da Web, use o Firewall do Azure como um proxy explícito no caminho de saída. Você pode definir uma configuração de proxy no aplicativo de envio, como um navegador da Web, ao configurar o Firewall do Azure como um proxy.
Envie tráfego através do firewall para inspecionar o tráfego e ajudar a identificar e bloquear o tráfego mal-intencionado.

Use o Firewall do Azure como um proxy explícito para o tráfego de saída para que o tráfego da Web atinja o endereço IP privado do firewall e, portanto, saia diretamente do firewall sem usar um UDR. Esse recurso também facilita o uso de vários firewalls sem modificar as rotas de rede existentes.
Use a filtragem FQDN em regras de rede. Você deve habilitar a configuração de proxy DNS do Firewall do Azure para usar FQDNs em suas regras de rede. Use FQDNs nas regras de rede do Firewall do Azure para que os administradores possam gerenciar nomes de domínio em vez de vários endereços IP, o que simplifica o gerenciamento. Essa resolução dinâmica garante que as regras de firewall sejam atualizadas automaticamente quando os IPs do domínio forem alterados.
Use marcas de serviço do Firewall do Azure no lugar de endereços IP específicos para fornecer acesso seletivo a serviços específicos no Azure, Microsoft Dynamics 365 e Microsoft 365. Use tags de serviço em regras de rede para que você possa definir controles de acesso com base em nomes de serviço em vez de endereços IP específicos, o que simplifica o gerenciamento de segurança. A Microsoft gerencia e atualiza essas tags automaticamente quando os endereços IP são alterados. Esse método garante que as regras de firewall permaneçam precisas e eficazes sem intervenção manual.
Use marcas FQDN em regras de aplicativo para fornecer acesso seletivo a serviços específicos da Microsoft.

Você pode usar uma marca FQDN em regras de aplicativo para permitir o tráfego de rede de saída necessário por meio do firewall para serviços específicos do Azure, como Microsoft 365, Windows 365 e Microsoft Intune.
Use marcas FQDN nas regras de aplicativo do Firewall do Azure para representar um grupo de FQDNs associados a serviços conhecidos da Microsoft. Este método simplifica a gestão das regras de segurança de rede.
Habilite a inteligência contra ameaças no Firewall do Azure no modo de alerta e negação . Use informações sobre ameaças para fornecer proteção em tempo real contra ameaças emergentes, o que reduz o risco de ataques cibernéticos. Esse recurso usa o feed de inteligência de ameaças da Microsoft para alertar e bloquear automaticamente o tráfego de endereços IP, domínios e URLs mal-intencionados conhecidos.
Habilite o IDPS no modo Alerta ou Alerta e negue. Considere o impacto desse recurso no desempenho. Habilitar a filtragem IDPS no Firewall do Azure fornece monitoramento e análise em tempo real do tráfego de rede para detetar e prevenir atividades maliciosas. Esse recurso usa a deteção baseada em assinatura para identificar rapidamente ameaças conhecidas e bloqueá-las antes que causem danos.

Para obter mais informações, consulte Detetar abuso.
Use uma autoridade de certificação (CA) corporativa interna para gerar certificados ao usar a inspeção TLS com o Firewall Premium do Azure. Use certificados autoassinados apenas para fins de teste e prova de conceito (PoC). Habilite a inspeção TLS para que o Firewall Premium do Azure encerre e inspecione conexões TLS para detetar, alertar e mitigar atividades maliciosas em HTTPS.
Use o Gerenciador de Firewall para criar e associar um plano de Proteção contra DDoS do Azure à sua rede virtual de hub. Essa abordagem não se aplica à WAN Virtual. Configure um plano de Proteção contra DDoS do Azure para que você possa gerenciar centralmente a proteção contra DDoS junto com suas políticas de firewall. Essa abordagem simplifica a forma como você gerencia a segurança da rede e simplifica a forma como implanta e monitora os processos.

Otimização de Custos

A Otimização de Custos concentra-se na deteção de padrões de gastos, priorizando investimentos em áreas críticas e otimizando em outras para atender ao orçamento da organização e, ao mesmo tempo, atender aos requisitos de negócios.

Os princípios de design de Otimização de Custos fornecem uma estratégia de design de alto nível para atingir essas metas e fazer compensações conforme necessário no design técnico relacionado ao Firewall do Azure e seu ambiente.

Lista de verificação de estruturação

Inicie sua estratégia de design com base na lista de verificação de revisão de projeto para otimização de custos para investimentos. Ajuste o design para que a carga de trabalho esteja alinhada com o orçamento alocado para a carga de trabalho. Seu design deve usar os recursos certos do Azure, monitorar investimentos e encontrar oportunidades para otimizar ao longo do tempo.

  • Selecione uma SKU do Firewall do Azure para implantar. Escolha entre três SKUs do Firewall do Azure: Basic, Standard e Premium. Use o Firewall Premium do Azure para proteger aplicativos altamente confidenciais, como processamento de pagamentos. Use o Firewall do Azure Standard se sua carga de trabalho precisar de um firewall de Camada 3 a Camada 7 e precisar de dimensionamento automático para lidar com períodos de pico de tráfego de até 30 Gbps. Use o Firewall do Azure Basic se você usar SMB e precisar de até 250 Mbps de taxa de transferência. Você pode fazer downgrade ou upgrade entre SKUs Standard e Premium. Para obter mais informações, consulte Escolher a SKU do Firewall do Azure correta.

  • Remova implantações de firewall não utilizadas e otimize implantações subutilizadas. Pare as implantações do Firewall do Azure que não precisam ser executadas continuamente. Identifique e exclua implantações não utilizadas do Firewall do Azure. Para reduzir os custos operacionais, monitore e otimize o uso de instâncias de firewall, a configuração de políticas do Gerenciador de Firewall do Azure e o número de endereços IP públicos e políticas que você usa.

  • Partilhe a mesma instância da Firewall do Azure. Você pode usar uma instância central do Firewall do Azure na rede virtual do hub ou no hub seguro da WAN Virtual e compartilhar a mesma instância do Firewall do Azure em redes virtuais spoke que se conectam ao mesmo hub da mesma região. Certifique-se de não ter tráfego inesperado entre regiões em uma topologia hub-and-spoke.

  • Otimize o tráfego através do firewall. Analise regularmente o tráfego que o Firewall do Azure processa. Encontre oportunidades para reduzir a quantidade de tráfego que atravessa o firewall.

  • Diminua a quantidade de dados de log armazenados. O Firewall do Azure pode usar os Hubs de Eventos do Azure para registrar de forma abrangente os metadados do tráfego e enviá-los para espaços de trabalho do Log Analytics, Armazenamento do Azure ou soluções que não sejam da Microsoft. Todas as soluções de registro incorrem em custos para processar dados e fornecer armazenamento. Grandes quantidades de dados podem incorrer em custos significativos. Considere uma abordagem econômica e uma alternativa ao Log Analytics e estime o custo. Considere se você precisa registrar metadados de tráfego para todas as categorias de log.

Recomendações

Recomendação Benefício
Pare as implantações do Firewall do Azure que não precisam ser executadas continuamente. Você pode ter ambientes de desenvolvimento ou teste que você usa apenas durante o horário comercial. Para obter mais informações, consulte Desalocar e alocar o Firewall do Azure. Desligue essas implantações fora do horário de pico ou quando estiver ocioso para reduzir despesas desnecessárias, mas manter a segurança e o desempenho durante momentos críticos.
Analise regularmente o tráfego que o Firewall do Azure processa e encontre otimizações de carga de trabalho de origem. O log de fluxos superiores, também conhecido como log de fluxos de gordura, mostra as conexões superiores que contribuem para a maior taxa de transferência através do firewall. Otimize as cargas de trabalho que geram mais tráfego através do firewall para reduzir o volume de tráfego, o que diminui a carga no firewall e minimiza os custos de processamento de dados e largura de banda.
Identifique e exclua implantações não utilizadas do Firewall do Azure. Analise métricas de monitoramento e UDRs associadas a sub-redes que apontam para o IP privado do firewall. Considere também outras validações e documentação interna sobre seu ambiente e implantações. Por exemplo, analise qualquer NAT clássico, rede e regras de aplicativo para o Firewall do Azure. E considere suas configurações. Por exemplo, você pode definir a configuração de proxy DNS como Desabilitado.

Para obter mais informações, consulte Monitorar o Firewall do Azure.
Use essa abordagem para detetar implantações econômicas ao longo do tempo e eliminar recursos não utilizados, o que evita custos desnecessários.
Analise cuidadosamente as políticas, associações e herança do Firewall Manager para otimizar os custos. As políticas são cobradas com base em associações de firewall. Uma política com zero ou uma associação de firewall é gratuita. Uma política com várias associações de firewall é cobrada a uma taxa fixa.

Para obter mais informações, consulte Preços do Firewall Manager.
Use corretamente o Firewall Manager e suas políticas para reduzir os custos operacionais, aumentar a eficiência e reduzir as despesas gerais de gerenciamento.
Revise todos os endereços IP públicos em sua configuração e desassocie e exclua os que você não usa. Avalie o uso da porta SNAT (conversão de endereços de rede) de origem antes de remover quaisquer endereços IP.

Para obter mais informações, consulte Monitorar logs e métricas do Firewall do Azure e uso da porta SNAT.
Exclua endereços IP não utilizados para reduzir custos.

Excelência Operacional

A Excelência Operacional concentra-se principalmente em procedimentos para práticas de desenvolvimento, observabilidade e gerenciamento de releases.

Os princípios de design de Excelência Operacional fornecem uma estratégia de design de alto nível para alcançar essas metas para os requisitos operacionais da carga de trabalho.

Lista de verificação de estruturação

Inicie sua estratégia de design com base na lista de verificação de revisão de design para Excelência Operacional para definir processos de observabilidade, teste e implantação relacionados ao Firewall do Azure.

  • Use o Gerenciador de Firewall com topologias hub-and-spoke tradicionais ou topologias de rede WAN Virtual para implantar e gerenciar instâncias do Firewall do Azure. Use serviços de segurança nativos para governança e proteção de tráfego para criar arquiteturas hub-and-spoke e transitivas. Para obter mais informações, consulte Topologia de rede e conectividade.

    Migre as regras clássicas do Firewall do Azure para as políticas do Gerenciador de Firewall para implantações existentes. Use o Gerenciador de Firewall para gerenciar centralmente seus firewalls e políticas. Para obter mais informações, consulte Migrar para o Azure Firewall Premium.

  • Mantenha backups regulares dos artefatos da Política do Azure. Se você usar uma abordagem de infraestrutura como código para manter o Firewall do Azure e todas as dependências, deverá ter backup e controle de versão das políticas do Firewall do Azure em vigor. Caso contrário, você pode implantar um mecanismo complementar baseado em um aplicativo lógico externo para fornecer uma solução automatizada eficaz.

  • Monitorizar registos e métricas do Azure Firewall. Aproveite os logs de diagnóstico para monitoramento e solução de problemas de firewall e os logs de atividades para operações de auditoria.

  • Analise os dados de monitoramento para avaliar a integridade geral do sistema. Use a pasta de trabalho interna de monitoramento do Firewall do Azure, familiarize-se com consultas KQL (Kusto Query Language) e use o painel de análise de políticas para identificar possíveis problemas.

  • Defina alertas para eventos-chave para que os operadores possam responder rapidamente a eles.

  • Tire partido dos mecanismos de deteção fornecidos pela plataforma no Azure para detetar abusos. Integre o Firewall do Azure com o Microsoft Defender for Cloud e o Microsoft Sentinel , se possível. Integre com o Defender for Cloud para que possa visualizar o estado da infraestrutura de rede e da segurança de rede num único local, incluindo a segurança de rede do Azure em todas as redes virtuais e hubs virtuais em diferentes regiões do Azure. Integre-se ao Microsoft Sentinel para fornecer recursos de deteção e prevenção de ameaças.

Recomendações

Recomendação Benefício
Habilite os logs de diagnóstico para o Firewall do Azure. Use logs de firewall ou pastas de trabalho para monitorar o Firewall do Azure. Também pode utilizar os registos de atividades para auditar operações nos recursos do Azure Firewall.

Use o formato de logs de firewall estruturados. Use o formato de logs de diagnóstico anterior apenas se você tiver uma ferramenta existente que o exija. Não habilite os dois formatos de registro ao mesmo tempo.
Habilite os logs de diagnóstico para otimizar suas ferramentas e estratégias de monitoramento para o Firewall do Azure.

Use logs de firewall estruturados para estruturar dados de log para que seja fácil pesquisar, filtrar e analisar. As ferramentas de monitoramento mais recentes são baseadas nesse tipo de log, por isso geralmente é um pré-requisito.
Use a pasta de trabalho interna do Firewall do Azure. Use a pasta de trabalho do Firewall do Azure para extrair informações valiosas de eventos do Firewall do Azure, analisar seu aplicativo e regras de rede e examinar estatísticas sobre atividades de firewall em URLs, portas e endereços.
Monitore logs e métricas do Firewall do Azure e crie alertas para a capacidade do Firewall do Azure. Crie alertas para monitorar a taxa de transferência, o estado de integridade do firewall, a utilização da porta SNAT e as métricas de teste de latência AZFW. Configure alertas para eventos-chave para notificar os operadores antes que problemas potenciais surjam, ajude a evitar interrupções e inicie ajustes rápidos de capacidade.
Analise regularmente o painel de análise de políticas para identificar possíveis problemas. Use a análise de políticas para analisar o impacto de suas políticas de Firewall do Azure. Identifique possíveis problemas em suas políticas, como cumprir limites de política, regras impróprias e uso indevido de grupos de IP. Obtenha recomendações para melhorar a sua postura de segurança e o desempenho do processamento de regras.
Entenda as consultas KQL para poder usar os logs do Firewall do Azure para analisar e solucionar problemas rapidamente. O Firewall do Azure fornece consultas de exemplo. Use as consultas KQL para identificar rapidamente eventos dentro do firewall e verifique qual regra é acionada ou qual regra permite ou bloqueia uma solicitação.

Eficiência de Desempenho

A Eficiência de Desempenho consiste em manter a experiência do usuário mesmo quando há um aumento na carga por meio do gerenciamento de capacidade. A estratégia inclui dimensionar recursos, identificar e otimizar potenciais gargalos e otimizar para obter o máximo desempenho.

Os princípios de design de Eficiência de Desempenho fornecem uma estratégia de projeto de alto nível para atingir essas metas de capacidade em relação ao uso esperado.

Lista de verificação de estruturação

Inicie sua estratégia de design com base na lista de verificação de revisão de projeto para Eficiência de desempenho. Defina uma linha de base baseada em indicadores-chave de desempenho para o Firewall do Azure.

  • Otimize sua configuração do Firewall do Azure de acordo com as recomendações do Well-Architected Framework para otimizar o código e a infraestrutura e garantir a operação máxima. Para manter uma rede eficiente e segura, revise e otimize regularmente as regras de firewall. Essa prática ajuda a garantir que as configurações de firewall permaneçam eficazes e atualizadas com as ameaças de segurança mais recentes.

    Avalie os requisitos da política e encontre oportunidades para resumir intervalos de IP e listas de URLs. Use categorias da Web para permitir ou negar acesso de saída em massa para simplificar o gerenciamento e aumentar a segurança. Avalie o impacto no desempenho do IDPS no modo Alerta e negação , pois essa configuração pode afetar a latência e a taxa de transferência da rede. Configure endereços IP públicos para suportar seus requisitos de porta SNAT. Siga estas práticas para criar uma infraestrutura de segurança de rede robusta e escalável.

  • Não use o Firewall do Azure para controle de tráfego de rede intravirtual. Use o Firewall do Azure para controlar os seguintes tipos de tráfego:

    • Tráfego em redes virtuais
    • Tráfego entre redes virtuais e redes locais
    • Tráfego de saída para a Internet
    • Tráfego de entrada não-HTTP ou não-HTTPS

    Para controle de tráfego de rede intravirtual, use grupos de segurança de rede.

  • Aqueça o Firewall do Azure corretamente antes dos testes de desempenho. Crie tráfego inicial que não faça parte dos testes de carga 20 minutos antes dos testes. Use as configurações de diagnóstico para capturar eventos de aumento e redução de escala. Você pode usar o serviço de Teste de Carga do Azure para gerar o tráfego inicial para poder dimensionar o Firewall do Azure para o número máximo de instâncias.

  • Configure uma sub-rede do Firewall do Azure com um espaço de endereço /26. Você precisa de uma sub-rede dedicada para o Firewall do Azure. O Firewall do Azure provisiona mais capacidade à medida que é dimensionado. Um espaço de endereçamento /26 garante que o firewall tenha endereços IP suficientes disponíveis para acomodar o dimensionamento. O Firewall do Azure não requer uma sub-rede maior que /26. Nomeie a sub-rede AzureFirewallSubnet do Firewall do Azure.

  • Não habilite o registro avançado se não precisar dele. O Firewall do Azure fornece alguns recursos avançados de registro em log que podem incorrer em custos significativos para se manter ativo. Em vez disso, você pode usar esses recursos apenas para fins de solução de problemas e por períodos limitados de tempo. Desative os recursos quando não precisar deles. Por exemplo, os fluxos superiores e os logs de rastreamento de fluxo são caros e podem causar uso excessivo de CPU e armazenamento na infraestrutura do Firewall do Azure.

Recomendações

Recomendação Benefício
Use o painel de análise de políticas para identificar maneiras de otimizar as políticas do Firewall do Azure. Use a análise de políticas para identificar possíveis problemas em suas políticas, como cumprir limites de políticas, regras impróprias e uso indevido de grupos de IP. Obtenha recomendações para melhorar a sua postura de segurança e o desempenho do processamento de regras.
Coloque regras usadas com freqüência no início de um grupo para otimizar a latência para políticas de Firewall do Azure que tenham grandes conjuntos de regras.

Para obter mais informações, consulte Usar políticas do Firewall do Azure para processar regras.
Coloque as regras usadas com freqüência no alto de um conjunto de regras para otimizar a latência de processamento. O Firewall do Azure processa regras com base no tipo de regra, herança, prioridade do grupo de coleta de regras e prioridade de coleta de regras. O Firewall do Azure processa grupos de coleta de regras de alta prioridade primeiro. Dentro de um grupo de coleta de regras, o Firewall do Azure processa as coleções de regras que têm a prioridade mais alta primeiro.
Use grupos IP para resumir intervalos de endereços IP e evite exceder o limite de regras de rede de origem ou destino exclusivas. O Firewall do Azure trata o grupo IP como um único endereço quando você cria regras de rede. Essa abordagem aumenta efetivamente o número de endereços IP que você pode cobrir sem exceder o limite. Para cada regra, o Azure multiplica portas por endereços IP. Portanto, se uma regra tiver quatro intervalos de endereços IP e cinco portas, você consumirá 20 regras de rede.
Use as categorias da Web do Firewall do Azure para permitir ou negar acesso de saída em massa, em vez de criar e manter explicitamente uma longa lista de sites públicos da Internet. Esse recurso categoriza dinamicamente o conteúdo da Web e permite a criação de regras de aplicativos compactas, o que reduz a sobrecarga operacional.
Avalie o impacto no desempenho dos IDPS no modo de alerta e negação . Para obter mais informações, consulte Desempenho do Firewall do Azure. Habilite o IDPS no modo Alerta e negação para detetar e impedir atividades mal-intencionadas na rede. Este recurso pode introduzir uma penalidade de desempenho. Compreenda o efeito na sua carga de trabalho para que possa planear em conformidade.
Configure implantações do Firewall do Azure com um mínimo de cinco endereços IP públicos para implantações suscetíveis ao esgotamento da porta SNAT. O Firewall do Azure dá suporte a 2.496 portas para cada endereço IP público usado por cada instância de Conjuntos de Escala de Máquina Virtual do Azure back-end. Essa configuração aumenta as portas SNAT disponíveis em cinco vezes.

Por padrão, o Firewall do Azure implanta duas instâncias de Conjuntos de Dimensionamento de Máquina Virtual que dão suporte a 4.992 portas para cada IP de destino de fluxo, porta de destino e protocolo TCP ou UDP. O firewall pode ser dimensionado até um máximo de 20 instâncias.

Políticas do Azure

O Azure fornece um extenso conjunto de políticas internas relacionadas ao Firewall do Azure e suas dependências. Algumas das recomendações anteriores podem ser auditadas por meio da Política do Azure. Por exemplo, pode verificar se:

  • As interfaces de rede não devem ter IPs públicos. Esta política nega interfaces de rede configuradas com um IP público. Os endereços IP públicos permitem que os recursos da Internet comuniquem a entrada para os recursos do Azure e os recursos do Azure podem comunicar a saída para a Internet.

  • Todo o tráfego da Internet deve ser roteado por meio de sua instância implantada do Firewall do Azure. A Central de Segurança do Azure identifica que algumas de suas sub-redes não estão protegidas com um firewall de próxima geração. Proteja as suas sub-redes de potenciais ameaças. Use o Firewall do Azure ou um firewall de próxima geração com suporte para restringir o acesso às suas sub-redes.

Para obter uma governança abrangente, revise as definições internas da Política do Azure para o Firewall do Azure e outras políticas que podem afetar a segurança da rede.

Recomendações do Assistente do Azure

O Azure Advisor é um consultor na cloud personalizado que o ajuda a seguir as melhores práticas para otimizar as suas implementações do Azure. Aqui estão algumas recomendações que podem ajudá-lo a melhorar a confiabilidade, a segurança, a relação custo-benefício, o desempenho e a excelência operacional do Firewall do Azure.

Próximos passos

Consulte os recursos a seguir que demonstram as recomendações neste artigo.